T-TAF 077.9-2022 APP收集使用個人信息最小必要評估規(guī)范 第9部分：短信信息

minimizationandnecessityevaluationspecification—電信終端產(chǎn)業(yè)協(xié)會發(fā)布I 1 1 1 1 1 1 1 2 3 3 3 5 6 6 7 7 7 7 7本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定本文件是T/TAF077《APP收集使用個人信息最小必要評估規(guī)本文件代替T/TAF077.9-2021《APP收集使用個人信息最小必要評估規(guī)范短信信息》，與T/TAF077.9-2021相比，除結構調(diào)整和編輯性改動外，主要技術）；b)在“典型應用場景”中增加了七類應用場景（見第6章，2021年版的4請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。劉陶、王宇曉、趙曉娜、衣強、馮娜、李然、吳怡、陳刪除等活動中的最小必要信息規(guī)范和評估準則，旨在對移動互聯(lián)網(wǎng)行業(yè)收集使用用戶短信信息進行規(guī)1APP收集使用個人信息最小必要評估規(guī)范第9部分：短信信息本文件是APP收集使用個人信息最小必要評估規(guī)范系列標準中的短信信息部分，旨在貫徹5G消息等多媒體方式）等各環(huán)節(jié)提出相應的最小必要性符合度評估項，并結合典型場景，對AP三方評估機構等組織對移動互聯(lián)網(wǎng)應用程序收集GB/T35273信息安全技術個人信息安全T/TAF077.1-2020APP收集使用個人信息最小必要評估規(guī)范總則GB/T35273和T/TAF077.1-2020界定的術語和定義適用于APP：應用軟件（ApplicatioMMS：彩信（MultimediaMessage）4基本原則對個人信息處理活動中短信信息收集使用的原則應滿足T/TAF077.1-2020《APP收集使用個人信息2本文件將短信信息包含的信息類型劃分為如下類型人信息、包含的個人信息的類目數(shù)量以及包含的具體個人信息類型取決于每個短信內(nèi)容的本——時間：移動終端設備用戶接收或發(fā)送該條短信的時間。a)短信云備份：以數(shù)據(jù)備份為目的，APP將用戶終端上的短信信息傳輸至遠端服務器上b)驗證碼便捷獲?。阂詤f(xié)助用戶完成登錄或支付操作為目的，APP識別短信中的驗證碼并提示用c)便捷短信查詢與服務訂閱：以便利用戶操作為目的，APP幫助用戶發(fā)送特定短d)短信優(yōu)化編輯與發(fā)送：以協(xié)助用戶編輯并發(fā)送短信為目的，APP提供短信編輯e)短信功能體驗增強：以增強用戶短信功能體驗為目的，APP為用戶提供如短g)騷擾攔截：以幫助用戶攔截、屏蔽用戶不期望接收的短信信息為目的，APP識h)服務智能化：以改善服務智能化程度或用戶體驗為目的，APP訪問用戶短信信息的場景。j)跨設備同步或轉移短信：在多個設備上（例如手機和筆記本電3m)車載免提使用和投影顯示：與駕駛/出行的核心功能（例如導航）直接相n)呼救短信：可在發(fā)生人身安全或緊急狀況時發(fā)送報警短信。o)用戶數(shù)據(jù)本地備份與還原：用戶的事務性備份和還原以及企業(yè)的歸檔（限時/a)基于用戶個人同意收集處理個人信息的：若僅在本地收集處理短信信息，APP應向用戶聲明收始收集；若存在非本地處理的情形，APP應明確告知用戶需傳輸至遠端的短信信息類型及收集處理的目的、方式、范圍，并經(jīng)用戶選擇同意后方d)APP處理的短信信息若涉及著作權、肖像權等法律問題的，應遵循國家相關規(guī)定的要求，本文a)首次啟動時，若用戶拒絕授權短信權限，應用不應退出序號信信信信1 √ √ 2 √√ √3√ √ √4√ 5 √√ √6 √ √ 7 √√√√8 √√√√9√√√√√4序號信信信信√√√√√√√√√√√√√√√√√√√√√ √√√ 1 2 3 4——5 6 7 8 APP在滿足業(yè)務正常開展的前提下，應以最低頻次調(diào)用相關短信權限，且僅訪問與業(yè)a)用戶主動觸發(fā)：通過明確的用戶知悉影響的動作，如點擊APP交互界面上特定的按鈕，觸發(fā)相注：觸發(fā)后，跳轉到短信界面由用戶進行后續(xù)操作的，不需要APP申請相應b)固定周期訪問：以明示并經(jīng)用戶確認同意的固定周期調(diào)用相關權限。c)短/彩信到達觸發(fā)：在App已申請接收短、彩信權限時，當接收到新的短信或彩59 —典型場景下，APP在用戶終端本地可收集短1√√√√2√√√√3便捷短信查詢與服務訂閱√√√√4XXXX5√√√√6√√√√7√√√√8√√√√9√√√√6√√√√√√√√√√√√車載免提使用和投影顯示√√√√XXXX1√√√√2XXXX3XXXX4XXXX5√XX√6XXXX7√√√√8√√√√9X√√√X√XXXXXX√√√√XXXX√√√√XXXX用戶數(shù)據(jù)本地備份與還原√√√√APP服務器端存儲短信信息應滿足以下要求：a)短信信息的存儲期限應為實現(xiàn)個人信息主體授權使用b)除用戶主動上報的垃圾短信外，其余場景下，應加密存儲c)在APP服務端上存儲的移動終端用戶的短信信息應不超過按7.4節(jié)要求評估后允許遠程傳輸?shù)?APP服務器端使用短信信息應嚴格按照收集目的使用短信信息，若需擴大使用目的，則應在使用前評估方實施APP收集使用短信信息最小必要評估的流程和方法應遵循T/TAF077.1-2020《APP收集使用個人信息最小必要評估規(guī)范總則》中的評估b)評估方根據(jù)被評估方提交的說明材料的業(yè)務場景初步判斷被評估對象是否有必要收集使用短2）若被評估對象的業(yè)務場景并非典型應用場景，則評估方應基于T/TAF077.1-2020《移動互c)確定評估基準?；诒疚募?章基本要求確定針對被1）告知同意符合性評估：基于7.1節(jié)要求，檢查2）權限申請最小化評估：檢查被評估對象申請的短3）調(diào)用行為最小化評估：檢查被評估對象4）本地收集最小化評估：檢查被評估對象通過系統(tǒng)API收集5）遠程傳輸最小化評估：檢查被評估對象傳輸出終端1）存儲安全措施評估：被評估方應提供舉證材料證施符合7.5節(jié)的要求；必要時，評估方可采用現(xiàn)場核2）使用目的一致性評估：被評估方應提供舉證材料證明短信信息的在APP服務8b)檢查APP在非本地收集處理短信信息前，c)檢查若短信信息的處理目的、處理方式、保存期限等發(fā)生變更，APP是否重新告知并取得個人信息a)運行APP，檢查APP在首次啟動時，預期結果：若以上測試步驟結果為肯定，則測試項判定為符合，否則判定為不預期結果：若以上測試步驟結果為肯定，則測試項判定為符合，否則判定為不a)運行APP，檢查當用戶拒絕短9預期結果：若以上測試步驟結果為肯定，則測試項判定為符合，否則判定為不a)運行APP，檢查APP在滿足業(yè)務正常開展的前提下a)運行APP，檢查APP在用戶終端本地收集短信信息類型是否符合表4。預期結果：若以上測試步驟結果為肯定，則測試項判定為符合，否則判定為a)運行APP，檢查APP在傳輸用戶短信信息預期結果：若以上測試步驟結果為肯定，則測試項判定為符合，否則判定為不a)運行APP，檢查APP服務器端的短信信息存儲期預期結果：若以