ICS 33.050 M 30 团体标 准 T/TAF 077.13-2021 APP收集使用个人信息最小必要评估规范 传感器信息 Application software user personal information collection and usage minimization and necessity evaluation specification — Sensor information 2021 - 01 - 15发布 2021 - 01 - 15实施 电信终端产业协会 发布 T/TAF 077.13-2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 2 5 基本原则 ................................ ................................ ........... 2 6 传感器信息中涉及的个人信息 ................................ ......................... 2 7 传感器信息中涉及个人信息使用的典型场景 ................................ ............. 2 8 个人信息处理活动中的最小必要规范 ................................ ................... 2 8.1 收集阶段 ................................ ................................ ....... 2 8.2 存储阶段 ................................ ................................ ....... 2 8.3 使用阶段 ................................ ................................ ....... 3 8.4 删除阶段 ................................ ................................ ....... 3 9 评估流程和方法 ................................ ................................ ..... 3 附录A（资料性）传感器分类 ................................ ............................ 4 参考文献 ................................ ................................ ............. 5 T/TAF 077.13-2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位： 中国信息通信研究院、 深圳市腾讯计算机系统有限公司 。 本文件主要起草人： 徐一可、徐永太、张强、 史波良、孔宁、倪平、武杨、鹿原、 马惠民、 宁华、 王艳红、傅山、杜云。 T/TAF 077.13-2021 III 引 言 随着互联网的 发展， 相关 技术越来越多的被运用到 移动智能终端各类传感器 中， 便利了人们的生活， 记录了许多日常生活、健康等相关个人信息 。 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据 GB/T 35273 -2020《信息安全技 术 个人信息安全规范》的最小必要原则，提出 传感器信息 里个人信息 相关的收集、存储、使用、共享、 转让、公开披露 等活动中的最小必要信息规范和评估准则，旨在对 传感器信息中 的个人信息 进行规范， 落实最小、必要的原则，进一步促进移动互联网行业的健康稳 定发展。 T/TAF 077.13-2021 1 APP收集使用个人信息最小必要评估规范 传感器信息 1 范围 本文件规定了传感器信息里个人信息 的收集、存储、使用、共享、转让、公开披露 等活动中的最小 必要信息规范和评估方法， 并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要原 则。 本文件适用于移动互联网应用软件提供者规范 传感器涉及个人信息 的处理活动， 也适用于主管监管 部门、第三方评估机构等组织对 相关方处理传感器信息里个人信息 的行为进行监督、管理和评估。 在开 展评估前，应确认所指终端能够为 用户所物理使用 ，识别排除通过操作系统层面虚拟、伪造等方 式制造 的虚拟设备。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 -2010 信息安全技术 术语 GB/T 35273-2020 信息安全技术个人信息安全规范 T/TAF 077.1 -2020 APP收集使用个人信息最小必要评估规范 总则 3 术语和定义 T/TAF 077.1 -2020中界定的以及下列术语和定义适用于本文件。 3.1 传感器 sensor 移动智能终端 设备中内置的， 用来测量运动、 调整屏幕方向 、感知各种环境 参数，能够提供原始 传 感数据，适用于监测设备的三维移动或定位，或监测周围环境变化 的组件。 传感器主要基于硬件 ，即内置在手机或平板设备中的物理组件。这类传感器通过直接测量特定的环 境属性（如加速度、地磁场强度或角度变化）来采集数据。 虚拟传感器或合成传感器 等软硬件结合的传 感器，能从一个或多个基于硬件的传感器获取数据 。 3.2 传感器信息 sensor information T/TAF 077.13-2021 2 传感器信息是指 由智能终端 传感器组件 采集测量出的反映特定物理特征 信息。 4 缩略语 下列缩略语适用于本文件。 APP 移动应用软件 application 5 基本原则 应满足T/TAF 077.1 -2020《APP收集使用个人信息最小必要评估规范 总则》中的最小必要原则。 6 传感器信息中涉及的个人信息 移动智能终端通过 操作系统接口采集传感器信息，对传感器信息进行处理，通过手机 预置或第三方 APP等方式进行聚合、展现。 传感器信息具体分类与场景见附录 A 传感器分类 。 以下传感器数据所反映的个人信息简称传感器个人信息或个人 信息。 a）人体健康生理信息，包括心率、睡眠等信息 。 b）运动检测信息，如计步、运动方式（爬楼、走路、跑步）等。 c） 位置信息，通过 位置传感器测量设备的物理位置 ，并通过设备账号绑定具体用户，能体现个人 物理位置的信息。 注：本文件中所涉及的传感器信息，如在本系列标准其他规范中有明确要求的，如人脸信息，则参照其他规范要求。 7 传感器信息中涉及个人信息使用的典型场景 a） 健康管理场景； b） 运动服务类场景； c） 地图类场景； d） 安全风控类场景： 为保障用户使用 APP过程产生的本地数据以及服务端相关个人信息的安全性， 确保访问者是真实、有 效的、安全的终端设备，操作系统及 APP对所在设备的 环境的真实性、 是否为用户常用设备进行安全性检测，对陌生设备、非授权设备使用进行必要的校验和风险管 控。 8 个人信息处理活动中的最小必要规范 8.1 收集阶段 a) 收集的传感器信息类型应与实现产品或服务的业务功能有直接