ICS 33.050 M 30 T/TAF 068 -2020 移动智能终端及应用软件用户个人信息保 护实施指南 第8部分：隐私政策 Mobile intelligent terminal and application software user personal information protection implementation guide —Part 8:Personal information collection and u se rules 团体标 准 2020-08-24发布 2020-08-24实施 电信终端产业协 会 发布 T/TAF 068 -2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语、定义 ................................ ................................ ......... 1 4 制定、发布、修改的原则 ................................ ............................. 1 4.1 制定原则 ................................ ................................ ....... 1 4.2 发布原则 ................................ ................................ ....... 1 4.3 修改原则 ................................ ................................ ....... 2 5 隐私政策内容 ................................ ................................ ....... 2 6 各业务功能采集、收集的个人信息的类型、目的、方式、频率 ............................. 2 7 个人信息的保存与保护 ................................ ............................... 3 7.1 个人信息的保存 ................................ ................................ . 3 7.2 个人信息的保护 ................................ ................................ . 3 8 个人信息主体享有的权利 ................................ ............................. 3 9 个人信息的共享、转让、公开披露 ................................ ..................... 3 10 cookies和同类技术 ................................ ................................ . 3 11 第三方SDK ................................ ................................ ......... 4 12 儿童个人信息的保护 ................................ ................................ 4 13 个人信息 主体投诉渠道和反馈机制 ................................ .................... 4 T/TAF 068 -2020 II 前 言 本标准按照 GB/T 1.1 -2009给出的规则起草。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位：中国信息通信研究院、华为技术有限公司 、广东欧珀移动通信有限公司 。 本标准主要起草人：燕丽华、石中金、马慧、宁华、吕富生、衣强、李腾、王艳红 。 T/TAF 068 -2020 III 引 言 随着“网络时代”的全面到来，在新技术的冲击下，隐私泄露事件频发；审视各类移动智能终端和 应用软件隐私政策，存在同质化、粗造化、冗余化，重点不突出与一揽子告知同意并存等问题。重视并 构建严密的个人信息保护体系，应当是信息时代和互联网社会的标配。 本标准针对移动智能终端和应用软件隐私政策存在的问题，提出隐私政策的标准，应当涵盖的内容 及展示方式等， 是对生产企业和互联网信息服务提供者制定所提供移动智能终端应用软件隐私政策的引 导。同时，本标准通过细化隐私政策各环节的内容，以促进产业发展与个人信息主体权益保障的平衡 。 T/TAF 068 -2020 1 移动智能终端及应用软件用户个人信息保护实施指南 第8部分：隐 私政策 1 范围 本标准规定了隐私政策内容及制定程序应当遵循的标准。 本标准适用于规范各类个人信息控制者制定、发布、修改隐私政策活动，也适用于监管部门、第三 方评估机构等组织对隐私政策制定、发布、公示、修改活动及具体内容进行监督、管理和评估。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。 GB/T 35273 -2020 个人信息安全规范 GB/T 25069 -2010 信息安全技术 _术语 3 术语、定义 GB/T 25069 -2010、GB/T 35273 -2017界定的以及下列术语和定义适用于本文件。为便于使用，以下 重复列出了 GB/T 25069 -2010、GB/T 35273 -2020中的某些术语和定义。 3.1 采集 产品或服务获取的个人信息存储在个人信息主体本地设备内，供个人信息主体本地操作，不上传至 软件提供者的行为。 4 制定、发布、修改的原则 4.1 制定原则 制定、发布隐私政策时应当遵循以下原则： a）隐私政策应当单独 成文，而非包含在用户协议中，在命名上可采用“隐私政策” 、“隐私政策” 等； b）隐私政策所告知的信息应当合法、真实、准确、完整； c）隐私政策的内容应当易于阅读。字体、大小、颜色、间距、清晰度、语种等不应造成阅读障碍， 是否造成障碍以一般人理解为限；隐私政策应突出重点，在具体规则前宜设置阅读导航，对涉及个人敏 感信息收集、共享、转让、用户权益等重点条款宜重点提示。 4.2 发布原则 a）隐私政策应公开发布且易于访问： T/TAF 068 -2020 2 b）在首次运行时提示用户阅读； c）在进入移动智能终端和应用软件界面后，访问时不应多于 4次点击； d）不应置于不相关菜单或隐蔽位置。 4.3 修改原则 隐私政策所涉及事项发生变化时，应及时更新隐私政策，涉及到重大变更的，应及时更新隐私政策 并重新告知个人信息主体，宜以显著方式提醒个人信息主体更新内容，可保留旧版隐私政策供个人信息 主体对比，该显著方式包括但不限于发布公告等。未经个人信息主体明确同意，修改后的隐私政策不得 削减其依据原隐私政策所应享有的权利。 上述重大变更应包括但不限于以下内容： a）个人信息处理目的、方式、范围、类型发生变更； b）个人信息控制者发生变更，包括因合并、收购、资产转让等导致个人信息控制者发生变化，以 及个人信息共享、转让、公开披露对象发生变更； c）个人信息主体权利及行使方式发生变化； d）个人信息保护专职部门或人员、联系方式、投诉渠道发生变化。 5 隐私政策内容 隐私政策须包括但不限于以下内容： a）相关定义：结合实际情况列明隐私政策中相关定义，可同时列明所涉及的个人信息 /个人敏感信 息的类型等； b）隐私政策的修改，列明修改的权利保障、修改后通知方式等； c）各业务功能采集、收集的个人信息的类型、目的、方式； d）个人信息 的