APP用户权益保护测评规范 第1部分：超范围收集个人信息.docx

ICS33.050CCSM30

团体标准

T/TAF078.1—2023代替T/TAF078.1—2020

APP用户权益保护测评规范

第1部分：超范围收集个人信息

Applicationsoftwareuserrightsprotectionevaluationspecification—

Part1:Overcollectionofpersonalinformation

2023-06-26发布2023-06-26实施

电信终端产业协会发布

T/TAF078.1—2023

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5超范围收集个人信息 2

5.1超范围收集 2

5.2超频次收集 2

5.3SDK超范围收集 3

5.4SDK超频次收集 3

5.5静默后台超范围收集 3

5.6静默后台超频次收集 3

5.7SDK静默后台超范围收集 4

5.8SDK静默后台超频次收集 4

T/TAF078.1—2023

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是T/TAF078《APP用户权益保护测评规范》的第1部分。T/TAF078已发布了以下部分：

——第1部分：超范围收集个人信息；——第2部分：定向推送；

——第3部分：个人信息获取行为；——第4部分：权限索取行为；

——第5部分：违规使用个人信息；——第6部分：违规收集个人信息；——第7部分：欺骗误导强迫行为；

——第8部分：移动应用分发平台管理；

——第9部分：移动应用分发平台信息展示；——第10部分：自启动和关联启动行为。

本文件代替T/TAF078.1—2020《APP用户权益保护测评规范超范围收集个人信息》，与T/TAF078.1—2020相比，除结构调整和编辑性改动外，主要技术变化如下：

a)题目增加了“第1部分：”；

b)引言中增加了“和《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》”；

c)新增了“不得仅以服务体验、产品研发、算法推荐、风险控制等为由，强制要求用户同意超范围或者与服务场景无关的个人信息处理行为”的要求（见5.1b）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、蚂蚁科技集团股份有限公司、武汉安天信息技术有限责任公司、维沃移动通信有限公司、OPPO广东移动通信有限公司。

本文件主要起草人：周飞、李京典、桑明臣、李可心、陈鑫爱、王艳红、杜云、宁华、臧磊、常浩伦、李鑫、凌大兵、林冠辰、陈诚、王倩、张玮、李腾。

——2020年首次发布为T/TAF078.1—2020；——本次为第一次修订。

T/TAF078.1—2023

III

引言

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于进一步提升移动互联网应用服务能力的通知》提出检测细则，进一步促进移动互联网行业的健康稳定发展。

T/TAF078.1—2023

1

APP用户权益保护测评规范第1部分：超范围收集个人信息

1范围

本文件规定了移动应用软件超范围收集个人信息的检测细则以及典型检测场景。

本文件适用于移动应用软件提供者规范应用使用与个人信息相关的权限索取的行为，也适用于主管部门、第三方评估机构等组织对移动应用软件收集使用个人信息行为进行监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T41391—2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求

YD/T2407—2021移动智能终端安全能力技术要求

YD/T4177.1—2022移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分：总则

3术语和定义

下列术语和定义适用于本文件。3.1

移动智能终端smartmobileterminal

能够接