《软件开发工具包（SDK）用户权益和个人信息保护技术要求 第1部分：广告类》.doc

TAF-WG4AS0001-V1.0.0

PAGEII

团体标准

T/TAFXXX-XXXX

软件开发工具包（SDK）用户权益和个人信息保护技术要求第1部分：广告类

TechnicalrequirementsforuserrightsandpersonalinformationprotectionofSoftwareDevelopmentKits(SDK)—

Part1:Advertisingcategory

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

T/TAFXXX-XXXX

T/TAFXXX-XXXX

PAGE4

PAGE5

软件开发工具包（SDK）用户权益和个人信息保护技术要求

第1部分：广告类

1范围

本文件规定了广告类SDK的个人信息处理要求、用户权益保护要求和业务功能划分及配置能力提供要求。

本文件适用于广告类SDK开发运营者规范自身个人信息处理活动，同时也适用于主管部门、第三方评估机构等对广告类SDK个人信息保护和用户权益保护能力进行监督和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/TAF078.7—2023APP用户权益保护测评规范第7部分：欺骗误导强迫行为

T/TAF188—2023软件开发工具包（SDK）收集个人信息技术要求

T/TAF?189—2023软件开发工具包（SDK）用户权益保障基本要求

3术语和定义

T/TAF188—2023、T/TAF?189—2023界定的以及下列术语和定义适用于本文件。

3.1

软件开发工具包开发运营者softwaredevelopmentkitoperator

软件开发工具包的开发者、所有者、管理者或提供者，也包括SDK相关的个人信息处理者。

注：简称SDK开发运营者。

3.2

移动互联网应用程序开发运营者mobileinternetapplicationoperator

移动互联网应用程序的开发者、所有者、管理者或提供者，也包括APP相关的个人信息处理者。

注：简称SDK使用者。

3.3

广告活动advertisingactivities

围绕广告投放展开的相关活动，包括广告请求、展示、监测、归因、反作弊及投放效果分析与优化等活动内容。

4缩略语

下列缩略语适用于本文件。

APP：移动应用软件（Application）

SDK：软件开发工具包（SoftwareDevelopmentKit）

5个人信息处理要求

5.1收集要求

广告类SDK开发运营者在个人信息收集过程中，除满足T/TAF188—2023、T/TAF189—2023相关要求外，还应满足以下收集要求：

如SDK使用者以取得最终用户同意作为合法性基础的，广告SDK开发运营者应提示SDK使用者，SDK使用者未获得最终用户同意前，不应使用广告SDK获取最终用户个人信息；

广告SDK开发运营者应在SDK使用者选择调用广告SDK服务的场景下，获取最终用户个人信息；广告SDK各项业务功能收集的个人信息可参考附录A；

仅提供广告聚合服务的聚合类广告SDK开发运营者应在实现聚合服务的必要范围内收集个人信息，应在可控范围内对所聚合的第三方广告SDK个人信息收集范围，依据聚合业务实际需要或SDK使用者对聚合广告SDK的要求进行默认配置。

5.2存储要求

广告类SDK开发运营者存储个人信息时应遵守如下要求：

广告SDK开发运营者对个人信息的存储期限应为实现最终用户授权用于广告活动目的所必需的最短时间，法律法规另有规定的除外。超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理；

针对客户端存储的个人信息，广告SDK开发运营者应采取加密存储等必要的安全保障措施避免个人信息泄漏；

针对服务端存储的个人信息，广告SDK开发运营者应采取分类分级管理等安全保障措施以确保个人信息的安全存储；

广告SDK开发运营者应采取个人信息保护管理规则，对个人信息存储进行访问控制、加密保护和异常行为监控，避免个人信息泄漏或破坏、损毁。

5.3使用、加工要求

广告类SDK开发运营者使用个人信息时应遵守如下要求：

广告SDK开发运营者使用个人信息进行关联分析，用于个性化广告投放、广告投放效果分析与优化等目的的，应征得最终用户同意，如有具体场景适用其他合法性基础，需要根据法律法规、相关国家标准的规定进行适用；

应设置访问控制措施，对