《软件开发工具包（SDK）用户权益和个人信息保护技术要求 第2部分：推送类》.doc

TAF-WG4AS0001-V1.0.0

PAGE

PAGEII

团体标准

T/TAFXXX-XXXX

软件开发工具包（SDK）用户权益和个人信息保护技术要求第2部分：推送类

TechnicalrequirementsforuserrightsandpersonalinformationprotectionofSoftwareDevelopmentKits(SDK)—

Part2:Pushcategory

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

PAGE6T/TAFXXX-XXXX

PAGE6

T/TAFXXX-XXXX

PAGE

PAGE6

PAGE

PAGE5

软件开发工具包（SDK）用户权益和个人信息保护技术要求

第2部分：推送类

范围

本文件规定了推送类SDK的个人信息处理要求、用户权益保护要求和业务功能划分及配置能力提供要求。

本文件适用于推送类SDK开发运营者规范自身个人信息处理活动，同时也适用于主管部门、第三方评估机构等对推送类SDK个人信息保护和用户权益保护能力进行监督和评估。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

T/TAF188—2023软件开发工具包（SDK）收集个人信息技术要求

T/TAF189—2023软件开发工具包（SDK）用户权益保障基本要求

术语和定义

T/TAF188—2023、T/TAF189—2023界定的以及下列术语和定义适用于本文件。

3.1

软件开发工具包开发运营者softwaredevelopmentkitoperator

软件开发工具包的开发者、所有者、管理者或提供者，也包括SDK相关的个人信息处理者。

注：简称SDK开发运营者。

3.2

移动互联网应用程序开发运营者mobileinternetapplicationoperator

移动互联网应用程序的开发者、所有者、管理者或提供者，也包括APP相关的个人信息处理者。

注：简称SDK使用者。

个人信息处理要求

收集要求

推送类SDK在个人信息收集过程中，除满足T/TAF188—2023、T/TAF189—2023相关要求外，还应满足以下收集要求。

非服务所必须且无合理场景不应强制收集不可变更的设备标识符；

基于位置开展的推送，SDK收集位置信息的频次应由SDK使用者根据业务需要设置合理的数值；

聚合其他第三方推送SDK的，应对第三方SDK个人信息保护能力进行评估，选择对最终用户影响最小的方式合理配置第三方SDK各项可选功能及可选个人信息。

存储要求

推送类SDK个人信息存储的要求如下：

存储在客户端的敏感个人信息应采取必要的加密、访问控制等措施；

存储在客户端的推送内容应根据业务需要设置合理的留存期限；

在超过为实现业务功能（包括基本业务功能和扩展业务功能）而设的最短存储期限时，SDK开发运营者应当对个人数据予以删除或者匿名化，法律法规另有规定、双方另有约定或最终用户另行授权同意的除外；

应对SDK开发运营者服务端存储的敏感个人信息进行分类分级管理，釆取不同级别的安全保障措施以确保个人信息在服务端的安全存储。

使用、加工要求

推送类SDK个人信息使用和加工的要求如下：

对于使用个人信息基于算法分析进行个性化推送的，应通过SDK使用者告知最终用户，并在用户同意的情况下开展对应业务；

开展推送业务过程中，应仅使用在当前SDK使用者应用软件中获取的个人信息，非服务所必须且无合理场景，不应对不同应用软件中获取的个人信息进行关联分析，如SDK使用个人信息进行关联分析，应征得最终用户同意，如有具体场景适用其他合法性基础，需要根据法律法规、相关国家标准的规定进行适用；

SDK开发运营者对个人信息的使用和加工范围应与收集个人信息时披露的使用目的有直接或合理的关联，法律法规另有规定的除外，且应保证加工过程可控、加工结果完整，不侵害个人信息主体的权益；

SDK获取个人信息，进行加工处理形成新的个人信息并用于其他目的，应获得最终用户的授权