ICS 33.050 CCS M 30 团体标 准 T/TAF 180.2—2023 小程序个人信息保护规范 第2部分：个人信息收集行为 Specification of personal information protection for mini -program— Part 2: Act of collecting personal information 2023-10-31发布 2023-10-31实施 电信终端产业协会 发布 T/TAF 180.2—2023 I 目次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 概述 ................................ ................................ ................. 2 5 告知同意 ................................ ................................ ............. 2 5.1 通用要求 ................................ ................................ ......... 2 5.2 收集敏感个人信息告知同意 ................................ ......................... 2 6 申请使用授权 ................................ ................................ ......... 3 7 收集行为要求 ................................ ................................ ......... 3 8 拒绝或撤回同意要求 ................................ ................................ ...3 附录A（规范性）小程序可申请的信息名称及对应范围 ................................ ........ 4 T/TAF 180.2—2023 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规则 起草。 本文件是 T/TAF 180《小程序个人信息保护规范》的第 2部分。T/TAF 180已发布以下部分： ——第1部分：申请授权行为； ——第2部分：个人信息收集行为； ——第3部分：全流程开发管理； ——第4部分：全生命周期。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息服务有限公司、阿 里巴巴(中国)有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、荣耀终端有限公司、厦 门美柚股份有限公司、小米通讯技术有限公司、上海兆言网络科技有限公司、郑州信大捷安信息技术股 份有限公司、北京三快在线科技有限公司、华为技术有限公司、博鼎实华（北京）技术有限公司、中兴 通讯股份有限公司。 本文件主要起草人：武林 娜、宋恺、刘陶、王艳红、王淞鹤、王宇晓、桑明臣、李可心、李京典、 周飞、陈鑫爱、宁华、杜蕾、李昳婧、方强、落红卫、谷晨、王昕、林冠辰、赵晓娜、黄鹏华、顾泽宇、 钱雷、刘献伦、刘为华、刘瑾、王芳、李实、董霁、张宏伟。 T/TAF 180.2—2023 III 引 言 小程序作为移动互联网行业中的新形态应用软件，以其轻量化、免安装等特性广受软件开发者、互 联网用户的欢迎。 但同时小程序中也存在各类个人信息相关的安全问题， 危害用户隐私及个人财产安全。 在工业和信息化部发布的《关于开展纵深推进 APP侵害用户权益专项整治行动的通 知》（工信部信管 〔2020〕164号）中提到了关于规范小程序新形态应用的要求，因此计划建立小程序个人信息保护规范， 规范小程序的个人信息处理等行为，提升小程序个人信息保护能力。 T/TAF 180拟由4个部分构成 ： ——小程序个人信息保护规范 第1部分：申请授权 行为； ——小程序个人信息保护规范 第2部分：个人信息 收集行为； ——小程序个人信息保护规范 第3部分：全流程开发管理； ——小程序个人信息保护规范 第4部分：全生命周期。 T/TAF 180.2—2023 1 小程序个人信息保护规范 第2部分：个人信息收集 行为 1 范围 本文件主要规定 了小程序收集个人信息行为的相关规范、 小程序收集个人信息行为的典型场景及检 测要求和细则。 本文件适用于小程序对其收集个人信息行为进行设计、开发和评估，也适用于主管部门、第三方评 估机构等组织对小程序进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/TAF 180.1 小程序个人信息保护规范 第1部分：申请授权行为 3 术语和定义 下列术语 和定义适用于本文件。 3.1 框架型应用软件 frame-based application software 在移动智能终端上运行，提供数据访问控制和小程序分发等管理能力，并为在其上运行的第三方小 程序提供相应开发接口的应用软件。 3.2 小程序 mini-program 在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项特定功能的 免安装的应用软件。 3.3 个人信息 personal information 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息， 不包括匿名化处理后的 信息。 3.4 敏感个人信息 sensitive personal information T/TAF 180.2—2023 2 一旦泄露或者非法使用 ,可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周 岁未成年人的个人信息 。 3.5 业务功能 business function 满足个人信息主体具体使用需求的服务能力。 3.6 授权 authorization 框架型应用软件为小程序提供的申请数据或资源的一种方式。 范围涵盖框架型应用所存储的数据或 资源及其从操作系统 中获取到的数据或资源。 注：本文中“授权”所对应的“权限”范围主要指框架型应用可以授予给小程序的权限，和 APP申请终端敏感权限 的范围不同。 4 概述 根据收集方式的不同，小程序实现告知同意、申请使用授权、收集行为和拒绝或撤回同意的方式存 在差异，主要有以下两种情况： a) 直接收集：小程序仅通过自身收集个人信息的方式，小程序应自行实现 第5章-第8章要求； b) 间接收集：小程序通过框架类应用软件收集的方式，可借助框架类应用软件实现 第5章-第8 章要求，若框架类应用软件未提供便利的实现方式，小程序应自行实现 第5章-第8章要求。 5 告知同意 5.1 通用要求 小程序收集个人信息的告知同意应满足以下要求： a) 收集个人信息前应向用户告知并获得授权同意或具备其他合法性基础， 告知方式包括但不限于 个人信息处理规则、授权弹窗等； b) 个人信息处理规则应简洁、清晰描述其收集个人信息的目的、方式及范围； c) 小程序向用户征求收集个人信息的同意环节，应提供明确的同意或拒绝选项，不应仅使用“好 的”、“我知道了”等无法清晰表达用户同意的词语，不应设置为默认同意或采用默认勾选、 缩小文字、冗长文本等方式诱导用户同意个人信息处理规则； d) 小程序应将个人信息处理规则访问入口放置在功能 菜单的明显入口，