T∕TAF 077.17-2021 APP收集使用个人信息最小必要评估规范 身份信息.docxVIP

ICS33.050M30

团体标准

T/TAF

T/TAF077.17-2021

APP收集使用个人信息最小必要评估规范

身份信息

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification—

Identityinformation

2021-01-15发布

2021-01-15实施

电信终端产业协会发布

I

T/TAF077.17-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5基本原则 1

6身份信息类型 2

7典型业务场景 2

8个人信息处理活动中身份信息的最小必要评估规范 3

8.1收集阶段 3

8.2存储阶段 3

8.3使用阶段 3

8.4删除阶段 3

9评估流程和方法 3

T/TAF077.17-2021

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本标准起草单位：中国信息通信研究院、阿里巴巴(中国)有限公司。

本标准主要起草人：黄天宁、贾雪飞、汪坤、宁华、王艳红、杜云。

T/TAF077.17-2021

III

引言

随着移动移动互联网的迅速发展和日益成熟，移动智能终端功能的成熟与便利，身份信息已成为移动应用软件开展业务功能的重要组成部分。然而，在APP收集使用身份信息的过程中，有些个人信息信息可能并非用户使用该功能时所必须的。

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息身份信息的收集、存

储、使用、加工、传输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用用户身份信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。

T/TAF077.17-2021

1

APP收集使用个人信息最小必要评估规范身份信息

1范围

本文件规定了移动应用软件对身份信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法，并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。

本标准适用于移动互联网应用软件提供者规范用户个人信息中的身份信息的处理活动，也适用于主

管监管部门、第三方评估机构等组织对移动互联网应用程序收集身份信息行为进行监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则

T/TAF040-2019移动智能终端及应用软件用户个人信息保护实施指南第2部分：个人信息分类分级

3术语和定义

3.1

身份信息identityinformation

本文件规定的身份信息特指法定身份证件信息，如身份证、户籍、护照、社保、医保、驾驶证、军

官证等相关的信息及影印件，可参考T/TAF040-2019《移动智能终端及应用软件用户个人信息保护实施

指南第2部分：个人信息分类分级》中的相关定义。

4缩略语

下列缩略语适用于本文件。

APP应用软件Application

5基本原则

应满足T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的最小必要原则。

T/TAF077.17-2021

2

6身份信息类型

身份信息类型可参考T/TAF040-2019《移动智能终端及应用软件用户个人信息保护实施指南第2部分：个人信息分类分级》中的相关定义及分类方法。

7典型业务场景

典型业务场景见表1。

表1典型业务场景

业务场景

采集说明

跨境交易服务

购买商品或服务订单中包含海外直邮商品，需根据海关政策要求提供付款人的真实姓名和收