TTAF 077.10-2021 APP收集使用個人信息最小必要評估規(guī)范 錄音信息

ICS33.050

M30

團體標準

T/TAF077.10-2021

APP收集使用個人信息最小必要評估規(guī)范

錄音信息

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification—

Audioinformation

2021-01-08發(fā)布2021-01-08實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF077.10-2021

APP收集使用個人信息最小必要評估規(guī)范錄音信息

1范圍

本文件規(guī)定了移動應用軟件對錄音信息的收集、使用、存儲、刪除等活動中的最小必要規(guī)范和評估

方法，并通過個人信息處理活動中的典型應用場景來說明如何落實最小必要原則。

本文件適用于移動互聯(lián)網(wǎng)應用軟件提供者規(guī)范個人信息主體個人信息中的錄音信息的處理活動，也

適用于主管監(jiān)管部門、第三方評估機構等組織對移動互聯(lián)網(wǎng)應用程序收集錄音信息行為進行監(jiān)督、管理

和評估。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T35273－2020信息安全技術個人信息安全規(guī)范

T/TAF077.1-2020APP收集使用個人信息最小必要評估規(guī)范總則

3術語和定義

T/TAF077.1-2020界定的以及下列術語和定義適用于本文件。

3.1

錄音信息audioinformation

通過音頻采集設備錄制的直接含有自然人個人信息或者能夠反映自然人活動情況的音頻信息。

4典型場景

4.1主動上傳類場景

主動上傳類場景，指個人信息主體通過APP主動上傳錄音用以向自身或者他人展示的場景。

4.2通訊錄音類場景

通訊錄音類場景，指個人信息主體通過錄音與其他方進行通訊的場景，包括語音實時通訊類場景和

語音留言通訊類場景。

4.3錄音加工類場景

錄音加工類場景，指為個人信息主體提供語音語義識別、提取錄音內容、加工合成錄音等服務的場

景。

1

T/TAF077.10-2021

4.4服務所需類場景

服務所需類場景，指APP需要收集相關錄音以為個人信息主體提供相關服務的場景。

5錄音信息最小必要規(guī)范

5.1授權同意

對錄音信息的授權同意要求包括：

a)APP收集錄音信息前，應向使用APP的個人信息主體告知收集、使用錄音信息的目的、方式、范

圍等，并獲個人信息主體的授權同意。

b)收集錄音需要調用設備權限的，宜在錄音功能啟動時動態(tài)申請權限。

c)個人信息主體拒絕錄音相關權限申請后，APP不應拒絕為個人信息主體提供服務，錄音信息作

為服務的最小必要信息的除外。

d)個人信息主體拒絕錄音相關權限申請后，APP宜間隔48小時以上再進行重新申請，不應頻繁請

求權限干擾個人信息主體正常使用APP其他功能，個人信息主體主動開啟相關功能的除外。

e)APP不應擅自更改個人信息主體原有的錄音權限設置。如需更改，應重新獲得個人信息主體授

權。

f)不得欺騙誤導個人信息主體同意收集錄音信息，不得隱蔽收集錄音信息。

g)征得授權同意的例外參照GB/T35273-2020第5.6條“征得授權同意的例外”條款執(zhí)行。

5.2收集

對錄音信息的收集要求包括：

a)主動上傳類場景、通訊錄音類場景、錄音加工類場景，應僅在使用APP的個人信息主體主動提

供時才能收集錄音信息。

b)服務所需類場景，個人信息主體拒絕提供錄音信息的，APP不得拒絕向個人信息主體提供服務。

錄音為服務的最小必要信息的除外。

c)判斷錄音信息是否為某種服務類型的最小必要信息時，應充分考慮錄音收集目的。例如，以維

護公共安全或者保護個人信息主體重要人身財產(chǎn)權利為目的的，可以將錄音信息作為該服務類

型的最小必要信息。

5.3使用

對錄音信息的使用要求包括：

a)使用錄音信息時，不應超出與收集時所聲稱的目的具有直接或合理關聯(lián)的范圍。因業(yè)務需要，

確需超出上述范圍使用錄音信息的，應再次征得個人信息主體明示同意。

b)APP運營者應對內部人員訪問錄音信息建立嚴格的管理機制，合理分配錄音信息訪問權限，嚴

格控制訪問人員和可訪問內容。宜在對角色權限控制的基礎上，按照業(yè)務流程的需求觸發(fā)操作

授權。

c)APP工作人員訪問錄音信息，宜采取技術措施使文件可識別錄音內容但無法識別用戶身份，如

對音頻信息的基頻進行改變等。擬采取的技術措施導致無法實現(xiàn)使用目的的除外。

d)對于錄音信息中出現(xiàn)的提供錄音的個人信息主體之外的其他個人信息主體的信息，不宜進行針

對個人的分析。法律法規(guī)另有規(guī)定或另行獲得個人信息主體本人同意的除外。

5.4共享、轉讓、公開披露

2

T/TAF077.10-2021

對錄音信息共享、轉讓、公開披露的要求包括：

a)除依據(jù)法律法規(guī)規(guī)定、征得個人信息主體同意，或者為了維護相關方重大合法權利且對錄音信

息進行去標識化處理外，APP不應向第三方共享、轉讓或者公開披露錄音信息。

b)向第三方共享、轉讓、公開披露錄音信息前，應告知個人信息主體共享、轉讓個人信息的目的、

數(shù)據(jù)接收方的類型，并事先征得個人信息主體的授權同意。

c)征得授權同意的例外參照GB/T35273-2020第9.5條“共享、轉讓、公開披露個人信息時事先征

得授權同意的例外”條款執(zhí)行。

5.5委托處理

對錄音信息委托處理的要求包括：

a)委托行為不應超出已征得用戶授權同意的使用范圍。

b)對委托行為進行個人信息安全影響評估，經(jīng)評估風險可控后進行委托行為。

c)將錄音提供給受委托方前，宜采取以下保護措施，保護措施會導致委托處理的目的難以實現(xiàn)的

除外：

1)向受委托方提供錄音信息時，不提供錄音所屬個人信息主體的個人身份信息；

2)在滿足處理需求的前提下，篩選并刪除錄音信息中描述個人身份信息的內容；

d)應對受委托方進行監(jiān)督，方式包括但不限于：

1)通過合同等方式規(guī)定受委托方的責任和義務；

2)發(fā)現(xiàn)受委托方未充分履行安全責任和義務時，及時停止委托行為，并要求受委托方刪除數(shù)據(jù)。

5.6存儲、刪除

對錄音信息的存儲、刪除要求包括：

a)應在實現(xiàn)收集目的或超過約定存儲時限后及時刪除錄音信息，法律法規(guī)另有規(guī)定的除外。

b)如個人信息主體在使用服務過程中產(chǎn)生的糾紛尚未解決完畢，APP可以適當延長錄音信息的保

存期限，在糾紛處理完畢且滿足約定存儲期限后刪除錄音信息。

3

T/TAF077.10-2021

電信終端產(chǎn)業(yè)協(xié)會團體標準

APP收集使用個人信息最小必要評估規(guī)范：錄音信息

T/TAF077.10-2021

*