T/TAF 354.8-2026 移动智能终端及移动互联网应用程序用户个人信息保护实施指南 第8部分：个人信息处理规则

ICS 33.050 CCS M30

团体 标准

T/TAF 354.8—2026代替 T/TAF 068—2020

移动智能终端及移动互联网应用程序用户

个人信息保护实施指南

第 8 部分：个人信息处理规则

Mobile intelligent terminal and mobile application software user

personal information protection implementation guide—

Part 8: Personal information processing rules

2026-06-17 发布 2026-06-17 实施

电信终端产业协会发布

T/TAF 354.8—2026

目次

前言 II

引言 III

1 范围 1

2 规范性引用文件 1

3 术语和定义 1

4 缩略语 2

5 制定、发布、修改的原则 2

5.1 制定原则 2

5.2 发布原则 2

5.3 修改原则 2

6 个人信息处理规则内容 3

6.1 内容构成 3

6.2 个人信息处理规则摘要 3

6.3 适用范围 3

6.4 基本信息 3

6.5 相关术语定义 3

6.6 各业务功能收集使用的个人信息 4

6.7 个人信息的保存与保护 4

6.8 个人信息主体享有的权利 4

6.9 个人信息的提供、公开、转移 5

6.10 不满 14 周岁未成年人个人信息的保护 5

6.11 cookies 和同类技术 5

6.12 个人信息处理规则更新 5

6.13 反馈、投诉、争议解决规则 5

参考文献 6

I

前言

本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是 T/TAF 354《移动智能终端及移动互联网应用程序用户个人信息保护实施指南》的第 8 部分。T/TAF 354 已经发布了以下部分：

——第1部分：总则(T/TAF 070—2020);

——第2部分：个人信息分类分级(T/TAF 050—2022);

——第3部分：终端告知同意(T/TAF 065—2020);

——第4部分：应用软件告知同意(T/TAF 066—2020);

——第5部分：终端权限管理(T/TAF 051—2021);

——第6部分：应用软件权限规范(T/TAF 067—2020);

——第7部分：定向推送(T/TAF 080—2021);

——第8部分：个人信息处理规则;

——第9部分：注销账户(T/TAF 085—2021)。

本文件代替 T/TAF 068—2020《移动智能终端及应用软件用户个人信息保护实施指南第 8 部分：

隐私政策》， 与 T/TAF 068—2020 相比，除结构调整和编辑性改动外，主要技术编号如下：

a) 修改标准名称，名称修改为《移动智能终端及移动互联网应用程序用户个人信息保护实施指南第 8 部分：个人信息处理规则》;

a) 增加标准内容，增加 5.1 e)提供个人信息处理规则摘要;

b) 增加标准内容，增加 5.1 i)个人信息处理规则宜在具体规则前设置阅读目录。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会(TAF)提出并归口。

本文件起草单位：中国信息通信研究院、北京快手科技有限公司、阿里巴巴(北京)软件服务有限公司、重庆信息通信研究院、蚂蚁科技集团股份有限公司、OPPO广东移动通信有限公司、维沃移动通信有限公司、荣耀终端股份有限公司、北京三星通信技术研究有限公司、小米通讯技术有限公司、北京百度网讯科技有限公司、北京抖音信息服务有限公司。

本文件主要起草人：汪海、陈鑫爱、邓佑军、桑明臣、武林娜、燕丽华、石中金、马慧、吕富生、张静怡、屈蕾蕾、王浩仟、王炎、落红卫、王昕、刘艾婧、李飘、蔡鑫、林冠辰、李腾、赵盈洁、赵晓娜、王彬、吴越、孔令昊、李昳婧、郑剑锋。

本文件及其所代替文件的历次版本发布情况为：

——2020年首次发布为T/TAF 068—2020;

——本次为第一次修订。

II

引言

随着数字经济时代的深入发展，移动互联网应用程序(App)和智能终端已成为社会运行和人民生活的重要组成部分;审视各类移动智能终端和移动互联网应用程序个人信息处理规则，存在同质化、粗造化、冗余化，重点不突出与一揽子告知同意并存等问题。

本文件针对移动智能终端和移动互联网应用程序个人信息处理规则存在的问题，提出个人信息处理规则应涵盖的内容及展示方式等，是对生产企业和互联网信息服务提供者制定所提供移动智能终端和移动互联网应用程序个人信息处理规则的引导。同时，本文件通过细化个人信息处理规则各环节的内容，以促进产业发展与个人信息主体权益保障的平衡。

T/TAF 354《移动智能终端及移动互联网应用程序用户个人信息保护实施指南》系列标准旨在对移动智能终端及移动互联网应用程序用户个人信息保护提出实施指南，由9个部分构成。

——第1部分：总则。目的在于给出个人信息保护总体思想，对个人信息保护实施指南系列标准起着提纲挈领的作用。

——第2部分：个人信息分类分级。 目的在于提供对移动智能终端与应用软件上用户个人信息实施分类分级保护的指导，针对移动智能终端与应用软件的特点，将用户个人信息进行了类别的划分，并针对不同类别的信息提出了不同保护等级的参考。

——第3部分：终端告知同意。 目的在于规定移动智能终端行业相关方，包括设备厂商、操作系统提供商、终端预置应用开发者等，在收集用户信息时的告知同意标准。

——第4部分：应用软件告知同意。 目的在于规定应用软件告知同意的要求，包括告知时间、告知内容、告知方式、用户同意等相关内容。

——第5部分：终端权限管理。 目的在于规定移动智能终端权限管理的要求，包括移动智能终端权限范围定义;移动智能终端权限分类与分级;移动智能终端权限管理显示规范;移动智能终端权限申请方式、授予方式与撤销方式;移动智能终端权限提示等。

——第6部分：应用软件权限规范。 目的在于规定移动应用软件敏感权限规范要求和实施指南。

——第7部分：定向推送。 目的在于规定移动智能终端及应用软件定向推送的个人信息保护要求，并针对不同类型应用提出多种关闭定向推送的案例，为移动智能终端提供商及应用软件开发者建立定向推送机制提供指导。

——第8部分：个人信息处理规则。 目的在于提出个人信息处理规则应涵盖的内容及展示方式等，是对生产企业和互联网信息服务提供者制定所提供移动智能终端和移动互联网应用程序个人信息处理规则的引导。

——第9部分：注销账户。 目的在于针对注销账户的功能，提出能力要求，并针对能力要求提出不同能力等级的参考，为移动智能终端提供商及应用软件开发者建立注销账户机制提供指导。

III

移动智能终端及移动互联网应用程序用户个人信息保护实施指南

1 范围

本文件规定了个人信息处理规则的制定原则、体系架构和要求。

本文件适用于规范各类个人信息控制者制定、发布、修改个人信息处理规则活动，也适用于监管部

门、第三方评估机构等组织对个人信息处理规则制定、发布、公示、修改活动及具体内容进行监督、管理和评估。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 35273—2020 信息安全技术个人信息安全规范

3 术语和定义

GB/T 35273—2020界定的以及下列术语和定义适用于本文件。

3.1

移动互联网应用程序 mobile application software

可安装在移动智能终端内，能够利用移动智能终端操作系统提供的公开开发接口，实现某项或某几项特定任务的应用程序。

注：包含移动智能终端预置应用、小程序、快应用等以及互联网信息服务提供者提供的可以通过网站、应用商店等应用分发平台下载、安装、升级的应用程序，简称APP。

[来源：T/TAF 078.8—2025] 3.2

个人信息 personal information

指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[来源：《中华人民共和国个人信息保护法》]

3.3

敏感个人信息 sensitive personal information

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

1

4 缩略语

下列缩略语适用于本文件。

SDK：软件开发工具包(Software Development Kit)

5 制定、发布、修改的原则

5.1 制定原则

制定个人信息处理规则时遵循以下原则：

a) 个人信息处理规则单独成文，而非包含在用户协议中，在命名上可采用“隐私政策”“个人信息处理规则”“个人信息保护政策”等;

b) 个人信息处理规则所告知的信息清晰、准确、完整;

c) 个人信息处理规则的内容易于阅读，字体、大小、颜色、间距、清晰度、语种等不造成阅读障碍。是否造成障碍以一般人理解为限，如文字过小过密、颜色过淡、模糊不清、未提供简体中文版或有大量专业用语等问题;

d) 提供个人信息处理规则摘要;

e) 涉及敏感个人信息收集、存储、使用、加工、传输、提供、公开、删除等的，个人信息处理规则中明确标识或突出显示，如字体加粗、标星号、下划线等;

f) 个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则;

g) 个人信息处理规则宜在具体规则前设置阅读目录。

5.2 发布原则

发布个人信息处理规则时遵循的原则如下：

a) 公开发布且易于访问;

1) 在首次运行时提示用户阅读;

2) 长期设置在相关菜单或非隐蔽位置，便于个人信息主体查阅;

3) 在进入移动互联网应用程序界面后，访问时不多于 4 次点击或滑动动作，例如在 App 设置的首页提供个人信息处理规则一键访问的功能，以便于个人信息主体查阅和保存。

b) 提供可下载或可复制的文本，以便于个人信息主体获取。

5.3 修改原则

修改个人信息处理规则时遵循的原则如下：

a) 个人信息处理规则所涉及事项发生变化时，及时更新个人信息处理规则;

b) 宜在个人信息处理规则中提供链接，以使个人信息主体能够查阅曾经正式发布的个人信息处理规则历史版本;

c) 涉及重大变更的，及时更新个人信息处理规则并重新告知个人信息主体，以显著方式提醒个人信息主体更新内容，并获得个人信息主体同意，可保留旧版个人信息处理规则供个人信息主体对比。显著方式包括但不限于发布公告等;

d) 修改后的个人信息处理规则不宜降低个人信息主体在原规则下享有的权利;

e) 上述重大变更的情况包括但不限于：

1) 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的;

2) 个人信息处理者的名称或者姓名和联系方式发生变更的;

2

3) 个人信息的处理目的、处理方式，处理的个人信息种类、保存期限发生变更的;

4) 法律、行政法规规定应当告知的其他事项发生变更的。

6 个人信息处理规则内容

6.1 内容构成

个人信息处理规则的内容包括以下部分：

a) 个人信息处理规则摘要;

b) 适用范围;

c) 基本信息;

d) 相关专业术语定义;

e) 各业务功能收集使用的个人信息;

f) 个人信息的保存与保护;

g) 个人信息主体享有的权利;

h) 个人信息的提供、公开、转移;

i) 不满 14 周岁未成年人个人信息的保护;

j) cookies 和同类技术;

k) 个人信息处理规则更新;

l) 反馈、投诉、争议解决。

6.2 个人信息处理规则摘要

个人信息处理规则摘要遵循的原则如下：

a) 置于完整个人信息处理规则开始的部分，或以单独文件、单独界面展示;

b) 直观、简明、快速描述个人信息处理规则的主要组成部分及其核心要旨;

c) 包含所提供的业务功能和所收集的个人信息的种类。如所收集的个人信息种类较多，可在摘要中通过提供个人跳转点击链接的形式帮助跳转至个人信息处理规则对应章节;

d) 包括个人选择或关闭特定业务功能的权利和操作方式;

e) 包括个人选择或拒绝提供必要个人信息的权利和操作方式。

6.3 适用范围

适用范围部分的内容包含个人信息处理规则所适用的产品或服务范围、所适用的个人信息主体类型。

6.4 基本信息

基本信息部分的内容包含以下内容：

a) 个人信息处理者的相关信息，包括开发运营者名称或姓名、注册地址、联系方式(如电话、邮箱)等;

b) 如处理个人信息达到国家网信部门规定数量的，提供专门负责个人信息保护的联系人信息或机构的联系方式，便于用户咨询和投诉。

6.5 相关术语定义

3

相关术语定义部分的内容结合实际情况列明个人信息处理规则中相关定义，可同时列明所涉及的个人信息/敏感个人信息的类型等。

6.6 各业务功能收集使用的个人信息

各业务功能收集个人信息的部分包括但不限于以下内容：

a) 个人信息处理规则的内容体现合法性及最小化原则，在个人信息处理规则中单独列明或与其他条款结合列明;

b) 按照业务功能逐一列明移动智能终端、移动互联网应用程序及移动互联网应用程序嵌入的第三方插件等收集的个人信息的类型、目的、方式;

c) 收集的个人信息的类型与实现产品或服务的业务功能有直接关系;注：直接关系是指没有该信息的参与，产品或服务的功能无法实现。

d) 当收集个人信息的类型、目的、方式发生变化的，个人信息处理者应通知提醒阅读更新后的个人信息处理规则;

e) 涉及处理敏感个人信息的，宜在个人信息处理规则中告知收集的敏感个人信息的类型、目的、同意的风险及不同意的后果;

f) 收集个人信息的频次过高的，宜列明是实现业务功能所必需的最低频次;

g) 收集、使用个人信息无需征得用户授权同意的情形;

h) 涉及引用第三方 SDK 收集、处理个人信息的，在个人信息处理规则中明确嵌入的第三方 SDK 收集使用个人信息的目的、方式、范围及信息共享机制，及 SDK 提供方个人信息处理规则。

6.7 个人信息的保存与保护

6.7.1 个人信息的保存

个人信息的保存部分包括但不限于以下内容：

a) 个人信息处理规则宜列明个人信息的保存地域、期限、超期处理的方式;

b) 在保存方式上，如果不同类型的数据保存目的、地域、存储期限、超期处理方式不同，宜分别说明;

c) 在保存地域上，如因业务需要或司法、执法要求，存在向境外提供个人信息的，个人信息处理规则宜详细说明向境外提供的目的、提供方式、境外接收方的身份、向境外提供的个人信息种类、向境外提供时所遵守的安全保护标准，以及个人信息主体所拥有的权利、行使权利的方式或路径等;

d) 在保存期限上，说明常规情况的保存期限，以及用户删除、注销、个人信息处理者停止运营产品或服务等特殊情形的保存期限;保存期限如无法具体确定的，宜说明原因并说明保存期限不超过实现收集个人信息最初目的所必需的最短期间;超过保存期限的，在判断满足继续存储的

正当性及必要性后，在个人信息处理规则中进行说明。

6.7.2 个人信息的保护

个人信息处理规则列明在个人信息生命周期全流程所采取的安全保护措施，可按照不同流程列明不同的安全保护措施，如在传输时是否会采用相应的技术对个人信息传输进行加密，在共享、转移时采取的验证接收方合法身份的方式与责任划分等。

6.8 个人信息主体享有的权利

4

个人信息主体享有的权利部分列明个人信息主体的权利及具体的实现方式，具体的实现方式是指个人信息主体实现该权利以及拒绝该权利所需要进行的操作路径等相关信息。

6.9 个人信息的提供、公开、转移

涉及第三方处理的，如提供、公开、转移等，包括但不限于以下内容：

a) 列明第三方名称或姓名、联系方式、处理的信息及范围;

b) 个人信息接收方变更原先的处理目的、处理方式的，应当重新取得个人同意;

c) 列明个人信息主体享有的撤回同意的实现方式及效果。

6.10 不满 14 周岁未成年人个人信息的保护

涉及不满 14 周岁未成年人个人信息的，列出不满 14 周岁未成年人个人信息处理原则和方式，包括

但不限于以下内容：

a) 说明收集不满 14 周岁未成年人个人信息的类型及该类信息的存储、共享、公开、转移等的程序、方式及例外情形;

b) 说明不满 14 周岁未成年人监护人拒绝的权利及实现方式。

6.11 cookies 和同类技术

涉及使用到 cookies 和同类技术的，个人信息处理规则说明采用的相关技术分别对应收集个人信息的类型、目的、管理或删除的方式、后果，告知个人信息主体限制 cookie 和同类技术的方法。

6.12 个人信息处理规则更新

个人信息处理规则更新部分的内容遵循本文件5.3的修改原则列明更新的原因、更新的通知方式、更新及生效的时间、修订的内容等。

6.13 反馈、投诉、争议解决规则

个人信息主体投诉渠道和反馈机制列明包括但不限于以下内容;

a) 个人信息主体投诉的渠道、联系方式;

b) 在收到个人信息主体发送的意见或投诉后的反馈机制，包括反馈的时限、适用情形等;

c) 明确告知个人信息主体如果对答复不满意的，可向有关监管部门进行投诉、举报，或采取仲裁、诉讼等其他方式维护权益。

5

参考 文献

[1] 《中华人民共和国个人信息保护法》， 2021 年 8 月 20 日

[2] GB/T 44588—2024 数据安全技术互联网平台及产品服务个人信息处理规则

[3] T/TAF 078.8—2025 APP 用户权益保护测评规范第 8 部分：移动应用分发平台管理