团 体 标 准
T/TAF 238.6—2025
未成年人个人信息网络保护要求
第 6 部分:分发平台管理
Requirements for network protection of personal information of
minors—Part 6: Distribution platform management
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 238《未成年人个人信息网络保护要求》的第6部分。T/TAF 238已经发布了以下部分:
——第1部分: 身份核验;
——第2部分:最小必要;
——第3部分:个人权利响应;
——第4部分:合规审计;
——第5部分:应急响应保障;
——第6部分:分发平台管理。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会提出并归口。
本文件起草单位:中国信息通信研究院、华为终端有限公司、荣耀终端股份有限公司、小米通讯技术有限公司、广东小天才科技有限公司、北京微梦创科网络技术有限公司、阿里巴巴(北京)软件服务有限公司、OPPO广东移动通信有限公司。
本文件主要起草人:王嘉义、傅山、冯金金、阮玲宏、衣强、任资政、王天、赵晓娜、李辰淑、刘艾婧、姚鹤、周裕亮、许依榕、李腾、付艳艳。
引 言
近年来,随着各类技术的迅猛发展,网络已经深刻影响我国未成年生活和学习的方方面面。各类网络产品和服务带来的针对未成年人的个人信息泄露、网络欺凌等事件时有发生,因此,为落实法律法规要求,指导行业建立健全管理制度和技术保障措施,保障未成年人在网络空间的合法权利,有必要制定标准实现在网络空间保护未成年人的个人信息。T/TAF 238《未成年人个人信息网络保护要求》系列标准,由六部分组成。
——第1部分:身份核验。目的在于规范未成年人个人信息网络保护中身份核验的要求,主要包括基本原则、未成年人身份核验要求、身份核验流程、失败的处置措施。
——第2部分:最小必要。目的在于规范网络产品和服务提供者处理未成年人网络活动时的原则要求、最小必要要求、监护人同意方式、监护人拒绝同意下的服务提供方式。
——第3部分:个人权利响应。目的在于规范个人信息处理者响应用户个人权利的要求,包括用户的查阅权、复制权、更正权、删除权等法律法规所要求的用户的合法权利。
——第4部分:合规审计。目的在于规范未成年人个人信息网络保护合规审计规范,主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。
——第5部分:应急响应保障。目的在于规范未成年人个人信息泄露、篡改、丢失, 或涉及私密信息的安全事件时应当采取的应急响应保障机制。
——第6部分:分发平台。目的在于规范移动互联网应用程序分发服务平台在未成年人个人信息网
络保护方面应满足的审核要求、展示要求、下载要求、管理要求和功能保障要求。
未成年人个人信息网络保护要求
第6部分:分发平台管理
1 范围
本文件规定了移动互联网应用程序分发服务平台(以下简称“分发平台”)在未成年人个人信息网络保护方面应满足的审核要求、展示要求、下载要求、管理要求和功能保障要求。
本文件适用于分发平台对自身的服务规范进行自评估, 同时也适用于第三方评估机构开展评估工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/TAF 077.1—2022 APP收集使用个人信息最小必要评估规范 第1部分:总则
T/TAF 078.9—2023 APP用户权益保护测评规范 第9部分:移动应用分发平台信息展示T/TAF 125—2023 应用分发平台APP审核规范
T/TAF 204—2024 APP适用年龄分级要求
3 术语和定义
T/TAF 077.1—2022界定的及下列术语和定义适用于本文件。
3.1
未成年人 minors
未满十八周岁的公民。
3.2
应用分发平台 mobile application distribution platform
提供移动互联网应用程序发布、下载、动态加载、升级等分发服务的各类平台。
注:包括应用商店、分发网站、具有分发能力的移动互联网应用程序等常规分发平台,以及小程序、快应用、H5页面等新形态分发平台。
[来源:T/TAF 078.9—2023, 3.3]
3.3
儿童 children
未满十四周岁的未成年人。
3.4
未成年人个人信息 personal information of minors
以电子或者其他方式记录的与已识别或者可识别的未成年人有关的各种信息,不包括匿名化处理后的信息。
3.5
监护人 guardian
对无民事行为能力人和限制民事行为能力人的人身、财产和其他一切合法权益负有监护职责的人。 3.6
未成年人模式 minor mode
适应未成年人身心健康发展规律和特点,专门面向未成年人使用,覆盖移动智能终端、移动互联网应用程序和移动互联网应用程序分发平台的网络保护模式。
3.7
移动应用软件开发者 mobile application software developer
移动应用开发者是指为移动应用提供软件开发、应用部署等服务的主体(单位或个人)。
4 缩略语
下列缩略语适用于本文件。
APP:移动互联网应用程序(mobile internet application)
5 分发平台对 APP 个人信息处理活动的审核
5.1 对 APP 个人信息保护的审核要求
应用分发平台对APP的个人信息处理规则和个人信息处理活动进行上架前审核和上架后通过跟踪监测或定期抽测的方式进行审核,审核的内容应包括但不限于:
a) 面向未成年人的APP在个人信息处理规则中是否设置专门的未成年人个人信息保护条款和处理规则,其中面向儿童的APP是否设置专门的儿童个人信息保护条款和处理规则;
b) 面向未成年人的APP的个人信息处理规则中是否包含未成年人监护人或未成年人如何撤回同意的方式;
c) 面向未成年人的APP是否存在违规收集个人信息的行为;
d) 面向未成年人的APP是否存在超范围收集个人信息的行为;
e) 面向未成年人的APP是否存在违规使用个人信息的行为;
f) 面向未成年人的APP是否存在欺骗误导提供个人信息的行为;
g) 面向未成年人的APP是否存在强制使用定向推送功能的行为。
注1:移动应用软件开发者通过声明、年龄分级或应用类别选项等方式, 向应用分发平台提供其APP是否面向未成年人或儿童的相关信息,但应用分发平台不对此该信息进行审核。
注2:面向未成年人的APP个人信息保护检测方法参考T/TAF 125—2023的附录A。
5.2 审核结果处理
分发平台发现 APP 存在不符合 5.1 的审核要求时,应及时采取相应的处置措施:
a) 在上架审核中若发现不满足要求的 APP,应拒绝其上架申请,在 APP 发布后若发现存在不满足要求的 APP,应采取通知整改、下架、删除、断开相关应用服务、冻结账号等处理措施;
b) 对于存在多次违规的 APP,如多次通知拒不整改的,或采用技术手段规避审核的,应用分发平台应酌情采取加严处理措施,如:直接下架、冻结账号等。
6 分发平台对 APP 的展示要求
应用分发平台对已上架的APP进行信息展示,应满足如下展示要求:
a) 应用分发平台应对面向未成年人的APP进行适用年龄分级展示,以便未成年人监护人或未成年人在下载APP前可以对APP进行初步的判断和筛选,APP年龄分级原则参考T/TAF 204—2024;
b) 应用分发平台应在面向未成年人的APP详情页展示APP的隐私政策入口,针对专门面向儿童的APP, 隐私政策中包含儿童隐私政策的要求。
7 分发平台对 APP 的下载要求
支持未成年人模式的分发平台进入未成年人模式或分发平台进入未成年人专区下载应用时,宜满足如下要求:
a) 对未成年人专区内的适龄应用程序的下载,应用程序分发平台宜默认无需家长验证或豁免;
b) 在本终端侧或监护人终端侧呈现家长的身份验证提示,经家长验证通过后可继续下载应用,经家长设置免于验证的除外;
c) 在本终端侧或监护人终端侧的家长身份验证提示界面提供该应用的隐私政策入口,便于未成年人的监护人及时查阅,经家长设置免于验证的除外。
8 分发平台对 APP 的管理要求
针对正在申请上架APP或已上架APP的未成年人个人信息处理活动情况,分发平台应采取如下管理措施:
a) 分发平台应要求面向未成年的App开发者或专门面向儿童的APP开发者提供的隐私政策链接始终处于可正常访问的状态;
b) 分发平台应建立相应投诉机制,便于用户对平台上APP涉及儿童或未成年人个人信息处理活动进行监督,必要时分发平台根据相关管理要求对有关APP应采取整改措施;
c) 应根据相关管理要求,积极配合有关部门开展的监督检查,提供必要的技术、数据等支持和协助。
参 考 文 献
[ 1 ] 未成年人网络保护条例
[2 ] 中华人民共和国个人信息保护法
[3 ] 中华人民共和国未成年人保护法
[4 ] 工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知
[5 ] 移动互联网未成年人模式建设指南
评论