ICS33.050M30团体标准T/TAF077.11-2021APP收集使用个人信息最小必要评估规范通话记录Applicationsoftwareuserpersonalinformationcollectionandusageminimizationandnecessityevaluationspecification—Calllog2021-01-08发布2021-01-08实施电信终端产业协会发布T/TAF077.11-2021I目次前言..................................................................................II引言.................................................................................III1范围.................................................................................12规范性引用文件.......................................................................13术语、定义和缩略语...................................................................13.1术语和定义.......................................................................13.2缩略语...........................................................................14基本原则.............................................................................25通话记录典型应用场景.................................................................26权限申请最小必要规范.................................................................26.1读通话记录.......................................................................26.2写通话记录.......................................................................27收集使用最小必要规范.................................................................27.1收集.............................................................................27.2使用.............................................................................27.3存储.............................................................................37.4删除.............................................................................38评估流程和方法.......................................................................3T/TAF077.11-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位:中国信息通信研究院、北京奇虎科技有限公司、北京字节跳动科技有限公司、华为技术有限公司、维沃移动通信有限公司、OPPO广东移动通信有限公司、中国移动通信集团终端有限公司。本文件主要起草人:姚一楠、刘奇明、张屹、宁娇、王宇晓、衣强、贾科、李腾、宁华、王艳红、于乐。T/TAF077.11-2021III引言通话记录信息是APP在实现业务时被广泛应用的个人信息,在我国国家标准GB/T35273-2020中,将通话记录信息列为个人敏感信息,代表了用户的通话记录信息具有较高的敏感程度,然而在一些场景,存在着对通话记录过度收集使用的情况,侵害了用户权益。因此本文件旨在规范通话记录信息的收集和使用要求,为APP收集使用通话记录信息时提出相应要求和指导。T/TAF077.11-20211APP收集使用个人信息最小必要评估规范通话记录1范围本文件规定了移动应用软件收集使用终端产生的通话记录信息的最小必要原则及安全要求。本文件适用于移动应用软件提供者规范用户个人信息(通话记录)的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动应用软件收集使用通话记录行为进行监督、管理和评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T35273-2020信息安全技术个人信息安全规范T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则3术语、定义和缩略语3.1术语和定义GB/T35273-2020和T/TAF077.1-2020界定的以及下列术语和定义适用于本文件。3.1.1通话记录calllog指移动智能终端用户发起的主叫通话、被叫通话等通话行为后在终端设备内记录的信息。注:通常包括通话姓名、通话号码、通话日期、通话时长、通话类别、标记等信息。3.1.2个人信息主体personalinformationsubject个人信息所标识或者关联的自然人。[来源:GB/T35273-2020,3.3]3.1.3个人信息控制者personalinformationcontroller有能力决定个人信息处理目的、方式等的组织或个人。[来源:GB/T35273-2020,3.4]3.2缩略语下列缩略语适用于本文件。APP移动应用软件ApplicationT/TAF077.11-202124基本原则应满足T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的最小必要原则。5通话记录典型应用场景通话记录信息具有较高的敏感程度,应在合理的场景下使用,以下给出APP允许收集使用通话记录信息的典型场景:a)安全类:实现骚扰电话检测、标记、屏蔽等;b)通讯类:实现通话功能(如语音通话,视频通话等),操作本设备或关联设备(如配对手表、汽车等)进行通讯活动等;c)管理类:实现信息备份/恢复,归类管理等;d)共享类:配合手表、电脑、汽车等智能设备进行跨设备间通话信息转移等;e)验证类:APP通过拨打电话进行业务验证,读通话记录中有无相应号码确定是否接到来电。6权限申请最小必要规范6.1读通话记录a)若APP需要通过申请操作系统权限收集通话记录信息,则应在采集行为发生前申请读通话记录权限,并应确保个人信息主体对于申请的授权是其在完全知情的基础上自主给出的、清晰明确的意愿表示。b)APP申请读通话记录权限的典型场景包括本文件第5章定义的安全类、通讯类、管理类、共享类、验证类场景。6.2写通话记录a)若APP需要通过申请操作系统权限编辑通话记录信息,则应在编辑行为发生前申请写通话记录权限,并应确保个人信息主体对于申请的授权是其在完全知情的基础上自主给出的、清晰明确的意愿表示。b)APP申请写通话记录权限的典型场景包括本文件第5章定义的安全类、通讯类、管理类场景。7收集使用最小必要规范7.1收集APP服务器端收集通话记录信息应满足以下要求:a)应在收集通话记录前明确告知个人信息主体收集的目的、方式、范围,经个人信息主体同意后才能收集。b)应按照满足服务需要的最小范围收集通话记录信息,如电话验证场景应仅收集验证开始时间以后,且和主叫号码相同的通话记录信息。c)应按照满足服务需要的最低频率收集通话记录信息。7.2使用APP服务器端使用通话记录信息应满足以下要求:T/TAF077.11-20213a)应尽可能在APP客户端侧加工处理通话记录信息,如需传输到APP服务器端,则应在隐私政策中说明使用的目的、方式、范围。b)应严格按照使用目的使用通话记录信息,若需扩大使用目的,则应在使用前再次告知并经个人信息主体同意后才能使用。7.3存储APP服务器端存储通话记录信息应满足以下要求:a)通话记录信息的存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。b)除备份/恢复及骚扰电话标记等安全类场景外,其余场景宜仅在APP客户端侧本地存储或不存储通话记录信息。7.4删除APP服务器端删除通话记录信息应满足以下要求:a)超出约定的存储期限后,个人信息控制者应及时删除或匿名化通话记录信息。b)当个人信息主体主动申请注销服务后,个人信息控制者应在承诺期限内删除或匿名化通话记录信息。c)当个人信息控制者停止运营其收集使用通话记录信息的服务时,应停止继续收集通话记录信息,并及时删除或匿名化通话记录信息。8评估流程和方法APP收集使用通话记录最小必要的评估流程和方法应遵循T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的评估流程和方法。T/TAF077.11-2021电信终端产业协会团体标准APP收集使用个人信息最小必要评估规范:通话记录T/TAF077.11—2021*版权所有侵权必究电信终端产业协会印发地址:北京市西城区新街口外大街28号电话:010-82052809电子版发行网址: