ICS 33.050 M 30 团体 标准 T/TAF 077.8-2020 APP收集使用个人信息最小必要评估规范 录像信息 Application software user personal information collection and usage minimization and necessity evaluation specification Video information 2020 - 11 -26发布 2020- 11 -26实施 电信终端产业协 会 发布 全国团体标准信息平台 T/TAF 077.8-2020 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 典型场景 ................................ ................................ ........... 1 4.1 主动上传类场景 ................................ ................................ . 1 4.2 视频通讯类场景 ................................ ................................ . 1 4.3 录像加工类场景 ................................ ................................ . 1 4.4 服务所需类场景 ................................ ................................ . 1 5 录像信息最小必要规范 ................................ ............................... 2 5.1 授权同意 ................................ ................................ ....... 2 5.2 收集 ................................ ................................ ........... 2 5.3 使用 ................................ ................................ ........... 2 5.4 对外提供 ................................ ................................ ....... 2 5.5 存储、删除 ................................ ................................ ..... 3 全国团体标准信息平台 T/TAF 077.8-2020 II 前 言 本标准按照GB/T 1.1-2020给出的规则起草 。 本标准中的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由电信终端产业协会提出并归口。 本标准起草单位 ：中国信息通信研究院、 北京小桔科技有限公司 。 本标准主要起草人 ：秦齐祺、张娜、高星照、 宁华、王艳红、 杜云、陈鑫爱、武林娜、周飞。 全国团体标准信息平台 T/TAF 077.8-2020 III 引 言 随着移动通信技术的快速发展，移动互联网应用正逐渐渗透到人们生活、工作的各个领域，个人信 息安全问题成各方关注的重点。越来越多移动应用软件使用录像 进行展示、通讯、加工 、提供服务 ，录 像信息是个人信息主体个人信息的重要部分。 目前行业中尚未有从 APP收集使用录像信息必要性出发的最小化评估规范，缺乏统一的标准。基于 上述考虑，提出 本标准，旨在对移动互联网行业收集使用个人信息主体录像信息进行规范，落实最小、 必要的原则，进一步促进移动互联网行业的健康稳定发展 。 全国团体标准信息平台 T/TAF 077.8-2020 1 APP收集使用个人信息最小必要评估规范 录像信息 1 范围 本标准规定了移动应用软件对录像信息的收集、使用、存储、删除等活动中的最小必要规范和评估 方法，并通过个人信息处理活动中的典型应用场景来说明如何落实最小必 要原则。 本标准适用于移动互联网应用软件提供者规范个人信息主体个人信息中的录像信息的处理活动， 也 适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集录像信息行为进行监督、管理 和评估。 2 规范性引用文件 下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。 GB/T 35273 －2020 信息安全技术 个人信息安全规范 3 术语和定义 GB/T 35273 －2020界定的以及下列术语和定义适用于 本标准。 3.1 录像信息 video information 通过视频采集设备录制的直接含有自然人个人信息或者能够反映自然人活动情况的视频信息及其 衍生数据。 注：衍生数据包括从视频中提取的图像、声音等。 4 典型场景 4.1 主动上传类场景 主动上传类场景，指个人信息主体通过 APP主动上传录像用以向自身或者他人展示的场景。 4.2 视频通讯类场景 视频通讯类场景，指个人信息主体通过实时录像与其他方进行通讯的场景。 4.3 录像加工类场景 录像加工类场景，指为个人信息主体提供提取录像内容、加工合成录像等服务的场景。 4.4 服务所需类场景 全国团体标准信息平台 T/TAF 077.8-2020 2 服务所需 类场景，指 APP需要收集相关录像以为个人信息主体提供相关服务的场景。 5 录像信息最小必要规范 5.1 授权同意 对录像信息的授权同意要求包括： a) APP收集录像信息前，应向使用 APP的个人信息主体告知收集、使用录像信息的目的、方式、 范围等，并获个人信息主体的授权同意。 b) 收集录像需要调用设备权限的，宜在录像功能启动时动态申请权限。 c) 个人信息主体拒绝录像相关权限申请后， APP不应拒绝为个人信息主体提供服务，录像信息作 为服务的最小必要信息的除外。 d) 个人信息主体拒绝录像相关权限申请后， APP宜间隔 48小时以上再进行重新申请，不 应频繁 请求权限干扰个人信息主体正常使用 APP其他功能，个人信息主体主动开启相关功能的除外。 e) APP不应擅自更改个人信息主体原有的录像权限设置。如需更改，应重新获得个人信息主体授 权。 f) 不得欺骗误导个人信息主体同意收集录像信息，不得隐蔽收集录像信息。 g) 征得授权同意的例外参照 GB/T 35273 -2020第5.6条“征得授权同意的例外”条款执行。 5.2 收集 对录像信息的收集要求包括： a) 主动上传类场景、视频通讯类场景、录像加工类场景，应仅在使用 APP的个人信息主体主动提 供时才能收集录像信息。 b) 服务所需类场景， 个人信息主 体拒绝提供 录像信息的， APP不得拒绝向个人信息主体提供服务。 录像为服务的最小必要信息的除外。 c) 判断录像信息是否为某种服务类型的最小必要信息时，应充分考虑录像收集目的。原则上以维 护公共安全或者保护个人信息主体重要人身财产权利为目的的， 可以将录像信息作为该服务类 型的最小必要信息。 5.3 使用 对录像信息的使用要求包括： a) 使用录像信息时，不应超出与收集时所声称的目的具有直接或合理关联的范围。因业务需要， 确需超出上述范围使用录像信息的，应再次征得个人信息主体明示同意。 b) APP运营者应对内部人员访问录像信息建立严格的管理机 制，合理分配录像信息访问权限，严 格控制访问人员和可访问内容。宜在对角色权限控制的基