搜索
ICS33.050M30团体标准T/TAF077.16-2021APP收集使用个人信息最小必要评估规范交易记录Applicationsoftwareuserpersonalinformationcollectionandusageminimizationandnecessityevaluationspecification—Transactionrecords2021-01-15发布2021-01-15实施电信终端产业协会发布T/TAF077.16-2021I目次前言................................................................................II引言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15基本原则...........................................................................26交易记录涉及的个人信息类型.........................................................27交易记录涉及的个人信息常见收集使用场景.............................................28个人信息处理活动中交易记录的最小必要规范..........................................28.1收集..........................................................................28.2存储..........................................................................28.3使用..........................................................................38.4共享给第三方..................................................................38.5删除..........................................................................39评估流程和方法....................................................................3附录A(资料性)个人信息处理类别及对应常见场景实例....................................4T/TAF077.16-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位:中国信息通信研究院、小米科技有限责任公司、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京奇虎科技有限公司、华为技术有限公司、北京三快在线科技有限公司、阿里巴巴(中国)有限公司、北京字节跳动科技有限公司。本文件主要起草人:任冠一、周圣炎、王艳红、杜云、宁华、武林娜、胡月、陈鑫爱、周飞、李京典、汤立波、常浩伦、李腾、毛欣怡、贾科、姚一楠、衣强、方强、贾雪飞、杨骁涵、王宇晓、安潇羽。T/TAF077.16-2021III引言本文件根据《中华人民共和国网络安全法》等相关法律要求,依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则,提出移动应用软件在处理涉及个人信息的收集、存储、使用、加工、传输、提供、公开等活动中的最小必要信息规范和评估准则,旨在对移动互联网行业收集使用用户个人信息进行规范,落实最小、必要的原则,进一步促进移动互联网行业的健康稳定发展。T/TAF077.16-20211APP收集使用个人信息最小必要评估规范交易记录1范围本文件旨在贯彻个人信息收集使用的最小必要的原则,针对移动APP访问、收集、存储、处理、销毁用户个人信息等各环节提出相应的最小必要性符合度评估项,并结合典型场景,对APP最小必要处理交易记录的进行规定。本文件适用于指导移动互联网应用软件开发者规范对用户交易记录的处理,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集个人信息行为进行监督、管理和评估。本文件适用范围仅适用于电商场景的交易记录(订单)中包含的个人信息,不包含现金流交易记录中包含的个人信息。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069-2010信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则3术语和定义GB/T35273-2020和T/TAF077.1-2020界定的以及下列术语和定义适用于本文件。3.1移动智能终端smartmobileterminal能够接入移动通信网,具有能够提供应用软件开发接口的操作系统,具有安装、加载和运行应用软件能力的终端。3.2移动应用软件mobileapplication针对移动智能终端所开发的应用程序,包括移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过智能终端下载、安装、升级、卸载的应用软件。4缩略语T/TAF077.16-20212下列缩略语适用于本文件。APP应用软件Application5基本原则应满足T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的最小必要原则。在针对用户的个人敏感信息进行收集、存储、使用、共享给第三方和删除,应提前告知用户并获得用户授权同意,不应在用户不知情的情况下对个人信息进行上述操作。6交易记录涉及的个人信息类型交易记录涉及的个人信息包括但不仅限于以下类型:a)真实身份类:可识别自然人真实身份的信息,如姓名、住址、工作单位、职位、及身份证号码、签证授权编号等可标识自然人真实身份的数据及相关的证照扫描件、图片、影印件等。b)网络身份类:用户在网络空间的身份标识信息,虽不可直接识别用户自然人身份,但结合其他手段或数据可与用户真实身份相关的信息,如个人的手机号/微信号/QQ号/支付宝账号/微博账号/邮箱地址等。c)个人基本资料类:用户的一般信息,如年龄、性别、职业、国籍等。d)生物特征数据:与用户身体的生物学特征有关、能够唯一识别个体的数据,如指纹、声纹等特征数据。7交易记录涉及的个人信息常见收集使用场景表1APP不同场景下最小必要收集交易记录涉及的个人信息场景真实身份类网络身份类个人基本资料类消费账户注册非必要用于用户注册,满足注册账户和账户安全性的要求即可非必要消费账户登录非必要用于标识网上购物用户和保障账号信息安全非必要消费购物a)用于购物时识别收货人和联系收货人b)用于对用户真实身份进行验证,以确保用户账户安全a)用于购物时识别收货人和联系收货人b)用于对用户真实身份进行验证,以确保用户账户安全用于对用户真实身份进行验证,以确保用户账户安全8个人信息处理活动中交易记录的最小必要规范8.1收集a)收集的个人信息需与消费业务有直接关联。b)收集个人信息之前,需要用户同意相关的权限授权。8.2存储T/TAF077.16-20213存储交易记录中个人信息的存储期限应保证最小化。8.3使用a)使用交易记录中的个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围,因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体授权同意。b)若将交易记录中非个人信息(如商品名称、商品类别、商品价格等)和个人信息进行关联或加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围。8.4共享给第三方a)接收共享的第三方需要与消费业务有直接关联。b)共享给第三方的个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。8.5删除需在承诺的期限内完成删除行为。9评估流程和方法APP收集使用交易记录中个人信息最小必要的评估流程和方法应遵循T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的评估流程和方法。T/TAF077.16-20214附录A(资料性)个人信息处理类别及对应常见场景实例个人信息处理类别及对应常见场景实例见表A.1。表A.1个人信息处理类别及对应常见场景实例个人信息处理类别常见场景示例收集a)消费前开通平台账户时,需要收集用户手机号、姓名、身份证号、银行卡号等进行注册,以保证实名认证要求。b)订单配送前,需要收集用户的姓名、手机号、收货地址,以保证物流可配送。存储a)为了追溯售后问题,平台需要存储已完成订单中的用户手机号、收货地址等个人信息。使用a)下单填写收货地址时,需用户授予“定位”权限时,告知用户此授权与授权行为的目的是方便填写收货地址。共享给第三方a)海淘电商平台需要将个人信息传输给海关(相关行政部门)进行保税仓备案、清关认证、身份审查,应向用户说明传输目的。b)物流追踪APP需要购物APP共享快递如单号(不属于个人信息/不在上述表格中的个人信息)等相关信息,用于查看快递流转信息。删除a)用户删除电商平台中的订单记录b)用户删除收货信息管理中的某条收货信息T/TAF077.16-2021电信终端产业协会团体标准移动应用分发平台系列规范:交易记录T/TAF077.16-2021*版权所有侵权必究电信终端产业协会印发地址:北京市西城区新街口外大街28号电话:010-82052809电子版发行网址: