ICS 33.050 M 30 团 体 标 准 T/TAF 077.10 -2021 APP收集使用个人信息最小必要评估规范 录音信息 Application software user personal information collection and usage minimization and necessity evaluation specification — Audio information 2021-01-08发布 2021-01-08实施 电信终端产业协 会 发布 T/TAF 077.10 -2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 典型场景 ................................ ................................ ........... 1 4.1 主动上传类场景 ................................ ................................ . 1 4.2 通讯录音类场景 ................................ ................................ . 1 4.3 录音加工类场景 ................................ ................................ . 1 4.4 服务所需类场景 ................................ ................................ . 2 5 录音信息最小必要规范 ................................ ............................... 2 5.1 授权同意 ................................ ................................ ....... 2 5.2 收集 ................................ ................................ ........... 2 5.3 使用 ................................ ................................ ........... 2 5.4 共享、转让、公开披露 ................................ ........................... 2 5.5 委托处理 ................................ ................................ ....... 3 5.6 存储、删除 ................................ ................................ ..... 3 T/TAF 077.10 -2021 II 前 言 本文件按照GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位 ：中国信息通信研究院 、北京小桔科技有限公司 。 本文件主要起草人 ：秦齐祺、张娜、高星照 、宁华、王艳红、杜云、陈鑫爱、武林娜、周飞 。 T/TAF 077.10 -2021 III 引 言 随着移动通信技术的快速发展，移动互联网应用正逐渐渗透到人们生活、工作的各个领域，个人信 息安全问题成各方关注的重点。越来越多移动应用软件使用 录音识别实现场景体验、账户登录、移动支 付等功能， 录音信息是个人信息主体 个人信息的重要部分。 目前行业中尚未有从 APP收集使用 录音信息必要性出发的最小化评估规范，缺乏统一的标准。基于 上述考虑，提出 本文件，旨在对移动互联网行业收集使用 个人信息主体 录音信息进行规范，落实最小、 必要的原则，进一步促进移动互联网行业的健康稳定发展。 T/TAF 077.10 -2021 1 APP收集使用个人信息最小必要评估规范 录音信息 1 范围 本文件规定了移动 应用软件 对录音信息的收集、使用、存储、删除 等活动中的最小必要规范和评估 方法，并通过 个人信息处理活动中的典型应用场景来说明如何落实最小必要原则 。 本文件适用于移动互联网应用软件提供者规范 个人信息主体 个人信息 中的录音信息的处理活动， 也 适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集 录音信息行为进行监督、管理 和评估。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件； 不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273 －2020 信息安全技术 个人信息安全规范 T/TAF 077.1 -2020 APP收集使用个人信息最小必要评估规范 总则 3 术语和定义 T/TAF 077.1 -2020界定的以及下列术语和定义适用于 本文件。 3.1 录音信息 audio information 通过音频采集设备录制的直接 含有自然人个人信息或者能够反映自然人活动情况的 音频信息。 4 典型场景 4.1 主动上传类 场景 主动上传类 场景，指个人信息主体 通过APP主动上传录音用以向自身或者他人 展示的场景。 4.2 通讯录音类场景 通讯录音 类场景，指个人信息主体 通过录音 与其他方进行通讯的场景 ，包括语音实时 通讯类场景和 语音留言通讯类场景。 4.3 录音加工类 场景 录音加工类 场景，指 为个人信息主体 提供语音语义识别、 提取录音内容、加工合成 录音等服务的场 景。 T/TAF 077.10 -2021 2 4.4 服务所需类场景 服务所需类 场景，指APP需要收集相关 录音以为个人信息主体提供相关服务的场景。 5 录音信息最小必要规范 5.1 授权同意 对录音信息的授权同意 要求包括： a) APP收集录音信息前，应向使用 APP的个人信息主体告知收集、使用 录音信息的目的、方式、范 围等，并获个人信息主体的授权同意。 b) 收集录音需要调用设备权限的，宜在 录音功能启动时动态申请权限。 c) 个人信息主体拒绝 录音相关权限 申请后， APP不应拒绝为个人信息主体提供服 务，录音信息作 为服务的最小必要信息的除外。 d) 个人信息主体拒绝 录音相关权限申请后， APP宜间隔48小时以上再进行重新申请，不应频繁请 求权限干扰个人信息主体正常使用 APP其他功能，个人信息主体主动开启相关功能的除外。 e) APP不应擅自更改个人信息主体原有的 录音权限设置。如需更改，应重新获得个人信息主体授 权。 f) 不得欺骗误导个人信息主体同意收集 录音信息，不得隐蔽收集 录音信息。 g) 征得授权同意的例外参照 GB/T 35273-2020第5.6条“征得授权同意的例外”条款执行。 5.2 收集 对录音信息的收集要求包括： a) 主动上传类 场景、通讯录音 类场景、 录音加工类 场景，应仅在使用APP的个人信息主体 主动提 供时才能收集 录音信息。 b) 服务所需类场景， 个人信息主体拒绝提供 录音信息的，APP不得拒绝向个人信息主体提供服务。 录音为服务的最小必要信息的除外。 c) 判断录音信息是否为某种服务类型的最小必要信息时，应充分考虑录音收集目 的。例如，以 维 护公共安全或者保护个人信息主体重要人身财产权利为目的的， 可以将录音信息作为该服务类 型的最小必要信息。 5.3 使用 对录音信息的使用要求包括： a) 使用录音信息时，不应超出与