APP用户权益保护测评规范 第6部分：违规收集个人信息.docx

ICS33.050CCSM30

团体标准

T/TAF078.6—2023代替T/TAF078.6—2020

APP用户权益保护测评规范

第6部分：违规收集个人信息

Applicationsoftwareuserrightsprotectionevaluationspecification—

Part6:Illegalcollectionofpersonalinformation

2023-06-26发布2023-06-26实施

电信终端产业协会发布

T/TAF078.6—2023

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5违规收集个人信息 3

5.1概述 3

5.2未见明示 3

5.3有明示未同意 3

5.4明示不清晰 3

5.5未见明示SDK 3

5.6明示SDK未同意 4

5.7明示SDK不清晰 4

5.8同意不清晰 4

5.9默认同意 4

5.10拒绝同意 4

参考文献 5

T/TAF078.6—2023

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是T/TAF078《APP用户权益保护测评规范》的第6部分。T/TAF078已发布了以下部分：

——第1部分：超范围收集个人信息；——第2部分：定向推送；

——第3部分：个人信息获取行为；——第4部分：权限索取行为；

——第5部分：违规使用个人信息；——第6部分：违规收集个人信息；——第7部分：欺骗误导强迫行为；

——第8部分：移动应用分发平台管理；

——第9部分：移动应用分发平台信息展示；——第10部分：自启动和关联启动行为。

本文件代替T/TAF078.6—2020《APP用户权益保护测评规范违规收集个人信息》，与T/TAF078.6—2020相比，除结构调整和编辑性改动外，主要技术变化如下：

a)题目增加了“第6部分：”；

b）增加了规范引用文件（见第2章）；

c）增加了“用户”“同意”等的定义（见第3章）；

d）增加概述（见5.1）；

e）增加突出显示敏感个人信息的内容（见5.2b、5.5b）；

f）增加默认同意的内容（见5.9b）；g）增加拒绝同意的要求（见5.10）。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、蚂蚁科技集团股份有限公司、武汉安天信息技术有限责任公司、维沃移动通信有限公司、OPPO广东移动通信有限公司。

本文件主要起草人：陈鑫爱、周飞、李可心、李京典、王艳红、杜云、宁华、臧磊、常浩伦、李鑫、赵昕、林冠辰、陈诚、余丽娜、张玮、李腾、赵鹏阳。

本文件及其所代替文件的历次版本发布情况为：——2020年首次发布为T/TAF078.6—2020；

——本次为第一次修订。

T/TAF078.6—2023

III

引言

本文件根据《中华人民共和国网络安全法》等相关法律要求，依据《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于进一步提升移动互联网应用服务能力的通知》提出检测细则，进一步促进移动互联网行业的健康稳定发展。

T/TAF078.6—2023

1

APP用户权益保护测评规范第6部分：违规收集个人信息

1范围

本文件规定了移动应用软件及第三方软件开发工具包违规收集个人信息部分的检测细则以及典型检测场景。

本文件适用于移动应用软件提供者规范用户收集使用个人信息处理活动，也适用于主管部门、第三方评估机构等组织对移动应用软件收集使用个人信息行为进行监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T41391—2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求

YD/T2407—2021移动智能终端安全能力技术要求

YD/T4177.1—2022移动互联网应用程序（AP