团 体 标 准
T/TAF 238.2—2025
未成年人个人信息网络保护要求
第 2 部分:最小必要
Requirements for network protection of personal information of
minors—Part 2: Minimization and necessity
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 238《未成年人个人信息网络保护要求》的第2部分。T/TAF 238已经发布了以下部分:
——第1部分: 身份核验;
——第2部分:最小必要;
——第3部分:个人权利响应;
——第4部分:合规审计;
——第5部分:应急响应保障;
——第6部分:分发平台。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会提出并归口。
本文件起草单位:中国信息通信研究院、蚂蚁科技集团股份有限公司、北京快手科技有限公司、广东小天才科技有限公司、华为终端有限公司、OPPO广东移动通信有限公司、荣耀终端股份有限公司、上海合合信息科技股份有限公司、郑州信大捷安信息技术股份有限公司、北京微梦创科网络技术有限公司、新华三技术有限公司、中兴通讯股份有限公司、阿里巴巴(北京)软件服务有限公司。
本文件主要起草人:冯金金、傅山、魏凡星、王嘉义、刘陶、杜云、陈鑫爱、王艳红、林冠辰、石玉珍、谷晨、落红卫、周裕亮、许依榕、阮玲宏、李腾、付艳艳、赵晓娜、李辰淑、廖超豪、刘涛、刘献伦、任资政、邹庆、李培、潘万鹏、刘艾婧。
引 言
近年来,随着各类技术的迅猛发展,网络已经深刻影响我国未成年生活和学习的方方面面。各类网络产品和服务带来的针对未成年人的个人信息泄露、网络欺凌等事件时有发生,因此,有必要制定标准实现在网络空间保护未成年人的个人信息。T/TAF 238《未成年人个人信息网络保护要求》系列标准旨在落实法律法规要求,指导行业建立健全管理制度和技术保障措施,保障未成年人在网络空间的合法权利,由六部分组成。
——第1部分:身份核验。目的在于规范未成年人个人信息网络保护中身份核验的要求,主要包括基本原则、未成年人身份核验要求、身份核验流程、失败的处置措施。
——第2部分:最小必要。目的在于规范网络产品和服务提供者处理未成年人网络活动时的原则要求、最小必要要求、监护人同意方式、监护人拒绝同意下的服务提供方式。
——第3部分:个人权利响应。目的在于规范个人信息处理者响应用户个人权利的要求,包括用户的查阅权、复制权、更正权、删除权等法律法规所要求的用户的合法权利。
——第4部分:合规审计。目的在于规范未成年人个人信息网络保护合规审计规范,主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。
——第5部分:应急响应保障。目的在于规范未成年人个人信息泄露、篡改、丢失, 或涉及私密信息的安全事件时应当采取的应急响应保障机制。
——第6部分:分发平台。目的在于规范移动互联网应用程序分发服务平台在未成年人个人信息网
络保护方面应满足的审核要求、展示要求、下载要求、管理要求和功能保障要求。
未成年人个人信息网络保护要求 第 2 部分:最小必要
1 范围
本文件规定了网络产品和服务提供者处理未成年人网络活动,向未成年人提供网络服务时的原则要求、最小必要要求、监护人同意方式、监护人拒绝同意下的服务提供方式。
本文件适用于规范网络产品和服务提供者处理未成年人网络活动,向未成年人提供网络服务时的最小必要要求,同时也适用于网络产品和服务提供者开展自评估或第三方评估机构开展评估工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 35273—2020 信息安全技术 个人信息安全规范
T/TAF 077.1—2022 APP收集使用个人信息最小必要评估规范 第1部分:总则
3 术语和定义
GB/T 35273—2020及T/TAF 077.1—2022界定的以及下列术语和定义适用于本文件。
3.1
未成年人 minors
未满十八周岁的公民。
3.2
儿童 children
不满十四周岁的未成年人。
3.3
监护人 guardian
对无民事行为能力人和限制民事行为能力人的人身、财产和其他一切合法权益负有监护职责的人。 3.4
敏感个人信息 personal sensitive information
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
4 缩略语
下列缩略语适用于本文件。
APP:移动互联网应用程序(Application)
5 基本原则
5.1 最小必要原则
网络产品和服务提供者处理的未成年人个人信息,应为保障网络产品或服务正常运行的最小必要信息,应以实现合理处理目的所必要的最小范围、采取对个人权益影响最小的方式处理未成年人个人信息。
5.2 监护人同意
网络产品和服务提供者处理儿童个人信息时,应以显著、清晰的方式告知儿童监护人,并应征得监护人同意后方可处理儿童个人信息,或具备其他合法性基础。
网络产品和服务提供者处理年满14周岁的未成年人敏感个人信息时,宜以显著、清晰的方式告知未成年人的监护人,并宜征得监护人同意后处理年满14周岁的未成年人敏感个人信息。
6 未成年人个人信息网络保护最小必要
网络产品和服务提供者处理未成年人个人信息时,应满足如下最小必要要求:
a) 处理未成年人个人信息的种类、范围应与处理目的有直接关联;
b) 处理未成年人个人信息的数量应为实现处理目的所必需的最少数量;
c) 处理未成年人个人信息的频率应为实现处理目的所必需的最低频率;
d) 未成年人个人信息存储期限应为实现处理目的所必需的最短时间,超出存储期限的,应对未成年人个人信息予以删除或者匿名化进行处理,法律、法规另有规定或经年满14周岁的未成年人、儿童监护人同意的除外;
e) 应建立最小授权的访问控制策略,控制未成年人个人信息被知悉范围:
1) 确保被授权访问未成年人个人信息的人员仅能访问到完成职责所需的最少未成年人个人信息;
2) 确保访问未成年人个人信息的权限经过相关负责人或其授权的管理人员审批;
3) 应及时记录未成年人个人信息访问情况。
f) 在处理未成年人个人信息时,应采取技术措施,避免违法处理未成年人个人信息;
g) 应及时记录未成年人个人信息处理情况。
7 监护人同意
网络产品和服务提供者处理儿童个人信息时,应满足如下监护人同意要求:
a) 网络产品和服务提供者在处理儿童个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地告知下列事项:
1) 个人信息处理者的名称或者姓名和联系方式;
2) 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
3) 个人行使规定权利的方式和程序;
4) 法律、行政法规规定应当告知的其他事项。
b) 网络产品和服务提供者应能在依托身份核验机制准确识别出儿童后,履行充分告知义务,向监护人发出收集和处理儿童个人信息的请求。
c) 网络产品和服务提供者应根据业务场景的敏感程度和必要性,在适当的时候采用下述方式之一由监护人做出明示同意:
1) 监护人输入口令;
2) 监护人签署同意书并通过传真、邮件或电子扫描发回给网络产品和服务提供者;
3) 监护人使用在线支付系统进行交易验证;
4) 通过和监护人进行电话、视频方式验证;
5) 其他可行方式。
注1:验证监护人身份可采取下列方式: 1)核验通过有权机构认定的监护人网络身份ID;2)通过儿童智力不能有效回答的作题挑战;3)验证监护人照片等信息。
d) 不应采用默认勾选监护人同意,且应提供拒绝授权同意或撤回同意的选项;
e) 应针对不同年龄特点采取不同方式,提醒未成年人需取得监护人同意。
注2:不同年龄段可参考如下方式:1)对于0-8(不含)岁未成年人,网络产品或服务提供者在设计功能时可采取漫画、提示音等友好形式告知儿童需取得监护人同意, 比如:“打开摄像头时记得要问问妈妈哦”;2)对于8-14 (不含)岁未成年人, 网络产品或服务可采取亲子账号、家庭账号、直接向监护人发送同意确认等方式获取监护人同意,由监护人授权使用功能以及时间管理等;3)对于14-18(不含)岁的未成年人,一般个人信息的收集取得未成年人同意即可,但在收集敏感个人信息时(如生物识别信息、学籍信息等一旦泄露会对未成年人权益造成重大损害的信息),可由监护人做出明示同意。
8 拒绝同意的处置措施
网络产品和服务提供者向未成年人或其监护人提供拒绝同意及撤回同意处理未成年人个人信息的选项时,应满足如下要求:
a) 在未成年人或者其监护人不同意网络产品和服务提供者处理未成年人非必要个人信息时,网络产品和服务提供者应提供基本功能服务供未成年人使用;
b) 在未成年人或者其监护人撤回同意网络产品和服务提供者处理未成年人非必要个人信息时,网络产品和服务提供者应提供基本功能服务供未成年人使用;
c) 在未成年人或者其监护人拒绝同意及撤回同意的个人信息属于提供产品或者服务所必需信息时,网络产品和服务提供者可拒绝提供产品或者服务。
评论