团 体 标 准
T/TAF 267.2—2025
软件开发工具包(SDK)用户权益和个人信息保护技术要求 第 2 部分:推送类
Technical requirements for user rights and personal information
protection of Software Development Kits (SDK)—
Part 2: Push category
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 267《软件开发工具包(SDK)用户权益和个人信息保护技术要求》的第2部分。T/TAF 267已发布了以下部分:
——第1部分:广告类;
——第2部分:推送类;
——第3部分:地图类;
——第4部分:支付类;
——第5部分: 统计类。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会提出并归口。
本文件起草单位:中国信息通信研究院、每日互动股份有限公司、维沃移动通信有限公司、友盟同欣(北京)科技有限公司、北京快手科技有限公司、北京微梦创科网络技术有限公司、杭州云深科技有限公司、中兴通讯股份有限公司、郑州信大捷安信息技术股份有限公司、百度在线网络技术(北京)有限公司。
本文件主要起草人:常浩伦、李鑫、臧磊、郭文双、卢利颖、方毅、叶新江、姚建明、董霖、葛欢阳、李浩川、李颖莹、彭婕、苗玉雷、李可心、王淞鹤、陈超、吕繁荣、尹祖勇、钟杨青、姚栋、贾紫薇、落红卫、王昕、任资政、邹庆、曹耀斌、尹倩、刘献伦、郭建领、冯钰淇。
软件开发工具包(SDK)用户权益和个人信息保护技术要求
第 2 部分:推送类
1 范围
本文件规定了推送类 SDK 的个人信息处理要求、用户权益保护要求和业务功能划分及配置能力提供要求。
本文件适用于推送类 SDK 开发运营者规范自身个人信息处理活动,同时也适用于主管部门、第三方评估机构等对推送类 SDK 个人信息保护和用户权益保护能力进行监督和评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/TAF 188—2023 软件开发工具包(SDK)收集个人信息技术要求
T/TAF 189—2023 软件开发工具包(SDK)用户权益保障基本要求
3 术语和定义
T/TAF 188—2023、T/TAF 189—2023界定的以及下列术语和定义适用于本文件。
3.1
软件开发工具包开发运营者 software development kit operator
软件开发工具包的开发者、所有者、管理者或提供者,也包括SDK相关的个人信息处理者。
注:简称SDK开发运营者。
3.2
移动互联网应用程序开发运营者 mobile internet application operator
移动互联网应用程序的开发者、所有者、管理者或提供者,也包括APP相关的个人信息处理者。
注:简称SDK使用者。
4 个人信息处理要求
4.1 收集要求
推送类SDK在个人信息收集过程中, 除满足T/TAF 188—2023、T/TAF 189—2023相关要求外,还应满足以下收集要求。
a) 非服务所必须且无合理场景不应强制收集不可变更的设备标识符;
b) 基于位置开展的推送,SDK收集位置信息的频次应由SDK使用者根据业务需要设置合理的数值;
c) 聚合其他第三方推送SDK的,应对第三方SDK个人信息保护能力进行评估,选择对最终用户影响最小的方式合理配置第三方SDK各项可选功能及可选个人信息。
4.2 存储要求
推送类SDK个人信息存储的要求如下:
a) 存储在客户端的敏感个人信息应采取必要的加密、访问控制等措施;
b) 存储在客户端的推送内容应根据业务需要设置合理的留存期限;
c) 在超过为实现业务功能(包括基本业务功能和扩展业务功能)而设的最短存储期限时,SDK开发运营者应当对个人数据予以删除或者匿名化,法律法规另有规定、双方另有约定或最终用户另行授权同意的除外;
d) 应对SDK开发运营者服务端存储的敏感个人信息进行分类分级管理,釆取不同级别的安全保障措施以确保个人信息在服务端的安全存储。
4.3 使用、加工要求
推送类SDK个人信息使用和加工的要求如下:
a) 对于使用个人信息基于算法分析进行个性化推送的,应通过SDK使用者告知最终用户,并在用户同意的情况下开展对应业务;
b) 开展推送业务过程中,应仅使用在当前SDK使用者应用软件中获取的个人信息,非服务所必须且无合理场景,不应对不同应用软件中获取的个人信息进行关联分析,如SDK使用个人信息进行关联分析,应征得最终用户同意,如有具体场景适用其他合法性基础,需要根据法律法规、相关国家标准的规定进行适用;
c) SDK开发运营者对个人信息的使用和加工范围应与收集个人信息时披露的使用目的有直接或合理的关联,法律法规另有规定的除外,且应保证加工过程可控、加工结果完整,不侵害个人信息主体的权益;
d) SDK获取个人信息,进行加工处理形成新的个人信息并用于其他目的,应获得最终用户的授权同意,并提供撤回同意渠道。
注:加工处理后,仍能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息。
4.4 传输要求
推送类SDK个人信息传输的要求如下:
a) 因业务需要进行个人信息传输,应按照个人信息处理规则中公示的目的和用途进行;
b) 传输敏感个人信息时应采取加密处理等安全技术措施。
4.5 共享要求
推送类SDK个人信息提供的要求如下:
a) SDK开发运营者向SDK使用者之外的其他机构或个人提供其处理的个人信息,应按照法律法规规定向个人信息主体告知提供的目的、数据接收方的类型等信息,在征得个人信息主体的授权同
意的情况下,SDK开发运营者应通过合同等方式明确数据接收方的责任和义务;注:SDK开发运营者向SDK使用者之外的其他机构或个人提供其个人信息,应取得最终用户同意。
b) 未经个人信息主体单独同意或不符合法律法规相关要求,SDK不得跨境提供个人信息;
c) 未经个人信息主体单独同意,SDK不得对外提供敏感个人信息。
4.6 公开要求
推送类SDK个人信息公开的要求如下:
a) 未经个人信息主体单独同意或无其他合法性基础, SDK 开发运营者不得公开其处理的个人信息;
b) SDK 开发运营者未经个人信息主体单独同意公开其个人信息的,宜对展示的个人信息采取去标识化处理等措施。
4.7 删除要求
推送类SDK个人信息删除的要求如下:
a) 存储在SDK开发运营者服务端的推送内容,应根据业务需求设置最短的存储期限,过期的应及时删除,SDK开发运营者对个人信息的保存期限应为实现用户授权使用的目的所必需的最短时间,法律法规另有规定或者用户另行授权同意的除外;
b) SDK停止运营后,应主动删除其处理的个人信息,或对相关个人信息进行匿名化处理,法律法规另有规定或者最终用户另行授权同意的除外;
c) SDK使用者停止接入SDK并通知SDK开发运营者后,SDK开发运营者应停止处理通过该SDK使用者收集到的个人信息,主动删除其处理的个人信息或对相关个人信息进行匿名化处理,法律法规另有规定、双方另有约定或最终用户另行授权同意的除外。
5 用户权益保护要求
推送类SDK用户权益保护要求如下:
a) SDK开发运营者应当配备相关的敏感词过滤功能,帮助SDK使用者筛选掉违规或非法的推送内容;
b) SDK使用者在处理消息推送时,不得包含违法和不良信息。推送的标题和内容必须一致,不可误导或夸大事实以虚假宣传。同时,禁止链接恶意网站或二维码,及诱导点击实施不正当行为,如流量造假或劫持;
c) SDK开发运营者宜建立客服热线,并在显著位置公示客服热线电话号码,简化人工服务转接程序;
d) 最终用户拒绝相关权限申请,SDK不应拒绝与该权限无关的其他业务功能的使用;
e) SDK开发运营者不得使用热更新等远程控制方式擅自更改个人信息处理规则,不得擅自变更用户各项业务功能及个人信息配置状态;
f) SDK开发运营者应建立最终用户诉求和投诉响应管理机制,确保在15日内对最终用户权益诉求及投诉进行响应;
g) SDK开发运营者应向SDK使用者提供个人信息删除机制,最终用户可通过SDK使用者行使个人信息删除权利,SDK开发运营者应在接收到SDK使用者关于最终用户的个人信息删除的请求后及时删除其处理的个人信息或对相关个人信息进行匿名化处理。
6 业务功能划分及配置能力提供要求
推送类SDK在向SDK使用者提供功能服务过程中应遵循以下要求:
a) 聚合其他第三方推送SDK的,应提供配置选择方式,供SDK使用者自主选择集成第三方SDK产品;
宜提供配置选项,供SDK使用者控制是否开启第三方SDK的各项可选功能及可选个人信息;
b) SDK若提供APP之间的关联启动功能,应划分为扩展业务功能,并提供开关配置选项;
c) 基于位置推送、个性化推送的功能,应划分为扩展业务功能,并提供开关配置选项。
附 录 A
(资料性)
推送类SDK收集的常见个人信息
表A.1给出推送类SDK各项业务功能收集个人信息的常见范围。
表 A.1 推送类 SDK 常见收集个人信息范围
参 考 文 献
[1] 中华人民共和国个人信息保护法(2021年 8 月 20 日第十三届全国人民代表大会常务委员会第三十次会议通过)
[2] 中华人民共和国网络安全法(2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过)
[3] 电信和互联网用户个人信息保护规定(2013 年 7 月 16 日中华人民共和国工业和信息化部令第24 号公布)
[4] 全国人大常委会关于加强网络信息保护的决定(2012 年 12 月 28 日第十一届全国人民代表大会常务委员会第三十次会议通过)
评论