ICS33.050 CCSM30 团体标准 T/TAF180.1—2023 小程序个人信息保护规范 第1部分：申请授权行为 Specificationofpersonalinformationprotectionformini-program— Part1:Actofapplyingforauthorization 2023-09-11发布 2023-09-11实施 电信终端产业协会发布T/TAF180.1—2023 I目次 前言..................................................................................II 引言.................................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4要求.................................................................................1 5小程序违规申请授权行为...............................................................2 5.1概述.............................................................................2 5.2拒绝授权小程序强制退出或关闭.....................................................2 5.3拒绝授权小程序弹窗循环...........................................................2 5.4申请无关授权.....................................................................2 5.5过度申请授权.....................................................................2 5.6频繁申请授权.....................................................................2 附录A（规范性）小程序可申请的授权及其对应的信息范围....................................4T/TAF180.1—2023 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则 起草。 本文件是T/TAF180《小程序个人信息保护规范》的第1部分。T/TAF180已发布以下部分： ——第1部分：申请授权行为。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息服务有限公司、阿 里巴巴(中国)有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、荣耀终端有限公司、厦 门美柚股份有限公司、小米通讯技术有限公司、上海兆言网络科技有限公司、郑州信大捷安信息技术股 份有限公司、北京三快在线科技有限公司、华为技术有限公司、博鼎实华（北京）技术有限公司、中兴 通讯股份有限公司。 本文件主要起草人：武林娜、宋恺、刘陶、王艳红、王淞鹤、王宇晓、桑明臣、李可心、李京典、 周飞、陈鑫爱、宁华、杜蕾、李昳婧、方强、落红卫、谷晨、王昕、林冠辰、赵晓娜、黄鹏华、顾泽宇、 钱雷、刘献伦、刘为华、刘瑾、王芳、李实、董霁、张宏伟。T/TAF180.1—2023 III引  言 随着移动互联网的发展，小程序作为常用互联网服务入口，已全面渗透用户生活，成为数字化时代 不可或缺的一部分。小程序在汇聚大量用户个人信息的同时，也存在处理个人信息方面的风险隐患。本 文件依据《中华人民共和国个人信息保护法》、《工业和信息化部关于开展纵深推进APP侵害用户权益 转向整治行动的通知》（工信部信管[2020]164号）等法律法规及规范性文件要求，对小程序的申请 授权行为进行规范，进一步提升小程序提供者的个人信息保护水平，促进移动互联网行业的健康稳定发 展。T/TAF180拟由4个部分构成： ——小程序个人信息保护规范第1部分：申请授权行为； ——小程序个人信息保护规范第2部分：个人信息收集行为； ——小程序个人信息保护规范第3部分：全流程开发管理； ——小程序个人信息保护规范第4部分：全生命周期。T/TAF180.1—2023 1小程序个人信息保护规范第1部分：申请授权行为 1范围 本文件规定了小程序申请授权行为部分的个人信息保护规范，包括小程序申请授权行为的典型检测 场景及检测细则。 本文件适用于小程序提供者对小程序的申请授权行为进行设计、开发和评估，也适用于主管部门、 第三方评估机构等组织对小程序的申请授权行为进行监督、管理和评估。 2规范性引用文件 本文件没有规范性引用文件。 3术语和定义 下列术语和定义适用于本文件。 3.1 框架型应用软件frame-basedapplicationsoftware 在移动智能终端上运行，提供数据访问控制和小程序分发等管理能力，并为在其上运行的第三方小 程序提供相应开发接口的应用软件。 3.2 小程序mini-program 在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项特定功能的 免安装的应用软件。 3.3 授权authorization 框架型应用软件为小程序提供的申请数据或资源的一种方式。范围涵盖框架型应用所存储的数据或 资源及其从操作系统中获取到的数据或资源。 4基本要求 小程序在申请授权时，应满足以下要求： a)小程序申请授权时，应同步告知申请使用的目的，目的应明确具体且易于理解，不包含任何欺 诈、诱骗、误导用户授权的描述； 注：框架类应用软件若为小程序提供同步告知的方式，可优先使用框架类应用软件提供的方式，避免重复告知干扰 用户。T/TAF180.1—2023 2b)小程序申请授权时，应在使用对应业务功能时提出申请，不应以捆绑方式要求用户一次性同意 多个授权，不得默认、捆绑或使用其他手段变相欺骗、误导、强迫个人信息主体授予权限； c)小程序申请授权应为实现业务功能所必需，且获得授权后收集个人信息不应超出业务功能的最 小必要范围； d)申请授权后，应仅访问满足业务功能需要的最少个人信息，且当实现相关功能不需要回传个人 信息则不应回传至后台服务器； e)若由于业务功能更新等原因变更个人信息处理的目的、方式、范围时，应重新告知用户并征得 用户同意； f)小程序应提供便捷、有效、完整的授权撤销渠道，可采用框架类应用软件提供的授权撤销渠道； g)未经用户同意，不应随意更改用户的授权状态； h)小程序不应产生5中违规申请授权的行为。 5小程序违规申请授权行为 5.1概述 小程序违规申请授权的行为包括拒绝授权小程序退出或关闭、拒绝授权小程序弹窗循环、申请无关 授权、过度申请授权、频繁申请授权，出现上述任意一种行为，则判定为小程序违规申请授权，其中具 体行为的具体定义参见本章5.2-5.6小节，申请授权的范围参考附录A。 5.2拒绝授权小程序强制退出或关闭 小程序运行时，向用户申请授权，用户拒绝授权后，小程序退出或关闭，或拒绝提供与申请授权无 关的功能服务。 5.3拒绝授权小程序弹窗循环 小程序运行时，向用户申请授权，若用户拒绝授权后，小程序循环弹窗申请授权，使用户无法继续 使用。 5.4申请无关授权 小程序向用户申请的授权，与其提供的业务功能或服务不具备合理的相关性。 5.5过度申请授权 小程序过度申请授权，具体场景包括但不限于以下方式： a)小程序运行时，未见使用授权对应的相关功能或服务，提前向用户弹窗申请授权。 b)小程序运行时，向用户申请授权的信息范围，超出其提供的功能或服务场景所必需的信息范围。 5.6频繁申请授权 小程序频繁申请授权，具体场景包括但不限于以下方式： a)小程序运行时，在用户明确拒绝授权申请后，向用户频繁弹窗申请与当前服务场景无关的授权， 影响用户正常使用。