ICS 33.050 CCS M 30 团体标 准 T/TAF 129—2022 移动互联网应用超文本传输协议状态 （Cookie）技术隐私保护指南 Privacy protection guide of hypertext transfer protocol status (Cookie) technology in mobile applications 2022-09-15发布 2022-09-15实施 电信终端产业协会 发布 T/TAF 129—2022 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 Cookie 技术及业务场景 ................................ ............................... 2 4.1 Cookie 简介 ................................ ................................ ..... 2 4.2 Cookie 业务场景分类 ................................ ............................. 2 5 Cookie 处理基本原则及处理措施 ................................ ....................... 2 5.1 基本原则 ................................ ................................ ....... 3 5.2 安全及隐私保护措施 ................................ ............................. 3 附录A（资料性 ）Cookie技术应用常见风险 ................................ ............... 6 T/TAF 129—2022 II 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件中的某些内容可 能涉及专利。本 文件的发布机构 不承担识别 专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院 、北京抖音信息服务有限公司 、泰尔认证中心有限公司 、阿 里巴巴(中国)有限公司 、北京快手科技有限公司 、华为技术有限公司 、OPPO广东移动通信有限公司 、北 京奇虎科技有限公司 、郑州信大捷安信息技术股份有限公司。 本文件主要起草人：王宇晓 、李昳婧、武林娜、李梦月、杨骁涵、谭德芳、安潇羽、黄若、田申、 刘凯红、赵云、常琳、陈思宇、宁华、黄天宁、落红卫、衣强、李腾、姚一楠、刘献伦。 T/TAF 129—2022 III 引 言 随着移动互联网的迅速 发展和日益成熟 ，Cookie技术作为实现网络服务功能的基础功能，在 自动登 录、购物车、视频续放、广告等方面都得到了广泛的应用。 但随着《个人信息保护法》、《数据安全法》 等相关法律法规的发布，用户个人信息保护及其相关问题被国家和社会普遍关注，而 Cookie技术的滥用 可能造成用户个人信息泄漏，侵犯用户的知情权和选择权。 根据《网络安全法》、《个人信息保护法》、《数据安全法》等相关法律要求，给出移动互联网应 用Cookie技术隐私保护实践指导， 旨在避免因不合理使用 Cookie技术处理用户个人信息而造成用 户权益 损害，进 一步促进移动互 联网行业的健康稳定发展。 T/TAF 129—2022 1 移动互联网应用超文本传输协议（ Cookie）技术隐私保护指南 1 范围 本文件提供了移动互联网应用使用 Cookie技术处理用户个人信息时的典型应用场景、安全风险、处 理原则以及相应保护措施。 本文件适用于指导和建议移动互联网应用对 Cookie技术的应用， 也适用于第三方评估机构等组织对 移动互联网应用进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注 日期的引用文件 ，其最新版本（ 包括所有的修改单）适用于本 文件。 GB/T 35273 信息安全技术 个人信息安全规范 3 术语和定义 GB/T 35273界定的以及下列术语和定义适用于本 文件。 3.1 移动智能终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软 件能力的终端。 3.2 移动应用软件 mobile application 针对移动智能终端所开发的应用程序， 包括移动智能终端预置应用软件以及互联网信息服务提供者 提供的可以通过智 能终端下载、安 装、升级、卸载的应用软件。 3.3 个人信息 personal information 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 ,不包括匿名 化处理后的信息。 3.4 敏感个人信息 personal sensitive information T/TAF 129—2022 2 一旦泄露或者非法使用 ,可能导致个人受到歧视或者人身、 财产安全受到严重危害的个人信息 ,包括 种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。 4 Cookie技术及业务场景 4.1 Cookie简介 Cookie是一段不超过4KB的小型文本数据， 由键值对及其控制属性组成， 服务器将其存储在 用户 本地终端，主要用于在 HTTP无状态的情况下实现用户会话状态维持 ，每次向服务器发送请求时都会同 时将该信息发送给服务器，服务器收到请求后，可以根据该信息处理请求。 根据移动互联网常见应用处理关系可将 Cookie分类为第一方和第三方。 移动互联网应用程序开发过程中原生网络服务或 WebView网络请求均可涉及 Cookie技术的使用。移 动互联网应用场景 WebView组件的业务场景多见于第三方服务，如广告、电商、网页客服等。 4.2 Cookie业务场景分类 移动互联网应用的业务功能中， 根据其使用目的和业务功能场景， 可将 Cookie分为功能型、安全型、 分析型、广告营销型等四种常见类别，业务场景分类可见表 1。 a) 功能型Cookie主要用于为 用户提供 网络功能服务，维护会话状态如登录、页面偏好设置、功能 状态记录等； b) 安全型Cookie主要用于 风控服务下 验证用户身份 ， 避免恶意攻击以保证 用户安全 以及打击作弊 行为维护网络服务的安全性； c) 分析型Cookie主要用于记录用户与特定服务的互动情况， 如记录网页点击情况，用 于产品内容 改进和提高用户体验 ，移动互 联网应用通常不 直接使用 Cookie方式进行广告统计、分析，常见 于WebView形式的第三方服务； d) 营销型Cookie主要用于广告投放、 个性化以及衡量广告效果 ，移动互联网应用通常不直接使用 Cookie用于广告统计、分析，常见于 WebView形式的第三方服务。 表1 Cookie常用业务场景分类 类别 业务场景 实际用途 功能型 登录 用于维持用户登录状态 匿名标识 用于缓存功能，降低服务器压力 偏好设置 用于偏好设置记录如语言、页面颜色等 页面功能状态记录 用于记录页面功能状态，如是否自动播放 下一个 等 安全型 风控 用于常规账号安全风控策略，避免薅羊毛、刷单 等安全风险 防范CSRF攻击 用于保证安全服务，防止被恶意攻击 分析型 功能互动、性能及数据分析 -- 营销型 广告投放、监测及个性化 -- 5 Cookie处理基本原则及处理措施