搜索
ICS33.050M30团体标准T/TAF077.17-2021APP收集使用个人信息最小必要评估规范身份信息Applicationsoftwareuserpersonalinformationcollectionandusageminimizationandnecessityevaluationspecification—Identityinformation2021-01-15发布2021-01-15实施电信终端产业协会发布T/TAF077.17-2021I目次前言................................................................................II引言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15基本原则...........................................................................16身份信息类型.......................................................................27典型业务场景.......................................................................28个人信息处理活动中身份信息的最小必要评估规范.......................................38.1收集阶段.......................................................................38.2存储阶段.......................................................................38.3使用阶段.......................................................................38.4删除阶段.......................................................................39评估流程和方法.....................................................................3T/TAF077.17-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本标准起草单位:中国信息通信研究院、阿里巴巴(中国)有限公司。本标准主要起草人:黄天宁、贾雪飞、汪坤、宁华、王艳红、杜云。T/TAF077.17-2021III引言随着移动移动互联网的迅速发展和日益成熟,移动智能终端功能的成熟与便利,身份信息已成为移动应用软件开展业务功能的重要组成部分。然而,在APP收集使用身份信息的过程中,有些个人信息信息可能并非用户使用该功能时所必须的。本文件根据《中华人民共和国网络安全法》等相关法律要求,依据GB/T35273-2020《信息安全技术个人信息安全规范》的最小必要原则,提出移动应用软件在处理涉及个人信息身份信息的收集、存储、使用、加工、传输、提供、公开等活动中的最小必要信息规范和评估准则,旨在对移动互联网行业收集使用用户身份信息进行规范,落实最小、必要的原则,进一步促进移动互联网行业的健康稳定发展。T/TAF077.17-20211APP收集使用个人信息最小必要评估规范身份信息1范围本文件规定了移动应用软件对身份信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。本标准适用于移动互联网应用软件提供者规范用户个人信息中的身份信息的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集身份信息行为进行监督、管理和评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069-2010信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范T/TAF077.1-2020APP收集使用个人信息最小必要评估规范总则T/TAF040-2019移动智能终端及应用软件用户个人信息保护实施指南第2部分:个人信息分类分级3术语和定义3.1身份信息identityinformation本文件规定的身份信息特指法定身份证件信息,如身份证、户籍、护照、社保、医保、驾驶证、军官证等相关的信息及影印件,可参考T/TAF040-2019《移动智能终端及应用软件用户个人信息保护实施指南第2部分:个人信息分类分级》中的相关定义。4缩略语下列缩略语适用于本文件。APP应用软件Application5基本原则应满足T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的最小必要原则。T/TAF077.17-202126身份信息类型身份信息类型可参考T/TAF040-2019《移动智能终端及应用软件用户个人信息保护实施指南第2部分:个人信息分类分级》中的相关定义及分类方法。7典型业务场景典型业务场景见表1。表1典型业务场景业务场景采集说明跨境交易服务购买商品或服务订单中包含海外直邮商品,需根据海关政策要求提供付款人的真实姓名和收货人身份证号码,用于报关和配送服务。开通店铺服务为确保商家身份真实性,根据《电子商务法》等要求、需提供开店人身份证件、身份等信息完成实名认证后,提供开设店铺、发布产品、交易和售后等服务。航旅出行服务预订飞机、火车、汽车票等场景,按照实名要求需提供乘车/机姓名、身份证号码以及取票人姓名与手机号码,提供车票预订、信息通知及后续退改等服务。内容发布服务面向公众发布视频、音频、图书等,为了确保内容安全与合规,需要用户提供姓名、身份证件号码等信息完成实名认证后方可提供服务。现场演出服务在部分地区以及境外地区,根据大型现场活动、体育赛事等需要,需提供真实姓名、身份证件信息、联系方式等,用于现场验票、安保及身份确认用途。运营活动对特定活动所领取的红包进行提现、奖品兑现和向税务机构完税,需要提交真实姓名、身份证件号码、联系方式等。直播主播认证按照法律关于实名制的要求,提交的个人照片/视频、姓名信息、身份证件号码、年龄等整信息等,用户验证账户真实身份、国籍、是否未成年人等。违章和验车服务根据交管部门需要,提供身份信息(姓名、手机号、身份证号)、车辆信息、车主身份信息(姓名、手机号、驾驶证)以及第三方保险机构相关的其他信息。通信和网络服务面向个人提供通讯服务、网络服务和云计算服务等,基于电信主管部门等法律法规要求,需要身份证信息和影印件等用于注册和备案。寄递服务用户寄递包裹、快件时,根据邮政管理部门要求,需要提供并核验身份证信息,并登记姓名、身份证号、联系方式等。客诉和理赔对于客户服务纠纷、订单理赔服务时,除了提供理赔相关系信息外、还需身份信息等(如姓名、身份证号),以便完成订单理赔。线上挂号服务线下医疗机构的挂号服务。需要按照医疗机构要求、供姓名、身份证件号码等信息,以便供服务。体检预约服务体检、疫苗以及各类消费医疗的预约服务,可能需要提供姓名、手机号码、身份证件号码、血型、性别、年龄等信息。网银服务a)网上银行注册、开通、变更、注销等服务时,需要验证和提供姓名、身份证件、手机号码、短信验证码、银行账号等信息。b)网上银行操作转账交易类时,可能需要提供收款方的姓名、证件类型和证件号码。T/TAF077.17-20213表1典型业务场景(续)业务场景采集说明投资理财服务证券、理财、保险等服务,进行注册、开通、变更、注销等服务时,需要验证和提供姓名、身份证件、手机号码等信息。网络游戏基于网络游戏实名制要求,需要提供真实姓名、出生日期、身份证号用以身份验证和未成年人保护。注:收集使用身份信息的其他场景还包括法律法规要求的其他实名制场景。8个人信息处理活动中身份信息的最小必要评估规范8.1收集阶段a)收集个人身份信息应当遵循合法、正当、必要的原则,不应强制或诱导用户提供身份信息。b)收集个人身份信息时,需向用户告知业务目的、方式和范围,例如通过隐私协议弹窗等方式获取用户同意、并在隐私协议内重点标识或突出显示。8.2存储阶段a)应遵守最少必要原则,只处理与存储目的有关的最少信息,法律法规另有规定或者个人信息主体另行授权同意的除外。b)宜采用去标识化等方式对身份信息进行存储,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体。8.3使用阶段a)对于仅进行身份判断的业务场景、如身份证信息核验,仅需返回验证结果的,不宜存储个人身份信息。b)第三方委托处理、共享、转让身份信息时,应对参照GB/T35273-2020《信息安全技术个人信息安全规范》9章节要求,法律法规规定的例外条款除外。8.4删除阶段所存储的用户身份信息、超出身份信息的存储期限或服务约定时,应按照GB/T35273-2020《信息安全技术个人信息安全规范》8.3章节要求,对于身份信息进行删除或匿名化处理。9评估流程和方法APP收集使用身份信息最小必要的评估流程和方法应遵循T/TAF077.1-2020《APP收集使用个人信息最小必要评估规范总则》中的评估流程和方法。T/TAF077.17-2021电信终端产业协会团体标准APP收集使用个人信息最小必要评估规范身份信息T/TAF077.17—2021*版权所有侵权必究电信终端产业协会印发地址:北京市西城区新街口外大街28号电话:010-82052809电子版发行网址: