T∕TAF 077.6-2020 APP收集使用个人信息最小必要评估规范 软件列表.docxVIP

T/TAF077.6-2020

ICS33.050M30

团体标准

T/TAF077.6-2020

APP收集使用个人信息最小必要评估规范

软件列表

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification

Applicationsoftwarelist

2020-11-26发布

2020-11-26实施

电信终端产业协会发布

T/TAF077.6-2020

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语、定义和缩略语 1

3.1术语和定义 1

4软件列表 2

4.1软件列表信息分类 2

4.2软件列表收集使用常见业务场景 2

4.3软件列表收集最小必要原则 2

5个人信息处理活动中软件列表的最小必要性评估要求 2

5.1收集阶段 2

5.2存储阶段 3

5.3使用阶段 3

5.4共享、转让阶段 3

5.5删除阶段 3

II

前言

本文件按照GB/T1.1-2020给出的规则起草。

本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、安徽捷兴信源信息技术有限公司、上海寻梦信息技术有限公司、小米科技有限责任公司。

本文件主要起草人：常浩伦、汤立波、臧磊、于润东、杨澄宇、盛大江、琭婧、王乐、徐学义。

T/TAF077.6-2020

III

引言

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息软件列表的收集、存储、使用、传输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用软件列表进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。

T/TAF077.6-2020

1

APP收集使用个人信息最小必要评估规范软件列表

1范围

本文件旨在贯彻个人信息收集使用的最小必要的原则，针对移动APP收集、存储、使用、共享、删除用户软件列表各环节提出相应的最小必要性符合度评估项，并结合典型场景对APP最小必要处理软件

列表进行规定。

本文件适用于指导移动互联网应用软件开发者规范对软件列表的处理，也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集软件列表行为进行监督、管理和评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T35273—2020信息安全技术个人信息安全规范

T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则

3术语、定义和缩略语

3.1术语和定义

T/TAF077.1-2020界定的以及下列术语和定义适用于本文件。

3.1.1

移动智能终端smartmobileterminal

能够接入移动通信网，具有能够提供应用软件开发接口的开放操作系统，具有安装、加载和运行应用软件能力的终端。

3.1.2

移动应用软件mobileapplicationsoftware

针对智能终端所开发的应用程序，包括智能终端预置应用以及互联网信息服务提供者提供的可以通过智能终端下载、安装、升级、卸载的应用。

注：本文件中规定的移动应用软件（APP）即为个人信息处理者。

3.1.3

个人信息处理personalinformationprocessing

个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

T/TAF077.6-2020

2

3.1.4

告知同意informconsent

应用通过弹窗或产品界面等方式提示通知用户收集使用相关权限或信息的目的、方式、范围等，并获用户做出明确授权的行为。

4软件列表

软件列表隶属于GB/T35273—2020信息安全技术个人信息安全规范举例的个人常用设备信息，

与其他信息结合可能反映特定自然人活动情况、兴趣爱好，具有敏感特性。

4.1软件列表信息分类

n软件名称类，包含软件包名、软件名称、安装包MD5等；

n文