ICS 33.050 M 30 团体 标准 T/TAF 077.4 -2020 APP收集使用个人信息最小必要评估规范 终端通讯录 Application software user personal information collection and usage minimization and necessity evaluation specification User contact information on terminal 2020 - 11 - 26发布 2020 - 11 - 26实施 电信终端产业协 会 发布 T/TAF 077.4 -2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 通讯录信息合理应用场景 ................................ ............................. 1 4.1 读通讯录场景 ................................ ................................ ... 1 4.2 编辑通讯录 ................................ ................................ ..... 2 5 通讯录信息收集和使用最小必要要求 ................................ ................... 2 5.1 收集阶段 ................................ ................................ ....... 2 5.2 使用阶段 ................................ ................................ ....... 3 5.3 删除阶段 ................................ ................................ ....... 3 T/TAF 077.4 -2020 II 前 言 本文件按照GB/T 1.1-2020给出的规则起草。 本文件中的某些内容可能 涉及专利。本 文件的发布机构不承担识别这些专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位 ：中国信息通信研究院、华为技术有限公 司、OPPO广东移动通信有限公司 、维沃移 动通信有限公司 、北京奇虎科技有限公司、北京字节跳动科技有限公司 。 本文件主要起草人 ：衣强、宁华、王艳红、 李腾、贾科、姚一楠、王宇晓 、杜云、胡月、李京典、 陈鑫爱。 T/TAF 077.4 -2020 III 引 言 通讯录信息是 APP在实现业务时被广泛应用的个人信息，在我国国家标准 GB/T 35273中，将通讯 录 信息列为敏感个人信息，代表了用户的通讯录信息 具有较高的 敏感程度，然而在一些场景，存在着对通 讯过渡收集使用的情况，侵害了用户权益。 因此本文件旨在规范通讯录信息的收集和使用要求，为 APP收集使用通讯 信息时提出相应要求和指 导。 T/TAF 077.4-2020 1 APP收集使用个人信息最小必要评估规范 终端通讯录 1 范围 本文件规定了终端通讯录信息在收集和使用时应遵循和参考的 要求。 本文件适用于APP在移动终端申请使用通讯录信息活动时，提升用户通讯录信息的隐私保护水平， 也适用于评估机构开展评估工作。 2 规范性引用文件 下列文件对于本 文件的应用是必不 可少的。凡是注日期的引用文件， 仅注日期的版本适用于本 文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 T/TAF 077.1 -2020 APP收集使用个人信息最小必要评估规范 总则 3 术语和定义 T/TAF 077.1 -2020界定的以及下列术语和定义适用于本 文件。 3.1 终端通讯录信息 user contact information 指由用户 在移动终端系统上 添加生成的联系人信息 ，其中联系人信息包括联系人姓名、手机号码、 邮箱地址、公司及职位、住宅地址、昵称、头像、生日、群组 信息等个人相关信息。 4 通讯录信息合理应用场景 通讯录信息代表个人信息主体的工作、生活范围，并涉及他人的联系方式，因此通讯录信息具有较 高的敏感程度，应在合理的场景下使用，以下给出使用通讯录信息的 典型场景。 4.1 读通讯录场景 表1展示了读通讯录场景 。 表1 读通讯录 场景 序号 功能类 功能类具体描述 1 管理类 用于通讯录备份 /同步、创建 /修改、导入导出 等 2 安全类 实现骚扰拦截及安全策略 实施 3 分享类 实现分享音乐、视频、新闻、购物信息等 4 添加好友类 实现添加好友功能 5 设置联系人、紧急联 用于设置 联系人或 紧急联系人 功能 T/TAF 077.4-2020 2 序号 功能类 功能类具体描述 系人类 6 通信类 实现与联系人的语音视频通话、邮件发送、短消息收发 、即 时消息收发等 7 应用类 实现话费充值 、手机转账等 应用功能 8 风控、运营管理 类 金融借贷类APP实施风险控制 、终端防恶意安装应用 等运营 管理。 9 通讯录/名片分享 APP生成名片 、实现名片分享等功能 注1：金融借贷类APP通过通讯录实现风险控制时 ，可设置通讯录的收集范围与借贷额度大小相关。 注2：用于终端防恶意安装应用时，仅读通讯录信息，无需上传到服务器。 4.2 编辑通讯录 表2展示了编辑通讯录场景 。 表2 编辑通讯录场景 序号 功能类 功能类具体描述 1 管理类 获取通讯录信息用于通讯录备份 /同步、创建 /修改、导入导出 等 5 通讯录信息收集和使用最小必要要求 5.1 收集阶段 1. 收集频率和时机 （1） 当个人信息主体主动触发的一次性 收集通讯录动作时，应仅在用户 触发时收集通讯录联系 人信息，如分享类、添加好友类功能 、设置联系人、紧急联系人类 、应用类、风控、运营 管理类、 通讯录名片分享类 等。 （2） 当业务功能需要 ，APP可周期性收集通讯录信息 ，收集通讯录信息的频率不得显著超过满足 业务或功能所需的合理频率 。 2. 通讯录权 限 （1） 通过权限获取通讯录信息的读取 、编辑授权时 ，应动态申请权限 。 （2） 通过权限获取通讯录信息的读取 、编辑授权时 ，如用户明确拒绝权限 申请，APP48小时内再 次申请授权 不应超过1次。 若用户再次使用涉及通讯录 的功能，且通讯录权限是实现该功能所必须的情况除外 。 注：安卓系统中申请通讯录权限组还包含获取设备上的账号信息子权限， APP按权限组申请权限时 ，可通过通 讯录权限组获得设备上的账号信息 。 3. 告知同意要求 （1） 收集通讯录应获得用户明示同意，不应在用户不知情的情况下 收集用户通讯录信息。 （2） 收集通讯录信息应告知用户收集 通讯录的实际目的，不应扩大通讯录信息使用目的。 （3） 收集通讯录信息应告知用户收集通讯录的 方式、范围。 4. 收集范围 （1） 通讯录信息的收集范围以及通讯录中联系人信息的收集范围应视场景的不同而不同 ， 在不 需要通讯录信息全集的场景下，如分享、设置 联系人、紧急联系人、通话 、邮件发送、短 T/TAF 077.4-2020 3 信收发、 应用类、 风控、运营管理类 、通讯录名片分享 等场景下，只收集个人信息主体选 择的联系人信息，而不应收集通讯录全集。 APP常见功能和 收集范围可参考 表3： 表3 APP常见功能 可收集通讯录信息范围和通讯录联系人信息范围 序号 功能类 可收集通讯录范围 可收集通讯录中的联系人信息范围 1 管理类 全部通讯录 联系人全量信息 2 安全类 全部通讯录