1、ICS 33.050M 30團體標準T/TAF 077.14-2021APP 收集使用個人信息最小必要評估規范應用日志信息Application software user personal information collection and usage minimization and necessity evaluation specificationLog information2021 - 01 - 15 發布2021 - 01 - 15 實施電信終端產業協會 發布T/TAF 077.14-2021 PAGE * ROMAN III目次 HYPERLINK l _bookmark0

2、前言II HYPERLINK l _bookmark1 引言III HYPERLINK l _bookmark2 范圍1 HYPERLINK l _bookmark3 規范性引用文件1 HYPERLINK l _bookmark4 術語和定義1 HYPERLINK l _bookmark5 縮略語2 HYPERLINK l _bookmark6 基本原則2 HYPERLINK l _bookmark7 日志信息類型2 HYPERLINK l _bookmark8 日志信息常見收集使用場景2 HYPERLINK l _bookmark9 個人信息處理活動各環節最小必要評估要求2 HYPERLIN

3、K l _bookmark10 收集階段2 HYPERLINK l _bookmark11 存儲階段2 HYPERLINK l _bookmark12 使用階段3 HYPERLINK l _bookmark13 刪除階段3 HYPERLINK l _bookmark14 評估流程和方法3前言本文件按照 GB/T 1.1-2020標準化工作導則 第 1 部分：標準化文件的結構和起草規則的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由電信終端產業協會提出并歸口。本文件起草單位：中國信息通信研究院、浙江每日互動網絡科技股份有限公司。本文件主要起草人：方毅

4、、董霖、高可、李穎瑩、苗玉雷、常曦微、寧華、武林娜、王艷紅、金巖、郄世杰。引言隨著移動互聯網的迅速發展,各行各業的APP應運而生,APP已經和我們的生活息息相關。然而在使用APP的過程中,由于缺少必要的規范作為依據,導致一部分APP為了自身業務或其他服務可能會采集大量的應用日志信息,而這些應用日志信息中可能包含了用戶的隱私信息數據,進而造成了用戶數據泄露的風險。本文件根據中華人民共和國網絡安全法等相關法律要求，依據GB/T35273-2020信息安全技術個人信息安全規范的最小必要原則，提出移動應用軟件在處理涉及相關應用日志信息的收集、存儲、使用、刪除等活動中的最小必要信息規范和評估準則，旨在對

5、移動互聯網行業收集使用應用日志信息進行規范，落實最小、必要的原則，進一步促進移動互聯網行業的健康穩定發展。T/TAF 077.14-2021 PAGE 3APP 收集使用個人信息最小必要評估規范 應用日志信息范圍本文件規定了在移動應用軟件在處理涉及用戶個人信息相關應用日志信息的收集、存儲、使用、刪除等活動中的最小必要信息規范和評估方法，并通過對在個人信息處理活動中的典型應用場景來說明如何落實最小必要原則。本文件適用于移動互聯網應用軟件提供者規范用戶個人信息（應用日志信息）的處理活動，也適用于主管監管部門、第三方評估機構等組織對移動互聯網應用程序收集應用日志信息的行為進行監督、管理和評估。規范性

6、引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件， 僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069-2010 信息安全技術 術語GB/T 35273-2020 信息安全技術個人信息安全規范T/TAF 077.1-2020 APP收集使用個人信息最小必要評估規范 總則術語和定義T/TAF 077.1-2020中界定的以及下列術語和定義適用于本文件。3.1移動智能終端 smart mobile terminal能夠接入移動通信網，具有能夠提供應用軟件開發接口的開放操作系統，具有安裝、

7、加載和運行應用軟件能力的終端。3.2移動應用軟件 mobile application針對移動智能終端所開發的應用程序，包括移動智能終端預置應用軟件以及互聯網信息服務提供者提供的可以通過智能終端下載、安裝、升級、卸載的應用軟件。3.3應用日志信息 application log information用于具體描述移動應用軟件在運行過程中產生的記錄文件。3.4個人信息處理者 personal information processor能夠自主決定處理目的、處理方式等個人信息處理事項的組織、個人，包括但不限于APP或SDK開發者。縮略語下列縮略語適用于本文件。 APP 移動應用軟件 Applica

8、tion基本原則個人信息處理者僅應處理與其提供服務相關的最小、必要的應用日志信息。日志信息類型部分日志中可能包含個人信息，如系統功能產生的敏感事件日志信息；應用內商品瀏覽或瀏覽器訪問所產生的日志信息；APP使用過程中生成的各種與個人信息相關的日志等。日志信息常見收集使用場景可能包含個人信息的日志所產生的典型場景，如：聊天場景、電商場景、系統場景、支付場景等。個人信息處理活動各環節最小必要評估要求收集階段收集階段前須滿足的必要條件收集應用日志信息必須具有合理必要的理由，并且應當通過隱私條款或其他方式獲得用戶的授權。日志生成階段個人信息處理者經法律授權或具備合理事由確需在日志中體現個人信息時，除應

9、當對個人敏感信息采用加密等安全措施外，還應符合APP 收集使用個人信息最小必要評估規范系列規范的其他規范要求。日志收集階段日志檢索、讀取、上傳APP 只可檢索、讀取、上傳本 APP 生成的日志文件。除外情形個人信息處理者經法律授權或具備合理事由的情形除外。存儲階段個人信息處理者存儲日志應保證日志的安全, 例如可采用可靠的數據加密、合理的訪問控制權等方式。個人信息處理者存儲日志應保證存儲周期最小化，若法律法規或行業監管對存儲期限另有規定的，從其規定。個人信息處理者存儲日志超過存儲期限后，應當對其所持有的應用日志信息進行刪除或匿名化處理。使用階段個人信息處理者使用應用日志信息時，不應超出與收集個人

10、信息時所告知用戶的目的具有直接或合理關聯的范圍。因業務需要，確需超出上述范圍使用個人信息的，應再次征得個人信息主體明示同意。個人信息處理者對被授權訪問用戶應用日志信息的人員，應建立最小授權的訪問控制策略，使其只能訪問職責所需的最小必要的應用日志信息，且僅具備完成職責所需的最少的數據操作權限。刪除階段個人信息處理者應定期檢查其所存儲的用戶應用日志信息，并根據移動應用的必要功能刪除不必要的相關數據。超出應用日志信息的存儲期限后，個人信息處理者應對應用日志信息進行刪除或匿名化處理。c）在對于應用日志信息的刪除，個人信息處理者應提供途徑并保證實現用戶刪除權。個人信息處理者需要滿足在法律規定的時限內及時答復用戶行使刪除權請求。如果必須延長答復用戶的時間，個人信息處理者需提供合理理由。個人信息處理者經法律授權或具備合理事由需要保留日志文件的情形除外。評估流程和方法APP收集使用交易記錄中個人信息最小必要的評估流程和方法應遵循T/TAF 077.1-2020APP收集使用個人信息最小必要