T∕TAF 077.9-2022 APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 第9部分：短信信息

ICS33.050CCSM30團(tuán)體標(biāo)準(zhǔn)T/TAF077.9-2022代替T/TAF077.9-2021APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范第9部分：短信信息Applicationsoftwareuserpersonalinformationcollectionandusageminimizationandnecessityevaluationspecification—Part9:SMSinformation2022-02-23發(fā)布2022-02-23實(shí)施T/TAF077.9-2022目次前言................................................................................II引言...............................................................................III1范圍...............................................................................12規(guī)范性引用文件.....................................................................13術(shù)語(yǔ)、定義和縮略語(yǔ).................................................................13.1術(shù)語(yǔ)和定義.....................................................................13.2縮略語(yǔ).........................................................................14基本原則...........................................................................15短信信息分類.......................................................................16典型應(yīng)用場(chǎng)景.......................................................................27基本要求...........................................................................37.1告知同意要求...................................................................37.2權(quán)限要求.......................................................................37.3本地收集階段...................................................................57.4遠(yuǎn)程傳輸階段...................................................................67.5存儲(chǔ)階段.......................................................................67.6使用階段.......................................................................78評(píng)估流程和方法.....................................................................78.1評(píng)估方法.......................................................................78.2評(píng)估步驟.......................................................................78.3評(píng)估項(xiàng)目.......................................................................7IT/TAF077.9-2022前言本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件是T/TAF077《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范》的第9部分。T/TAF077已經(jīng)發(fā)布了以下部分：——第1部分：總則；——第2部分：位置信息；——第3部分：圖片信息；——第4部分：通訊錄；——第5部分：設(shè)備信息；——第6部分：軟件列表；——第7部分：人臉信息；——第8部分：錄像信息；——第10部分：錄音信息；——第11部分：通話記錄；——第12部分：好友列表；——第13部分：傳感器信息；——第14部分：應(yīng)用日志信息；——第15部分：房產(chǎn)信息；——第16部分：交易記錄；——第17部分：身份信息。本文件代替T/TAF077.9-2021《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范短信信息》，與T/TAF077.9-2021相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：a)b)c)d)增加了“基本原則”一章（見第4章）；在“典型應(yīng)用場(chǎng)景”中增加了七類應(yīng)用場(chǎng)景（見第6章，2021年版的4.2）；增加了“告知同意要求”一節(jié)（見7.1）；將“本地訪問(wèn)必要性評(píng)估”、“收集使用最小必要評(píng)估”兩章合并為“基本要求”一章，并將2021年版的有關(guān)內(nèi)容更改后納入（見第7.2、7.3、7.4、7.5、7.6，2021版的第5章和第6章）；增加了“評(píng)估流程和方法”一章（見第8章）。e)IIT/TAF077.9-2022引言本文件根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律要求，依據(jù)GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》的最小必要原則，提出移動(dòng)應(yīng)用軟件在處理涉及個(gè)人短信信息的收集、存儲(chǔ)、使用、刪除等活動(dòng)中的最小必要信息規(guī)范和評(píng)估準(zhǔn)則，旨在對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)收集使用用戶短信信息進(jìn)行規(guī)范，落實(shí)最小、必要的原則，進(jìn)一步促進(jìn)移動(dòng)互聯(lián)網(wǎng)行業(yè)的健康穩(wěn)定發(fā)展。IIIT/TAF077.9-2022APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范第9部分：短信信息1范圍本文件是APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范系列標(biāo)準(zhǔn)中的短信信息部分，旨在貫徹個(gè)人信息收集使用的最小必要的原則，針對(duì)移動(dòng)APP訪問(wèn)、收集、存儲(chǔ)、使用、刪除用戶手機(jī)短信信息（含彩信、5G消息等多媒體方式）等各環(huán)節(jié)提出相應(yīng)的最小必要性符合度評(píng)估項(xiàng)，并結(jié)合典型場(chǎng)景，對(duì)APP最小必要處理短信信息的進(jìn)行規(guī)定。本文件適用于規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件開發(fā)者對(duì)用戶短信信息的處理，也適用于主管監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集短信信息行為進(jìn)行監(jiān)督、管理和評(píng)估。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范T/TAF077.1-2020APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則3術(shù)語(yǔ)、定義和縮略語(yǔ)3.1術(shù)語(yǔ)和定義GB/T35273和T/TAF077.1-2020界定的術(shù)語(yǔ)和定義適用于本文件。3.2縮略語(yǔ)下列縮略語(yǔ)適用于本文件。APP：應(yīng)用軟件（Application）SMS：短信（ShortMessage）MMS：彩信（MultimediaMessage）4基本原則對(duì)個(gè)人信息處理活動(dòng)中短信信息收集使用的原則應(yīng)滿足T/TAF077.1-2020《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則》中的最小必要原則。5短信信息分類1T/TAF077.9-2022本文件將短信信息包含的信息類型劃分為如下類型，如表1：——本機(jī)用戶標(biāo)識(shí)：用于識(shí)別或區(qū)分短信、彩信信息所在移動(dòng)終端設(shè)備用戶的的標(biāo)識(shí)信息，可包括發(fā)送者的手機(jī)號(hào)等；依據(jù)短信信息的發(fā)送方，本機(jī)用戶標(biāo)識(shí)可以是短信信息的發(fā)送者標(biāo)識(shí)，也可以是短信信息的接收者標(biāo)識(shí)?！獙?duì)端標(biāo)識(shí)：用于識(shí)別或區(qū)分短信、彩信信息所在移動(dòng)終端設(shè)備用戶的的短信通信對(duì)端標(biāo)識(shí)信息，包括接收者的手機(jī)號(hào)等?！绦艃?nèi)容：為短信發(fā)送者編輯并發(fā)送給接收者的各種格式的內(nèi)容。單一的短信內(nèi)容是否包含個(gè)人信息、包含的個(gè)人信息的類目數(shù)量以及包含的具體個(gè)人信息類型取決于每個(gè)短信內(nèi)容的本身。——時(shí)間：移動(dòng)終端設(shè)備用戶接收或發(fā)送該條短信的時(shí)間。表1短信信息的信息類型短信信息本機(jī)用戶標(biāo)識(shí)對(duì)端標(biāo)識(shí)短信內(nèi)容時(shí)間6典型應(yīng)用場(chǎng)景短信信息是移動(dòng)終端用戶的個(gè)人通信內(nèi)容，基于多條或單條短信信息可能泄露用戶隱私，甚至危害個(gè)人的人身安全和財(cái)產(chǎn)安全，具有較高敏感性，應(yīng)在合理的場(chǎng)景下使用。在本文件中列舉了以下場(chǎng)景為合理必要收集使用短信信息的場(chǎng)景：a)b)c)d)e)f)g)短信云備份：以數(shù)據(jù)備份為目的，APP將用戶終端上的短信信息傳輸至遠(yuǎn)端服務(wù)器上存儲(chǔ)的場(chǎng)景。驗(yàn)證碼便捷獲?。阂詤f(xié)助用戶完成登錄或支付操作為目的，APP識(shí)別短信中的驗(yàn)證碼并提示用戶的場(chǎng)景。便捷短信查詢與服務(wù)訂閱：以便利用戶操作為目的，APP幫助用戶發(fā)送特定短信指令至特定號(hào)碼，查詢相關(guān)信息或訂閱服務(wù)的場(chǎng)景，如流量余額查詢。短信優(yōu)化編輯與發(fā)送：以協(xié)助用戶編輯并發(fā)送短信為目的，APP提供短信編輯功能并發(fā)送短信至用戶指定號(hào)碼的場(chǎng)景。短信功能體驗(yàn)增強(qiáng)：以增強(qiáng)用戶短信功能體驗(yàn)為目的，APP為用戶提供如短信發(fā)送商戶識(shí)別和圖形化展示等增強(qiáng)短信功能的場(chǎng)景。手機(jī)間數(shù)據(jù)互傳：以在用戶不同手機(jī)間傳輸數(shù)據(jù)為目的，將用戶一部手機(jī)中的短信信息傳輸至用戶另一部手機(jī)的場(chǎng)景，如換機(jī)。騷擾攔截：以幫助用戶攔截、屏蔽用戶不期望接收的短信信息為目的，APP識(shí)別并處置相關(guān)短信信息的場(chǎng)景。h)i)服務(wù)智能化：以改善服務(wù)智能化程度或用戶體驗(yàn)為目的，APP訪問(wèn)用戶短信信息的場(chǎng)景。已關(guān)聯(lián)設(shè)備的配套應(yīng)用：通過(guò)此類應(yīng)用用戶可將移動(dòng)設(shè)備與已關(guān)聯(lián)設(shè)備（例如智能手表、汽車、智能家居設(shè)備等）連接起來(lái)，還能夠收發(fā)短信。j)k)跨設(shè)備同步或轉(zhuǎn)移短信：在多個(gè)設(shè)備上（例如手機(jī)和筆記本電腦之間）同步短信信息。設(shè)備自動(dòng)化：用戶可讓設(shè)備根據(jù)其設(shè)置的一個(gè)或多個(gè)條件（觸發(fā)條件），在操作系統(tǒng)的多個(gè)區(qū)域自動(dòng)執(zhí)行重復(fù)性操作。l)企業(yè)存檔及設(shè)備管理：企業(yè)存檔、客戶關(guān)系管理CRM和/或設(shè)備管理，如運(yùn)營(yíng)商通過(guò)短信上報(bào)設(shè)備信息與駐網(wǎng)狀態(tài)。2T/TAF077.9-2022m)車載免提使用和投影顯示：與駕駛/出行的核心功能（例如導(dǎo)航）直接相關(guān)的APPs，尤其是在用戶與設(shè)備的物理互動(dòng)受到限制的情況下。n)o)呼救短信：可在發(fā)生人身安全或緊急狀況時(shí)發(fā)送報(bào)警短信。用戶數(shù)據(jù)本地備份與還原：用戶的事務(wù)性備份和還原以及企業(yè)的歸檔（限時(shí)/非連續(xù)）。7基本要求7.1告知同意要求除終端基本通信功能外的APP，若需收集處理個(gè)人信息，應(yīng)遵循以下要求：a)基于用戶個(gè)人同意收集處理個(gè)人信息的：若僅在本地收集處理短信信息，APP應(yīng)向用戶聲明收集處理短信信息僅在用戶設(shè)備上進(jìn)行，并告知收集處理短信信息的目的，經(jīng)用戶確認(rèn)后方可開始收集；若存在非本地處理的情形，APP應(yīng)明確告知用戶需傳輸至遠(yuǎn)端的短信信息類型及收集處理的目的、方式、范圍，并經(jīng)用戶選擇同意后方可收集；b)c)若短信信息的處理目的、處理方式、保存期限等發(fā)生變更，應(yīng)重新告知并取得個(gè)人信息主體同意；免于同意的情形應(yīng)按GB/T352735.6征得授權(quán)同意的例外要求執(zhí)行；d)APP處理的短信信息若涉及著作權(quán)、肖像權(quán)等法律問(wèn)題的，應(yīng)遵循國(guó)家相關(guān)規(guī)定的要求，本文件不做專門規(guī)定。7.2權(quán)限要求7.2.1權(quán)限申請(qǐng)最小化短信權(quán)限作為敏感權(quán)限，除終端基本通信功能外的APP在申請(qǐng)短信權(quán)限時(shí)應(yīng)滿足如下要求：a)首次啟動(dòng)時(shí)，若用戶拒絕授權(quán)短信權(quán)限，應(yīng)用不應(yīng)退出或關(guān)閉。b)APP應(yīng)基于自身業(yè)務(wù)功能和場(chǎng)景，以權(quán)限申請(qǐng)最小化為為原則，僅在業(yè)務(wù)功能觸發(fā)時(shí)，向用戶申請(qǐng)必要的短信權(quán)限；典型場(chǎng)景下的APP可申請(qǐng)項(xiàng)如表2所示。c)當(dāng)用戶拒絕短信權(quán)限時(shí)，APP不得以退出、關(guān)閉、彈窗循環(huán)、頻繁申請(qǐng)等方式強(qiáng)迫或誘導(dǎo)用戶授權(quán)。表2典型場(chǎng)景下的可申請(qǐng)權(quán)限可申請(qǐng)權(quán)限接收短信序號(hào)典型場(chǎng)景讀取短發(fā)送短信信寫/刪除短接收彩信信123456789短信云備份————驗(yàn)證碼便捷獲取————便捷短信查詢與服務(wù)訂閱短信優(yōu)化編輯與發(fā)送短信功能體驗(yàn)增強(qiáng)手機(jī)間數(shù)據(jù)互傳——————————騷擾攔截服務(wù)智能化已連接的設(shè)備配套應(yīng)用3T/TAF077.9-2022表2典型場(chǎng)景下的可申請(qǐng)權(quán)限（續(xù)）可申請(qǐng)權(quán)限序號(hào)典型場(chǎng)景讀取短接收短寫/刪除短接收彩發(fā)送短信信信信信101112131415跨設(shè)備同步或轉(zhuǎn)移短信設(shè)備自動(dòng)化企業(yè)存檔及設(shè)備管理車載免提使用和投影顯示呼救短信—————用戶數(shù)據(jù)本地備份與還原—7.2.2調(diào)用行為最小化APP在滿足業(yè)務(wù)正常開展的前提下，應(yīng)以最低頻次調(diào)用相關(guān)短信權(quán)限，且僅訪問(wèn)與業(yè)務(wù)目的相關(guān)的短信信息。本文件將短信權(quán)限的APP調(diào)用頻次和時(shí)機(jī)劃分為3類：a)用戶主動(dòng)觸發(fā)：通過(guò)明確的用戶知悉影響的動(dòng)作，如點(diǎn)擊APP交互界面上特定的按鈕，觸發(fā)相關(guān)行為。注：觸發(fā)后，跳轉(zhuǎn)到短信界面由用戶進(jìn)行后續(xù)操作的，不需要APP申請(qǐng)相應(yīng)的短信權(quán)限。b)c)固定周期訪問(wèn)：以明示并經(jīng)用戶確認(rèn)同意的固定周期調(diào)用相關(guān)權(quán)限。短/彩信到達(dá)觸發(fā)：在App已申請(qǐng)接收短、彩信權(quán)限時(shí)，當(dāng)接收到新的短信或彩信時(shí)觸發(fā)。對(duì)于典型場(chǎng)景，建議的調(diào)用頻次和時(shí)機(jī)如表3所示。表3典型場(chǎng)景下的短信權(quán)限調(diào)用調(diào)用頻次或時(shí)機(jī)序號(hào)典型場(chǎng)景發(fā)送短、彩信讀取短信/彩信寫/刪除短、彩信用戶主動(dòng)觸發(fā)固定周期訪問(wèn)用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)—用戶主動(dòng)觸發(fā)固定周期訪問(wèn)12云盤數(shù)據(jù)備份—驗(yàn)證碼便捷獲取——34便捷短信查詢與服務(wù)訂閱短信優(yōu)化編輯與發(fā)送用戶主動(dòng)觸發(fā)用戶主動(dòng)觸發(fā)———用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)固定周期訪問(wèn)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)56短信功能體驗(yàn)增強(qiáng)手機(jī)間數(shù)據(jù)互傳———用戶主動(dòng)觸發(fā)用戶主動(dòng)觸發(fā)78騷擾攔截——短、彩信到達(dá)觸發(fā)服務(wù)智能化—4T/TAF077.9-2022表3典型場(chǎng)景下的短信權(quán)限調(diào)用（續(xù)）調(diào)用頻次或時(shí)機(jī)序號(hào)9典型場(chǎng)景已連接的設(shè)備配套應(yīng)用跨設(shè)備同步或轉(zhuǎn)移短信設(shè)備自動(dòng)化發(fā)送短、彩信用戶主動(dòng)觸發(fā)讀取短信/彩信寫/刪除短、彩信用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)—用戶主動(dòng)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)101112用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)企業(yè)存檔及設(shè)備管理固定周期訪問(wèn)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)131415車載免提使用和投影顯示呼救短信固定周期訪問(wèn)用戶主動(dòng)觸發(fā)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)—用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶主動(dòng)觸發(fā)固定周期訪問(wèn)短、彩信到達(dá)觸發(fā)用戶數(shù)據(jù)本地備份與還原—7.3本地收集階段典型場(chǎng)景下，APP在用戶終端本地可收集短信信息類型可參考表4。表4典型場(chǎng)景下的可收集信息類型信息類型序號(hào)典型場(chǎng)景本機(jī)用戶標(biāo)識(shí)對(duì)端標(biāo)識(shí)短信內(nèi)容時(shí)間1云端數(shù)據(jù)備份23驗(yàn)證碼便捷獲取便捷短信查詢與服務(wù)訂閱456789短信優(yōu)化編輯與發(fā)送短信功能體驗(yàn)增強(qiáng)手機(jī)間數(shù)據(jù)互傳騷擾攔截XXXX服務(wù)智能化已連接的設(shè)備配套應(yīng)用5T/TAF077.9-2022表4典型場(chǎng)景下的可收集信息類型（續(xù)）信息類型序號(hào)典型場(chǎng)景本機(jī)用戶標(biāo)識(shí)對(duì)端標(biāo)識(shí)短信內(nèi)容時(shí)間101112跨設(shè)備同步或轉(zhuǎn)移短信設(shè)備自動(dòng)化企業(yè)存檔及設(shè)備管理車載免提使用和投影顯示131415XXXX呼救短信用戶數(shù)據(jù)本地備份與還原7.4遠(yuǎn)程傳輸階段APP需傳輸用戶短信信息至APP遠(yuǎn)端服務(wù)器時(shí)，應(yīng)嚴(yán)格限定遠(yuǎn)程傳輸?shù)亩绦判畔㈩愋?。典型?chǎng)景下，可由APP服務(wù)器端收集的短信信息類型可參考表5。表5典型場(chǎng)景下的可收集信息類型信息類型序號(hào)典型場(chǎng)景本機(jī)用戶標(biāo)識(shí)對(duì)端標(biāo)識(shí)短信內(nèi)容時(shí)間12云端數(shù)據(jù)備份XXXX驗(yàn)證碼便捷獲取3便捷短信查詢與服務(wù)訂閱短信優(yōu)化編輯與發(fā)送短信功能體驗(yàn)增強(qiáng)手機(jī)間數(shù)據(jù)互傳XXXX4XXXX5XXXX6XX7騷擾攔截（垃圾短信上報(bào)）服務(wù)智能化XXXX89已連接設(shè)備的配套應(yīng)用跨設(shè)備同步或轉(zhuǎn)移短信設(shè)備自動(dòng)化101112131415XXXX企業(yè)存檔及設(shè)備管理車載免提使用和投影顯示呼救短信XXXXXXXX用戶數(shù)據(jù)本地備份與還原7.5存儲(chǔ)階段APP服務(wù)器端存儲(chǔ)短信信息應(yīng)滿足以下要求：a)短信信息的存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間。b)除用戶主動(dòng)上報(bào)的垃圾短信外，其余場(chǎng)景下，應(yīng)加密存儲(chǔ)用戶短信信息。c)在APP服務(wù)端上存儲(chǔ)的移動(dòng)終端用戶的短信信息應(yīng)不超過(guò)按7.4節(jié)要求評(píng)估后允許遠(yuǎn)程傳輸?shù)?T/TAF077.9-2022短信信息的信息類型和收集范圍。7.6使用階段APP服務(wù)器端使用短信信息應(yīng)嚴(yán)格按照收集目的使用短信信息，若需擴(kuò)大使用目的，則應(yīng)在使用前再次告知并經(jīng)個(gè)人信息主體同意后才能使用。8評(píng)估流程和方法8.1評(píng)估方法評(píng)估方實(shí)施APP收集使用短信信息最小必要評(píng)估的流程和方法應(yīng)遵循T/TAF077.1-2020《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則》中的評(píng)估流程和方法。8.2評(píng)估步驟評(píng)估方在實(shí)施短信信息收集使用最小必要評(píng)估時(shí)，宜遵循以下步驟和方法：a）確定被評(píng)估對(duì)象及評(píng)估范圍；注：被評(píng)估對(duì)象可為單個(gè)APP或者APP中某項(xiàng)或某類功能。b)評(píng)估方根據(jù)被評(píng)估方提交的說(shuō)明材料的業(yè)務(wù)場(chǎng)景初步判斷被評(píng)估對(duì)象是否有必要收集使用短信信息：1）若被評(píng)估對(duì)象的業(yè)務(wù)場(chǎng)景為本文件第6章所述的典型應(yīng)用場(chǎng)景；2）若被評(píng)估對(duì)象的業(yè)務(wù)場(chǎng)景并非典型應(yīng)用場(chǎng)景，則評(píng)估方應(yīng)基于T/TAF077.1-2020《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）收集使用個(gè)人信息最小必要評(píng)估規(guī)范第1部分：總則》中的最小必要原則，重點(diǎn)評(píng)估自述材料中對(duì)短信信息的收集使用的目的、方式和范圍是否最小必要。確定評(píng)估基準(zhǔn)?；诒疚募?章基本要求確定針對(duì)被評(píng)估對(duì)象的評(píng)估基準(zhǔn)；c)d)APP終端側(cè)評(píng)估：1）告知同意符合性評(píng)估：基于7.1節(jié)要求，檢查被評(píng)估對(duì)象對(duì)短信信息的收集使用是否有在隱私政策中詳細(xì)說(shuō)明；2）權(quán)限申請(qǐng)最小化評(píng)估：檢查被評(píng)估對(duì)象申請(qǐng)的短信權(quán)限是否遵循7.2.1節(jié)要求；3）調(diào)用行為最小化評(píng)估：檢查被評(píng)估對(duì)象申請(qǐng)的短信權(quán)限是否遵循7.2.2節(jié)要求；4）本地收集最小化評(píng)估：檢查被評(píng)估對(duì)象通過(guò)系統(tǒng)API收集處理的短信信息類型是否符合7.3節(jié)要求；5）遠(yuǎn)程傳輸最小化評(píng)估：檢查被評(píng)估對(duì)象傳輸出終端側(cè)的信息類型是否遵循7.4節(jié)要求。e)APP服務(wù)器端側(cè)評(píng)估：1）存儲(chǔ)安全措施評(píng)估：被評(píng)估方應(yīng)提供舉證材料證明短信信息的在APP服務(wù)端的存儲(chǔ)安全措施符合7.5節(jié)的要求；必要時(shí)，評(píng)估方可采用現(xiàn)場(chǎng)核查的方式；2）使用目的一致性評(píng)估：被評(píng)估方應(yīng)提供舉證材料證明短信信息的在APP服務(wù)端的使用符合7.6節(jié)要求。8.3評(píng)估項(xiàng)目7T/TAF077.9-20228.3.1告知同意符合性測(cè)評(píng)測(cè)試編號(hào)：測(cè)試項(xiàng)目：短信信息的告知同意測(cè)試要求：見本文件7.1預(yù)置條件：被評(píng)估APP處于正常狀態(tài)測(cè)試步驟：a)運(yùn)行APP，檢查APP在本地收集處理短信信息前，是否聲明收集處理短信信息僅在用戶設(shè)備上進(jìn)行，并告知收集處理短信信息的目的；b)檢查APP在非本地收集處理短信信息前，是否明確告知用戶需傳輸至遠(yuǎn)端的短信信息類型及收集處理的目的、方式、范圍；c)檢查若短信信息的處理目的、處理方式、保存期限等發(fā)生變更，APP是否重新告知并取得個(gè)人信息主體同意；d)檢查APP是否在個(gè)人同意后才進(jìn)行信息收集。預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不符合。8.3.2權(quán)限申請(qǐng)最小化評(píng)估測(cè)試編號(hào)：測(cè)試項(xiàng)目：短信信息的權(quán)限申請(qǐng)測(cè)試要求：見本文件7.2.1a）預(yù)置條件：被評(píng)估APP處于正常狀態(tài)測(cè)試步驟：a)運(yùn)行APP，檢查APP在首次啟動(dòng)時(shí)，當(dāng)用戶拒絕授權(quán)短信權(quán)限，應(yīng)用是否沒(méi)有退出或關(guān)閉。預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不符合。測(cè)試編號(hào)：測(cè)試項(xiàng)目：短信信息的權(quán)限申請(qǐng)測(cè)試要求：見本文件7.2.1b）預(yù)置條件：被評(píng)估APP處于正常狀態(tài)測(cè)試步驟：a)運(yùn)行APP，檢查APP是否基于自身業(yè)務(wù)功能和場(chǎng)景，以權(quán)限申請(qǐng)最小化為原則，僅在業(yè)務(wù)功能觸發(fā)時(shí)，向用戶申請(qǐng)必要的短信權(quán)限；b)檢查典型場(chǎng)景下的APP的申請(qǐng)權(quán)限項(xiàng)目是否符合表2。預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不符合。測(cè)試編號(hào)：測(cè)試項(xiàng)目：短信信息的權(quán)限申請(qǐng)測(cè)試要求：見本文件7.2.1c）預(yù)置條件：被評(píng)估APP處于正常狀態(tài)測(cè)試步驟：a)運(yùn)行APP，檢查當(dāng)用戶拒絕短信權(quán)限時(shí)，APP是否沒(méi)有以退出、關(guān)閉、彈窗循環(huán)、頻繁申請(qǐng)等方式強(qiáng)迫或誘導(dǎo)用戶授權(quán)。8T/TAF077.9-2022預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不符合。8.3.3調(diào)用行為最小化評(píng)估測(cè)試編號(hào)：測(cè)試項(xiàng)目：短信信息的權(quán)限申請(qǐng)測(cè)試要求：見本文件7.2.2預(yù)置條件：被評(píng)估APP處于正常狀態(tài)測(cè)試步驟：a)運(yùn)行APP，檢查APP在滿足業(yè)務(wù)正常開展的前提下，是否以最低頻次調(diào)用相關(guān)短信權(quán)限，且僅訪問(wèn)與業(yè)務(wù)目的相關(guān)的短信信息；b)檢查典型場(chǎng)景下的APP的短信權(quán)限調(diào)用頻次或時(shí)機(jī)是否符合表3。預(yù)期結(jié)果：若以上測(cè)試步驟結(jié)果為肯定，則測(cè)試項(xiàng)判定為符合，否則判定為不符合。8.3.4本地收集最小化評(píng)估測(cè)試編號(hào)：測(cè)試項(xiàng)目：短信信息的本地收集測(cè)試要求：見本文件7.3預(yù)置條件：被評(píng)估APP處于正常狀態(tài)測(cè)試步驟：a)運(yùn)行APP，檢查APP在用戶終端本地收集短信信息類