TTAF 077.9-2022 APP收集使用个人信息最小必要评估规范 第9部分：短信信息.pdf

《TTAF 077.9-2022 APP收集使用个人信息最小必要评估规范 第9部分：短信信息》是中国电信终端产业协会发布的一项团体标准，旨在规范移动应用程序（APP）在收集、使用用户短信信息时的行为，确保个人信息保护和最小必要原则的实施。此规范于2022年2月23日发布并实施，取代了之前的2021版。 1. **范围**：该规范适用于各类APP在设计、开发、更新及运营过程中涉及用户短信信息的收集、使用、存储和处理等环节。它规定了APP在获取用户短信权限、处理短信内容以及保护用户隐私方面应遵循的基本准则。 2. **规范性引用文件**：标准引用了相关的法律法规和技术标准，为评估提供依据。 3. **术语、定义和缩略语**：标准定义了诸如“短信信息”、“告知同意”、“权限要求”等关键术语，并列举了相关缩略语，确保理解的一致性。 4. **基本原则**：APP收集使用短信信息应遵循最小必要原则，只在业务功能所需范围内收集，且需事先获得用户的明确同意。 5. **短信信息分类**：可能涉及到的短信信息包括验证码、通知信息、个人通讯记录等，需要根据其敏感程度进行分类管理。 6. **典型应用场景**：如注册验证、交易确认、服务通知等场景，APP可能需要访问短信信息，但必须严格限定在必要的业务流程内。 7. **基本要求**： - **告知同意要求**：APP在收集短信信息前，需向用户明确告知目的、方式和范围，并取得用户的同意。 - **权限要求**：仅在业务功能需要时申请短信权限，不应过度索权。 - **本地收集阶段**：收集短信信息应遵循最小化原则，避免读取无关内容。 - **远程传输阶段**：传输短信信息应加密，确保数据安全。 - **存储阶段**：存储短信信息应有期限限制，过期及时删除。 - **使用阶段**：使用短信信息仅限于约定的目的，不得滥用或泄露。 8. **评估流程和方法**： - **评估方法**：通过技术检测、用户反馈和第三方审计等方式对APP的短信信息处理进行评估。 - **评估步骤**：包括前期准备、实施评估、结果分析和整改建议等步骤。 - **评估项目**：涵盖权限申请、信息收集、存储、使用、传输等环节的具体评估内容。 该规范的实施有助于提高APP的信息安全性，保障用户隐私，促进个人信息保护机制的完善，同时也为行业监管提供了明确的指导，有助于维护健康的移动互联网生态环境。