ICS 33.050 CCS M 30 团体标 准 T/TAF 188—2023 软件开发工具包（ SDK）收集个人信息技术 要求 Technical requirements for personal information collection of Software Development Kit（SDK） 2023-10-31发布 2023-10-31实施 电信终端产业协会 发布 T/TAF 188 —2023 I 目 次 前言 ................................ ................................ .................. II 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 SDK常见业务功能划分 ................................ ................................ ..1 5 SDK收集个人信息要求 ................................ ................................ ..2 6 配置能力提供要求 ................................ ................................ .....3 附录A（资料性）常见SDK业务类型及功能 ................................ .................. 4 附录B（资料性）SDK收集个人信息范围及用途 ................................ .............. 6 附录C（资料性）SDK业务功能提供及必要、可选个人信息划分说明 ........................... 14 T/TAF 188 —2023 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机 构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、每日互动股份有限公 司、友盟同欣（北京）科技有限公司、 华为技术有限公司、北京抖音信息服务有限公司、维沃移动通信有限公司、北京快手科技有限公司、荣 耀终端有限公司、阿里巴巴 (中国)有限公司、北京奇虎科技有限公司、小米通讯技术有限公司、蚂蚁科 技集团股份有限公司、 OPPO广东移动通信有限公司、上海兆言网络科技有限公司、科大讯飞股份有限公 司、网易（杭州）网络有限公司 、郑州信大捷安信息技术股份有限公司 。 本文件主要起草人： 常浩伦、 李鑫、臧磊、汤立波、郭文双、方毅、董霖、叶新江、李颖莹、郄世 杰、姚栋、贾紫薇、李实 、衣强、安潇羽、赵乃萱、姜宇栋、杜蕾、徐曼 、落红卫、王昕、李辰淑 、赵 晓娜、黄天宁、 姚一楠、张向拓、汪坤 、石玉珍、杨晓丹、郑云、 余明明、罗文广、朱星星、刘献伦 。 T/TAF 188 —2023 1 软件开发工具包（ SDK）收集个人信息技术要求 1 范围 本文件规定了 SDK收集个人信息相关技术要求， 提出了不同类型 SDK收集个人信息范围及相关配置能 力要求。 本文件适用于 SDK开发者规范自身个人信息处理活动，同时也适用于 主管部门、第三方评估机构等 对SDK个人信息保护能力进行监督和评估。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 软件开发工具包 software development kit ；SDK 协助软件开发的软件库 。 注：软件开发工具包 通常包括相关二进制文件、文档、范例和工具的集合。 3.2 软件开发工具包使用者 software development kit user 集成使用软件开发工具包的移动应用程序（ APP、小程序等）开发者，简称 SDK使用者。 3.3 最终用户 end user 在终端设备上使用移动应用程序的个人用户 。 4 SDK常见业务功能划分 SDK应按照以下要求明确自身所属类型，并区分基本业务功能和扩展业务功能： a) 应根据SDK提供的服务内容，参考附录 A划分SDK所属类型； b) 当SDK提供的服务内容涵盖附录 A中多种类型 时，应区分 SDK基本业务功能和扩展业务功能， 并按照基本业务功能划分自身所属类型； c) 当SDK基本业务功能涵盖附录 A中提及某类 SDK的多项典型子类时， 宜对基本业务功能进行拆 分； d) SDK为实现自身产品研发、服务改进、客户服务等目的的业务功能应划分为扩展业务功能； e) SDK为优化服务体验设计的热更新、 个性化推荐、自启动和关联启动等业务功能应划分为扩展T/TAF 188 —2023 2 业务功能； f) SDK中使用的外部第三方或关联公司提供的业务功能应划分为扩展业务功能。 注：SDK提供的主要服务内容为其基本业务功能，其他服务内容为其扩展业务功能，若某 些功能均为基本业务功能 所必需，则不需将该业务划分扩展业务功能。 5 SDK收集个人信息要求 5.1 授权同意 SDK收集个人信息应满足以下授权同意要求： a) 应告知收集个人信息的目的、方式和范围等规则，并在取得最终用户的授权同意情况下方可收 集个人信息 ，基于个人同意处理个人信息的，应提供有 效的最终用户撤回同意的方式 ； b) 收集敏感个人信息前，应取得最终用户的单独同意； c) 收集不满十四周岁未成年人个人信息前，应取得未成年人的父母或其他监护人的同意； d) 向中华人民共和国境外提供个人信息的，应取得最终 用户的单独同意； e) 收集个人信息用于个性化推荐功能或大数据分析业务的， 应向 SDK使用者告知并在取得最终用 户的授权同意情况下方可开展相关业务功能； f) SDK获得最终用户授权 及撤回同意 的方式应与 SDK使用者协商确定， 该方式应当使用户在充分 知情的前提下主动、明确作出，并根据最终用户授权结果决定个人信息收集行为； g) 收集个人信息具备其他合法性基础，不必取得最终用户同意，如： 1) 为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依 法签订的集体合同实施人力资源管理所必需； 2) 为履行法定职责或者法定义务所必需； 3) 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需； 4) 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内收集个人信息； 5) 收集个人自行公开或者其他已经合法公开的个人信息； 6) 法律、行政法规规定的其他情形。 5.2 最小必要 SDK收集个人信息应遵循最小必要原则， 满足以下要求： a) 收集个人信息应当具有明确、合理的目的，并与处理目的直接相关； b) 收集个人信息应当限于实现处理目的的最小范围， 应参考附录 B明确自身必要个人信息和可选 个人信息，以及对应的用途、场景； c) SDK必要个人信息范围不应超出附录 B中对应类型的一般收集范围； d) SDK可选个人信息范围不宜超出附录 B中对应类型的扩展收集范围； e) SDK使用者或最终用户拒绝提供可选个人信息， SDK不应拒绝提供其他与该信息无关的业务功 能使用； f) 宜在本地处理个人信息 ，非业务所必须不 应将个人信息 传输至SDK服务器端 ； g) 收集个人信息的数量、频 次、精度应满足实现业务功能所必须的最小范围； h) 不宜收集不可变设备标识符 ，同一终端、同一业务场景下不宜收集多个设备标识符 ； i) 不再提供某项个人信息收集能力时， 应同步移除相关个人信息收集代 码，因集成使用其他第三 方SDK无法实现个人信息收集代码移除的，应确保不再运行相关代码逻辑； T/TAF 188 —2023 3 j) 应仅在SDK使用者使用具体业务功能 时，开始收集个人信息。 注：使用业务功能指 SDK使用者应用软件调用具体业务功能 API，非业务功能 API不应作为收集个人信息的触发条件， 如SDK初始化或参数配置等行为。 5.3 权限使用要求 SDK申请和使用系统 权限应满足以下要求： a) 应仅声明实现 SDK服务目的 合理关联 的系统权限