T∕TAF 077.9-2021 APP收集使用个人信息最小必要评估规范 短信信息.docx

ICS33.050M30

团体标准

T/TAF077.9-2021

T/TAF077.9-2021

2021-01-08发布2021-01-08实施

电信终端产业协会发布

I

T/TAF077.9-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语、定义和缩略语 1

3.1术语和定义 1

3.2缩略语 1

4短信信息与必要使用场景类型 1

4.1短信信息的信息类型 1

4.2典型场景类型 2

5本地访问必要性评估 2

5.1权限申请最小化 2

5.2调用行为最小化 3

6收集使用最小必要评估 4

6.1收集 4

6.2存储 5

6.3使用 5

6.4删除 5

T/TAF077.9-2021

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、OPPO广东移动通信有限公司、北京奇虎科技有限公司、华为技术有限公司、深圳市腾讯计算机系统有限公司。

本文件主要起草人：贾科、宁华、王艳红、李腾、姚一楠、衣强。

T/TAF077.9-2021

III

引言

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人短信信息的收集、存储、使用、删除等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用用户短信信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。

T/TAF077.9-2021

1

APP收集使用个人信息最小必要评估规范短信信息

1范围

本文件是APP收集使用个人信息最小必要评估规范系列标准中的短信信息部分，旨在贯彻个人信息收集使用的最小必要的原则，针对移动APP访问、收集、存储、使用、删除用户手机短信信息等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对APP最小必要处理短信信息的进行规定。

本文件适用于规范移动互联网应用软件开发者对用户短信信息的处理，也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集短信信息行为进行监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则

3术语、定义和缩略语

3.1术语和定义

T/TAF077.1-2020界定的术语和定义适用于本文件。

3.2缩略语

下列缩略语适用于本文件。

APP应用软件Application

SMS短信ShortMessage

4短信信息与必要使用场景类型

4.1短信信息的信息类型

本文件将短信信息包含的信息类型划分为如下类型：

—本机用户标识：用于识别或区分短信、彩信信息所在移动终端设备用户的的标识信息，可包括发送者的手机号等；依据短信信息的发送方，本机用户标识可以是短信信息的发送者标识，也可以是短信信息的接收者标识。

T/TAF077.9-2021

2

—对端标识：用于识别或区分短信、彩信信息所在移动终端设备用户的的短信通信对端标识信息，包括接收者的手机号等。

—短信内容：为短信发送者编辑并发送给接收者的各种格式的内容。单一的短信内容是否包含个人信息、包含的个人信息的类目数量以及包含的具体个人信息类型取决于每个短信内容的本身。

—时间：移动终端设备用户接收或发送该条短信的时间。

短信信息

本机用户标识

对端标识

短信内容

时间

4.2典型场景类型

以改善服务智能化程度或用户体验为目的，APP访问用户短信信息的场景。

5本地访问必要性评估

5.1权限申请最小化

短信权限作为敏感权限，APP在申请短信权限时应满足如下要求：

a)