T/TAF 077.6-2020 ICS 33.050 M 30 团体标 准 T/TAF 077.6-2020 APP收集使用个人信息最小必要评估规范 软件列表 Application software user personal information collection and usage minimization and nece ssity evaluation specification Application software list 2020-11-26发布 2020-11-26实施 电信终端产业协会 发布 全国团体标准信息平台 T/TAF 077.6-2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义和缩略语 ................................ ................................ . 1 3.1 术语和定义 ................................ ................................ ..... 1 4 软件列表 ................................ ................................ ........... 2 4.1 软件列表信息分类 ................................ ............................... 2 4.2 软件列表收集使用常见业务场景 ................................ ................... 2 4.3 软件列表收集最小必要原则 ................................ ....................... 2 5 个人信息处理活动中软件列表的最小必要性评估要求 ................................ ..... 2 5.1 收集阶段 ................................ ................................ ....... 2 5.2 存储阶段 ................................ ................................ ....... 3 5.3 使用阶段 ................................ ................................ ....... 3 5.4 共享、转让阶段 ................................ ................................ . 3 5.5 删除阶段 ................................ ................................ ....... 3 全国团体标准信息平台 T/TAF 077.6-2020 II 前 言 本标准按照 GB/T 1.1-2020给出的规则 起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位： 中国信息通信研究院、 安徽捷兴信源信息技术有限公司 、上海寻梦信息技术有限 公司、小米科技有限责任公司 。 本标准主要起草人： 常浩伦、 汤立波、 臧磊、于润东 、杨澄宇、 盛大江、琭婧、王乐、徐学义。 全国团体标准信息平台 T/TAF 077.6-2020 III 引 言 本标准根据《中华人民共和国网络安全法》等相关法律要求，依据 GB/T 35273 -2020《信息安全技 术 个人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人信息 软件列表的收集、存 储、使用、传输、提供、公开等活动中的最小必要信息规范和评估准则，旨在对移动互联网行业收集使 用软件列表 进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。 全国团体标准信息平台 T/TAF 077.6-2020 1 APP收集使用个人信息最小必要评估规范 软件列表 1 范围 本标准旨在贯彻个人信息收集使用的最小必要的原则，针对移动 APP收集、存储、 使用、共享、删 除用户软件列表 各环节提出相应的最小必要性符合度评估项，并结合典型场景对 APP最小必要处理 软件 列表进行规定。 本标准适用于 指导移动互联网应用软件 开发者规范对 软件列表 的处理，也适用于主 管监管部门、第 三方评估机构等组织对移动互联网应用程序收集 软件列表 行为进行监督、管理和评估。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。 GB/T 35273—2020 信息安全技术 个人信息安全规范 T/TAF 077.1 -2020 APP收集使用个人信息最小必要评估规范 总则 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本 标准。 3.1.1 移动智能终端 smart mobil e terminal 能够接入移动通信网，具有能够提供应用软件开发接口的开放操作系统，具有安装、加载和运行应 用软件能力的终端。 3.1.2 移动应用软件 mobile application software 针对智能终端所开发的应用程序， 包括智能终端 预置应用以及互联网信息服务提供者提供的可以通 过智能终端下载、安装、升级 、卸载的应用。 注：本标准中规定的移动应用软件（ APP）即为个人信息处理者。 3.1.3 个人信息处理 personal information processing 个人信息处理包括个人信息的收集、存储、 使用、加工、 传输、提供、公开等活动 。 3.1.4 全国团体标准信息平台 T/TAF 077.6-2020 2 告知同意 inform consent 应用通过弹窗或产品界面等方式提示通知用户收集使用相关权限或信息的目的、方式、范围等，并 获用户做出明确授权的行为。 4 软件列表 软件列表隶属于 GB/T 35273—2020 信息安全技术 个人信息安全规范 举例的个人常用设备 信息， 与其他信息结合 可能反映特定自然人活动情况 、兴趣爱好，具有敏感 特性。 4.1 软件列表 信息分类  软件名称类，包含软件包名、软件名称 、安装包 MD5等；  文件路径类，包含 App路径、数据路径等；  软件配置类，包含安装时 间、更新时间 、文件大小 等。 4.2 软件列表收集使用 常见业务场景 a) 功能管理类： 以向用户提供 “应用分发、升级 、备份、删除” 等功能为目的，收集使用软 件列表信息的场景。 b) 文件扫描类： 以向用户提供“杀毒、文件扫描”等功能为目的，收集使用软件列表信息的 场景。 c) 功能交互类 ：以向用户提供 “调用、唤醒第三方应用” 等功能为目的， 收集使用软件列表 信息的场景 。 d) 统计类：以“统计软件安装数据 ”为目的， 收集使用软件列表信息的场景 。 4.3 软件列表收集最小必要原则 软件列表的 收集应满足 T/TAF 077.1 -2020《APP收集使用个人信息最小必要 评估规范 总则》， 4 中的最小必要原则 ，即应只收集功能和业务直接关联的或所需的个人信息 ，结合常见业务场景 给出最小 必要范围。 a) 功能管理类 ：仅限在 功能管理业务 场景下收集软件列表涉及的 “软件名称类，文件路径类、 软件配置类 ”信息。 b) 文件扫描类： 仅限在文件扫描 业务场景 下收集软件列表涉及的“ 软件名称类，文件路径类 、 软件配置类 ”信息。 c) 功能交互 类：仅限在需 调用、唤醒第三方应用 时收集软件列表涉及的 “软件名称类 ”信息。 d) 统计类： 仅限在统计功能 场景下收集软件列表 涉及的“软件名称类、软件配置类 ”信息 。 5 个人信息处理活动中软件列表 的最小必要性评估要求 5.1 收集阶段 a) 在隐私政策中 向个人信息主体告知 收集、使用个人信息的