T∕TAF 077.5-2020 APP收集使用个人信息最小必要评估规范 设备信息.docx

ICS33.050M30

团体标准

T/TAF077.5-2020

T/TAF077.5-2020

2020-11-26发布2020-11-26实施

电信终端产业协会发布

I

T/TAF077.5-2020

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义、缩略语 1

3.1术语和定义 1

3.2缩略语 2

4基本原则 2

5设备信息类型 2

6设备信息常见收集使用场景 3

7个人信息处理活动各环节最小必要评估要求 3

7.1收集阶段 3

7.2存储阶段 3

7.3使用阶段 3

7.4删除阶段 3

7.5例外情况 3

8评估流程和方法 3

参考文献 错误！未定义书签。

T/TAF077.5-2020

II

前言

本文件按照GB/T1.1-2020的规定起草。

本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、北京字节跳动有限科技公司。

本文件主要起草人：王宇晓、李梦月、杨骁涵、安潇羽、高震、张吉、刘凯红、田申、宁华、王艳红。

T/TAF077.5-2020

III

引言

随着移动移动互联网的迅速发展和日益成熟，移动智能终端功能的成熟与便利，设备信息已成为移动应用软件开展业务功能的重要组成部分。按照最小必要原则收集使用个人信息成为移动应用软件在个人信息处理活动中的主要目标。

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息设备信息的收集、存

储、使用、删除等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使用用户设备信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。

T/TAF077.5-2020

1

APP收集使用个人信息最小必要评估规范设备信息

1范围

本文件规定了移动应用软件在处理涉及用户个人信息（设备信息）的收集、存储、使用、删除等活动中的最小必要评估规范，并通过设备信息在处理活动中的典型应用场景来说明如何落实最小必要原则。

本文件适用于移动应用软件提供者规范用户个人信息（设备信息）的处理活动，也适用于第三方评估机构等组织对移动应用软件收集使用设备信息行为进行监督、管理和评估。

2规范性引用文件

下列文件对于本文件是必不可少的。其中，注日期的引用文件，仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010《信息安全技术术语》

GB/T35273-2020《信息安全技术个人信息安全规范》

T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》

3术语和定义、缩略语

3.1术语和定义

T/TAF077.1-2020界定的以及下列术语和定义适用于本文件。

3.1.1

移动智能终端smartmobileterminal

能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。

3.1.2

移动应用软件mobileapplication

针对移动智能终端所开发的应用程序，包括移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过智能终端下载、安装、升级、卸载的应用软件。

3.1.3

个人信息personalinformation

T/TAF077.5-2020

2

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

3.1.4

个人敏感信息personalsensitiveinformation

一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

3.2缩略语

下列缩略语适用于本文件。

APP应用软件Application

eSIM嵌入式SIM卡EmbeddedSIM

IMEI国际移动设备识别码InternationalMobileEquipmentIdentity

IDFA广告标识别符IdentifierFor