ICS 33.050 CCS M 30 团体标 准 T/TAF 077.9-2022 代替T/TAF 077.9 -2021 APP收集使用个人信息最小必要评估规范 第9部分：短信信息 Application software user personal information collection and usage minimization and necessity evaluation specification — Part 9: SMS information 2022-02-23发布 2022-02-23实施 电信终端产业协会 发布 T/TAF 077.9 -2022 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义和缩略语 ................................ ................................ . 1 3.1 术语和定义 ................................ ................................ ..... 1 3.2 缩略语 ................................ ................................ ......... 1 4 基本原则 ................................ ................................ ........... 1 5 短信信息分类 ................................ ................................ ....... 1 6 典型应用场景 ................................ ................................ ....... 2 7 基本要求 ................................ ................................ ........... 3 7.1 告知同意要求 ................................ ................................ ... 3 7.2 权限要求 ................................ ................................ ....... 3 7.3 本地收集阶段 ................................ ................................ ... 5 7.4 远程传输阶段 ................................ ................................ ... 6 7.5 存储阶段 ................................ ................................ ....... 6 7.6 使用阶段 ................................ ................................ ....... 7 8 评估流程和方法 ................................ ................................ ..... 7 8.1 评估方法 ................................ ................................ ....... 7 8.2 评估步骤 ................................ ................................ ....... 7 8.3 评估项目 ................................ ................................ ....... 7 T/TAF 077.9 -2022 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 T/TAF 077 《APP收集使用个人信息最小必要评估规范 》的第9部分。T/TAF 077 已经发布了 以下部分： ——第1部分：总则； ——第2部分：位置信息； ——第3部分：图片信息； ——第4部分：通讯录； ——第5部分：设备信息； ——第6部分：软件列表 ； ——第7部分：人脸信息； ——第8部分：录像信息； ——第10部分：录音信息； ——第11部分：通话记录； ——第12部分：好友列表； ——第13部分：传感器信息； ——第14部分：应用日志信息； ——第15部分：房产信息； ——第16部分：交易记录； ——第17部分：身份信息。 本文件代替 T/TAF 077.9 -2021 《APP收集使用个人信息最小必要评估规范 短信信息 》，与T/TAF 077.9-2021相比，除结构调整和编辑性改动外，主要技术变化如下： a) 增加了“基本原则”一章（见第 4章）； b) 在“典型应用场景”中增加了七类应用场景（见第 6章，2021年版的4.2）； c) 增加了“告知同意要求”一节（见 7.1）； d) 将“本地访问必要性评估”、“收集使用最小必要评估”两章合并为“基本要求”一章，并将 2021年版的有关内容更改后纳入（见第 7.2、7.3、7.4、7.5、7.6，2021版的第5章和第6章）； e) 增加了“评估流程和方法”一章（见第 8章）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位： 中国信息通信研究院、维沃移动通信 有限公司、 OPPO广东移动通信有限公司、北 京奇虎科技有限公司、北京字节跳动科技有限公司、 荣耀终端有限公司 、华为技术有限公司 、北京京东 世纪贸易有限公司 。 本文件主要起草人： 贾科、武林娜、杜云、 赵盈洁、李腾、姚一楠、 宋恺、宁华、王艳红、 卜英华、 刘陶、王宇晓、赵晓娜、衣强 、冯娜、李然、吴怡、陈鑫爱 。 T/TAF 077.9 -2022 III 引 言 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据 GB/T 35273 《信息安全技术 个 人信息安全规范》的最小必要原则，提出移动应用软件在处理涉及个人 短信信息 的收集、存储、使用、 删除等活动中的 最小必要信息规范和评估准则，旨在对移动互联网行业收集使用用户 短信信息进行规 范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。 T/TAF 077.9 -2022 1 APP收集使用个人信息最小必要评估规范 第9部分：短信信息 1 范围 本文件是APP收集使用个人信息最小必要评估规范系列标准中的短信信息部分， 旨在贯彻个人信息 收集使用的最小必要的原则，针对移动 APP访问、收集、存储、 使用、删除用户手机短信信息 （含彩信、 5G消息等多媒体方式） 等各环节提出相应的最小必要性符合度评估项，并结合典型场景，对 APP最小必 要处理短信信息的进行规定 。 本文件适用于规范移动互联网应用软件 开发者对用户短信信息 的处理，也适用于主管监管部门、第 三方评估机构等组织对移动互联网应用程序收集 短信信息 行为进行监督、管理和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273 信息安全技术个人信息安全规范 T/TAF 077.1 -2020 APP收集使用个人信息最小必要评估规范 总则 3 术语、定义和缩略语 3.1 术语和定义 GB/T 35273 和T/TAF 077.1 -2020界定的术语和定义适用于本文件。 3.2 缩略语 下列缩略语适用于