ICS33.030

CCSM21

團(tuán)體標(biāo)準(zhǔn)

T/TAF077.19—2024

APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范

第19部分：日歷信息

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification—

Part19:Calendarinformation

2024-05-13發(fā)布2024-05-13實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF077.19—2024

目次

前言..................................................................................II

引言.................................................................................III

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語(yǔ)和定義...........................................................................1

4縮略語(yǔ)...............................................................................1

5基本原則.............................................................................1

6日歷信息涉及的收集場(chǎng)景...............................................................1

7個(gè)人信息處理活動(dòng)中日歷信息的最小必要規(guī)范.............................................2

7.1告知同意........................................................................2

7.2權(quán)限要求........................................................................2

7.3收集階段........................................................................3

7.4存儲(chǔ)階段........................................................................3

7.5使用階段........................................................................3

7.6刪除階段........................................................................3

8評(píng)估流程和方法.......................................................................3

8.1告知同意........................................................................3

8.2權(quán)限要求........................................................................3

8.3收集階段........................................................................4

8.4存儲(chǔ)階段........................................................................5

8.5使用階段........................................................................5

8.6刪除階段........................................................................5

I

T/TAF077.19—2024

APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范第19部分：日歷信息

1范圍

本文件旨在貫徹個(gè)人信息收集使用的最小必要的原則，針對(duì)APP在收集、存儲(chǔ)、使用、傳輸、刪除

等各環(huán)節(jié)提出相應(yīng)的最小必要性符合度評(píng)估項(xiàng)，并結(jié)合典型場(chǎng)景，對(duì)APP最小必要處理日歷信息進(jìn)行規(guī)

定。

本文件適用于APP提供者規(guī)范用戶個(gè)人信息（日歷信息）的處理活動(dòng)，也適用于主管監(jiān)管部門、第

三方評(píng)估機(jī)構(gòu)等組織對(duì)APP處理日歷信息行為進(jìn)行監(jiān)督、管理和評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范

T/TAF077.1—2022APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范第1部分：總則

3術(shù)語(yǔ)和定義

GB/T35273—2020和T/TAF077.1—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

移動(dòng)智能終端smartmobileterminal

能夠接入移動(dòng)通信網(wǎng)，具有能夠提供應(yīng)用軟件開(kāi)發(fā)接口的操作系統(tǒng)，具有安裝、加載和運(yùn)行應(yīng)用軟

件能力的終端。

3.2

移動(dòng)應(yīng)用軟件mobileapplication

針對(duì)移動(dòng)智能終端所開(kāi)發(fā)的應(yīng)用程序，包括移動(dòng)智能終端預(yù)置應(yīng)用軟件以及互聯(lián)網(wǎng)信息服務(wù)提供者

提供的可以通過(guò)智能終端下載、安裝、升級(jí)、卸載的應(yīng)用軟件。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

APP：移動(dòng)應(yīng)用軟件（MobileApplication）

5基本原則

應(yīng)滿足T/TAF077.1—2022中的最小必要原則。

6日歷信息涉及的收集場(chǎng)景

1

T/TAF077.19—2024

6.1電商類場(chǎng)景

用戶在使用訂票提醒、熱門商品秒殺提醒等電商類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.2運(yùn)動(dòng)類場(chǎng)景

用戶在使用運(yùn)動(dòng)提醒等運(yùn)動(dòng)類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.3金融類場(chǎng)景

用戶在使用還款提醒、生活繳費(fèi)提醒等金融類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.4工具類場(chǎng)景

用戶在使用垃圾清理提醒、預(yù)定會(huì)議提醒等工具類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.5日歷類場(chǎng)景

用戶在使用生日提醒、重要日期提醒等日歷類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.6社交通信類場(chǎng)景

用戶在使用好友生日提醒等社交通信類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.7生活?yuàn)蕵?lè)類場(chǎng)景

用戶在使用喝水提醒、游戲活動(dòng)提醒等生活?yuàn)蕵?lè)類APP的功能，而產(chǎn)生的最小必要的記錄信息。

6.8備份遷移類場(chǎng)景

用戶在使用數(shù)據(jù)備份遷移提醒等備份遷移類APP的功能，而產(chǎn)生的最小必要的記錄信息。

7個(gè)人信息處理活動(dòng)中日歷信息的最小必要規(guī)范

7.1告知同意

訪問(wèn)系統(tǒng)日歷功能的APP收集日歷信息前，應(yīng)向用戶告知收集、使用日歷信息的目的、方式、范圍

等，并獲得用戶的授權(quán)同意。

7.2權(quán)限要求

日歷信息的權(quán)限申請(qǐng)，包含如下情況：

a)APP應(yīng)在具備合理應(yīng)用場(chǎng)景前提下申請(qǐng)日歷信息權(quán)限；

b)用戶拒絕日歷相關(guān)權(quán)限申請(qǐng)后，APP不應(yīng)拒絕為用戶提供與日歷權(quán)限無(wú)關(guān)的服務(wù)；

c)用戶拒絕日歷相關(guān)權(quán)限申請(qǐng)后，APP宜間隔48小時(shí)以上再進(jìn)行重新申請(qǐng)，不應(yīng)頻繁請(qǐng)求權(quán)限

干擾用戶正常使用APP其他功能。

典型應(yīng)用場(chǎng)景下的讀寫(xiě)日歷時(shí)所必須的權(quán)限，見(jiàn)表1。

表1訪問(wèn)日歷時(shí)的最小必要權(quán)限

訪問(wèn)日歷對(duì)應(yīng)權(quán)限用途是否必要

讀取日歷日歷讀取權(quán)限讀取日歷信息是

寫(xiě)入日歷日歷寫(xiě)入權(quán)限寫(xiě)入日歷信息是

2

T/TAF077.19—2024

7.3收集階段

日歷信息的收集階段，包含如下要求：

a)收集日歷信息的范圍要求：系統(tǒng)日歷信息的收集，應(yīng)遵循最小必要原則，不應(yīng)超出業(yè)務(wù)場(chǎng)景的

實(shí)際需要，法律法規(guī)要求的除外。收集日歷信息包括但不僅限于上述列舉的典型應(yīng)用場(chǎng)景；

b)收集日歷信息的頻率要求：如不是用戶主動(dòng)發(fā)起或授權(quán)同意APP讀寫(xiě)日歷信息，APP應(yīng)限定滿足

業(yè)務(wù)目的的最低收集頻率。

7.4存儲(chǔ)階段

訪問(wèn)系統(tǒng)日歷功能的APP除備份/恢復(fù)、安全管理、企業(yè)存檔及設(shè)備管理外，其余場(chǎng)景宜僅在APP客

戶端側(cè)本地存儲(chǔ)或不存儲(chǔ)（完成功能后直接丟棄）日歷信息。

7.5使用階段

使用日歷信息時(shí)，APP不應(yīng)超出與收集時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。如因業(yè)務(wù)需要，

確需超出上述范圍使用個(gè)人信息的，應(yīng)再次向用戶明示并征得同意。

7.6刪除階段

APP刪除已收集的日歷信息應(yīng)滿足以下要求：

a)超出約定的保存期限后，應(yīng)及時(shí)刪除或匿名化日歷信息；

b)當(dāng)個(gè)人主動(dòng)申請(qǐng)注銷服務(wù)后，應(yīng)在承諾期限內(nèi)刪除或匿名化日歷信息；

c)當(dāng)APP停止運(yùn)營(yíng)其處理日歷信息的服務(wù)時(shí)，應(yīng)停止繼續(xù)收集日歷信息，并及時(shí)刪除或匿名化日

歷信息。

法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者

應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。

8評(píng)估流程和方法

8.1告知同意

告知同意的評(píng)估流程和方法如下：

a)評(píng)估編號(hào)：8.1.1；

b)評(píng)估項(xiàng)目：7.1；

c)評(píng)估要求：應(yīng)在收集日歷信息前明確告知個(gè)人處理目的、方式、范圍，且經(jīng)個(gè)人同意后才能收

集；

d)預(yù)置條件：被測(cè)APP處于正常狀態(tài)；

e)測(cè)試步驟：

1）核查APP收集信息前是否通過(guò)隱私政策、彈窗等方式明確告知個(gè)人信息處理目的、方式、

范圍且與APP實(shí)際行為相符；

2）運(yùn)行APP日歷信息處理功能，檢查收集行為是否在個(gè)人同意后發(fā)生。

f)預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

8.2權(quán)限要求

權(quán)限要求7.2a）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.2.1；

b）評(píng)估項(xiàng)目：7.2a）；

3

T/TAF077.19—2024

c）評(píng)估要求：APP應(yīng)在具備合理應(yīng)用場(chǎng)景前提下申請(qǐng)日歷信息權(quán)限；

d）預(yù)置條件：操作系統(tǒng)支持處理日歷信息權(quán)限申請(qǐng)；

e）測(cè)試步驟：

1）檢查APP功能是否屬于典型場(chǎng)景且APP申請(qǐng)權(quán)限滿足表1；

2）若不屬于典型場(chǎng)景，則按照T/TAF077.1—2022評(píng)估權(quán)限申請(qǐng)是否滿足最小必要；

3）在使用日歷功能時(shí)，是否進(jìn)行了權(quán)限申請(qǐng)。

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

權(quán)限要求7.2b）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.2.2；

b）評(píng)估項(xiàng)目：7.2b）；

c）評(píng)估要求：用戶拒絕日歷相關(guān)權(quán)限申請(qǐng)后，APP不應(yīng)拒絕為用戶提供其它基本服務(wù)；

d）預(yù)置條件：

1）被測(cè)APP處于正常狀態(tài)；

2）操作系統(tǒng)支持處理日歷信息權(quán)限申請(qǐng)。

e）測(cè)試步驟：使用APP日歷功能時(shí)，用戶點(diǎn)擊拒絕日歷相關(guān)權(quán)限申請(qǐng)后，其他功能服務(wù)是否可用；

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

權(quán)限要求7.2c）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.2.3；

b）評(píng)估項(xiàng)目：7.2c）；

c）評(píng)估要求：用戶拒絕日歷相關(guān)權(quán)限申請(qǐng)后，APP宜間隔48小時(shí)以上再進(jìn)行重新申請(qǐng)，不應(yīng)頻繁

請(qǐng)求權(quán)限干擾用戶正常使用APP其他功能；

d）預(yù)置條件：

1）被測(cè)APP處于正常狀態(tài)；

2）操作系統(tǒng)支持處理日歷信息權(quán)限申請(qǐng)。

e）測(cè)試步驟：

1）運(yùn)行APP使用日歷功能時(shí)，是否彈出了權(quán)限申請(qǐng)的對(duì)話框；

2）用戶點(diǎn)擊拒絕日歷相關(guān)權(quán)限申請(qǐng)后，在48小時(shí)內(nèi)重新打開(kāi)APP，是否沒(méi)有彈出權(quán)限申請(qǐng)的

對(duì)話框。

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

8.3收集階段

收集階段7.3a）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.3.1；

b）評(píng)估項(xiàng)目：7.3a）；

c）評(píng)估要求：系統(tǒng)日歷信息的收集包括但不僅限于上述列舉的典型應(yīng)用場(chǎng)景；

d）預(yù)置條件：被測(cè)APP處于正常狀態(tài)；

e）測(cè)試步驟：

1）檢查APP功能是否屬于典型場(chǎng)景；

2）若不屬于典型場(chǎng)景，則按照T/TAF077.1-2022評(píng)估收集行為是否滿足最小必要。

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

收集階段7.3b）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.3.2；

b）評(píng)估項(xiàng)目：7.3b）；

4

T/TAF077.19—2024

c）評(píng)估要求：應(yīng)按照滿足服務(wù)需要的最低頻率收集日歷信息；

d）預(yù)置條件：被測(cè)APP處于正常狀態(tài)；

e）測(cè)試步驟：

1）核查APP收集信息頻率是否為業(yè)務(wù)所必需的最低頻率；

2）運(yùn)行APP，檢查APP實(shí)際收集頻率是否與業(yè)務(wù)聲稱的相符。

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

8.4存儲(chǔ)階段

存儲(chǔ)階段的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.4.1；

b）評(píng)估項(xiàng)目：7.4；

c）評(píng)估要求：APP除備份/恢復(fù)、安全管理、企業(yè)存檔及設(shè)備管理外，其余場(chǎng)景宜僅在APP客戶端

側(cè)本地存儲(chǔ)或不存儲(chǔ)（完成功能后直接丟棄）日歷信息。其余場(chǎng)景如確因業(yè)務(wù)功能需要將日歷

信息傳輸?shù)胶笈_(tái)服務(wù)器，則應(yīng)取得個(gè)人同意；

d）預(yù)置條件：被測(cè)APP處于正常狀態(tài)；

e）測(cè)試步驟：

1）核查APP存儲(chǔ)信息的功能，判斷是否為備份/恢復(fù)、安全管理、企業(yè)存檔及設(shè)備管理場(chǎng)景；

2）若不屬于以上場(chǎng)景，則運(yùn)行APP檢查是否僅在客戶端存儲(chǔ)或不存儲(chǔ)信息；

3）若不屬于以上場(chǎng)景且APP服務(wù)端存儲(chǔ)了信息，則按照T/TAF077.1—2022評(píng)估存儲(chǔ)行為是否

滿足最小必要，且APP是否取得了個(gè)人同意。

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

8.5使用階段

使用階段的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.5.1；

b）評(píng)估項(xiàng)目：7.5；

c）評(píng)估要求：APP應(yīng)嚴(yán)格按照告知的處理目的使用日歷信息，若需擴(kuò)大使用目的，則應(yīng)在使用前

按照本文件7.1要求再次進(jìn)行告知同意；

d）預(yù)置條件：被測(cè)APP處于正常狀態(tài)；

e）測(cè)試步驟：

1）運(yùn)行APP，核查APP使用信息的功能是否與告知內(nèi)容一致；

2）若存在擴(kuò)大使用目的的情況，則核查是否再次向個(gè)人告知并征得同意。

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

8.6刪除階段

刪除階段7.6a）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.6.1；

b）評(píng)估項(xiàng)目：7.6a）；

c）評(píng)估要求：超出約定的保存期限后，應(yīng)及時(shí)刪除或匿名化日歷信息；

d）預(yù)置條件：被測(cè)APP存在存儲(chǔ)信息的行為；

e）測(cè)試步驟：核查APP存儲(chǔ)信息的管理策略，判斷信息超過(guò)保存期限后，APP是否對(duì)信息提供了必

要的刪除或匿名化處理；

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

5

T/TAF077.19—2024

刪除階段7.6b）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.6.2；

b）評(píng)估項(xiàng)目：7.6b）；

c）評(píng)估要求：當(dāng)個(gè)人主動(dòng)申請(qǐng)注銷服務(wù)后，應(yīng)在承諾期限內(nèi)刪除或匿名化日歷信息；

d）預(yù)置條件：

1）被測(cè)APP處于正常狀態(tài)；

2）被測(cè)APP存在存儲(chǔ)信息的行為。

e）測(cè)試步驟：核查APP注銷服務(wù)策略，判斷注銷服務(wù)后APP是否對(duì)信息進(jìn)行了必要的刪除或匿名化

處理；

f）預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為未見(jiàn)異常，否則判定為不符合要求。

刪除階段7.6c）的評(píng)估流程和方法如下：

a）評(píng)估編號(hào)：8.6.3；

b）