TTAF 067-2020 移动智能终端及应用软件用户个人信息保护实施指南 第6部分：应用软件敏感权限规范.pdf

ICS33.050

M30

团体标准

T/TAF067-2020

移动智能终端与应用软件用户个人信息保

护实施指南第6部分：应用软件权限规范

Mobileintelligentterminalandapplicationsoftwareuserpersonal

informationprotectionimplementationguide—Part6:Application

softwaresensitiveaccessspecification

2020-08-24发布2020-08-24实施

电信终端产业协会发布

T/TAF067-2020

移动智能终端与应用软件用户个人信息保护实施指南第6部分：应

用软件权限规范

1范围

本标准规定了移动应用软件敏感权限规范要求和实施指南。

本标准适用于移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过移动智能终

端下载、安装、升级的应用软件。

2规范性引用文件

下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。

YD/T2407-2013《移动智能终端安全能力技术要求》；

YD/T2439-2012《移动互联网恶意程序描述格式》；

YD/T3228-2017《移动应用软件安全评估方法》；

《关于加强移动智能终端进网管理的通知》（工信部电管〔2013〕120号）；

《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管[2016]407号）。

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

移动智能终端smartmobileterminal

移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移

动终端产品。

3.1.2

移动应用软件mobileapplicationsoftware

移动智能终端应用软件（以下简称“应用软件”）是指移动智能终端预置以及通过网站、应用商店、

扫二维码、应用自身、其他线上线下平台或渠道下载、安装、升级、卸载的应用软件。

3.1.3

个人信息personalinformation

与一个身份已被识别或者身份可被识别的自然人（“数据主体”）相关的任何信息；身份可识别的

自然人是指其身份可以通过诸如姓名、身份证号、位置数据等识别码或者通过一个或多个与自然人的身

体、生理、精神、经济、文化或者社会身份相关的特定因素来直接或者间接地被识别。个人数据包括：

1

T/TAF067-2020

自然人的email地址、电话号码、生物特征（指纹）、位置数据、IP地址、医疗信息、宗教信仰、社保

号、婚姻状态等。

3.1.4

敏感权限sensitivepermission

敏感权限对应的数据或资源，涉及下列范围：个人信息或个人敏感信息，一旦泄露、非法提供或滥

用可能危害人身和财产安全；对用户存储的数据或其他应用的操作产生影响，可能干扰系统正常运行或

实施恶意行为。

4应用软件敏感权限规范安全准则

4.1概述

移动智能终端应用可以通过申请并获取相应的权限，从而得以对终端用户的个人信息执行创建、获

取、存储、传输、修改、删除等操作，即相关权限是用户个人信息得以产生的前提和必要条件。因此，

如要针对移动智能终端及应用软件用户的个人信息实施保护，移动应用对相应权限的