ICS 33.050 M 30 团体标 准 T/TAF 077.11-2021 APP收集使用个人信息最小必要评估规范 通话记录 Application software user personal information collection and usage minimization and necessity evaluation specification — Call log 2021-01-08发布 2021-01- 08实施 电信终端产业协会 发布 全国团体标准信息平台 T/TAF 077.11-2021 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语、定义和缩略语 ................................ ................................ ...1 3.1 术语和定义 ................................ ................................ .......1 3.2 缩略语 ................................ ................................ ........... 1 4 基本原则 ................................ ................................ ............. 2 5 通话记录典型 应用场景 ................................ ................................ .2 6 权限申请最小必要规范 ................................ ................................ .2 6.1 读通话记录 ................................ ................................ .......2 6.2 写通话记录 ................................ ................................ .......2 7 收集使用最小必要规范 ................................ ................................ .2 7.1 收集 ................................ ................................ ............. 2 7.2 使用 ................................ ................................ ............. 2 7.3 存储 ................................ ................................ ............. 3 7.4 删除 ................................ ................................ ............. 3 8 评估流程和方法 ................................ ................................ .......3 全国团体标准信息平台 T/TAF 077.11-2021 II 前 言 本文件按照GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本 文件的发布机构不承担识别 专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位 ：中国信息通信研究院 、北京奇虎科技有限公司、 北京字节跳动科技有限公司 、华 为技术有限公司 、维沃移动通信有限公司 、OPPO广东移动通信有限公司 、中国移动通信集团 终端有限 公司。 本文件主要起草人 ：姚一楠 、刘奇明、张屹、宁娇、王宇晓、衣强、贾科、 李腾、宁华、王 艳红、 于乐。 全国团体标准信息平台 T/TAF 077.11-2021 III 引 言 通话记录 信息是APP在实现业务时被广泛应用的个人信息，在我国国家标准 GB/T 35273-2020中，将 通话记录 信息列为 个人敏感 信息，代表了用户的 通话记录 信息具有较高的 敏感程度，然而在一些场景， 存在着对 通话记录过度 收集使用的情况，侵害了用户权益。 因此本文件旨在规范 通话记录 信息的收集和使用要求，为 APP收集使用 通话记录 信息时提出相应要 求和指导。 全国团体标准信息平台 T/TAF 077.11-2021 1 APP收集使用个人信息最小必要评估规范 通话记录 1 范围 本文件规定了移动应用软件收集使用终 端产生的通话记录 信息的最小必要原则及安全要 求。 本文件适用于移动应用软件提供者规范用户个人信息（ 通话记录 ）的处理活动，也适用于主管监管 部门、第三方评估机构等组织对移动应用 软件收集使用通话记录 行为进行监督、管理和评估 。 2 规范性引用文件 下列文件 中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 ，注日期的引用文件， 仅该日期对应的版本适用于本 文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273 －2020 信息安全技术 个人信息安全规范 T/TAF 077.1－2020 APP收集使用个人信息最小必要评 估规范 总则 3 术语、定义和缩略语 3.1 术语和定义 GB/T 35273 －2020和T/TAF 077.1－2020界定的以及下列术语和定义适用于本文件。 3.1.1 通话记录 call log 指移动智能终端用户发起的主叫通话、被叫通话等通话行为后在终端设备内记录的信息。 注：通常包括通话姓名、通话号码、通话日期、通话时长、通话类别、标记等信息。 3.1.2 个人信息主体 personal information subject 个人信息所标识或者关联的自然人 。 [来源: GB/T 35273-2020,3.3] 3.1.3 个人信息控制者 personal information controller 有能力决定个人信息处理目的、方式等的组织或个人 。 [来源: GB/T 35273-2020,3.4] 3.2 缩略语 下列缩略语适用于本文件 。 APP 移动应用软件 Application 全国团体标准信息平台 T/TAF 077.11-2021 2 4 基本原则 应满足T/TAF 077.1-2020《APP收集使用个人信息最小必要评估规范 总则》中的最小必要原则。 5 通话记录典型 应用场景 通话记录 信息具有较高的敏感程度，应在合理的场景下使用，以下给出 APP允许收集使用通话记录 信息的典型场景： a） 安全类：实现骚扰电话检测 、标记、屏蔽等； b） 通讯类： 实现通话功能（如 语音通话 ，视频通话等），操作本设备或关联设备（如配对手表、 汽车等）进行通讯活动等； c） 管理类： 实现信息 备份/恢复，归类管理等； d） 共享类：配合手表、电脑、汽车等智能设备进行跨设备间通话信息转移等； e） 验证类： APP通过拨打电话进行 业务验证，读通话记录中有无相应号码确定是否接到来电 。 6 权限申请最小必要规范 6.1 读通话记录 a） 若APP需要通过申请操作系统权限收集通话记录信息， 则 应在采集行为发生前申请读通话记录 权限，并应确保个人信息主体 对于申请的授 权是其在完全知情的基础上自主给出的、 清晰明确 的意愿表示 。 b） APP申请读通话记录权限的典型场景包括本文件第 5章定义的安全类、通讯类、管理类、共享 类、验证类场景。 6.2 写通话记录 a） 若APP需要通过申请操作系统权限编辑通话记录信息， 则应在编辑行为发生前申请写通话记录 权限，并应确保个人