T/TAF 077.8-2022 APP收集使用个人信息最小必要评估规范 第8部分：录像信息

　　团 体 标 准

　　T/TAF 077.8—2022代替 T/TAF 077.8—2020

　　APP 收集使用个人信息最小必要评估规范

　　第 8 部分：录像信息

　　Application software user personal information collection and usage

　　minimization and necessity evaluation specification—

　　Part 8：Video information

　　2022-09-15 发布 2022-09-15 实施

　　电信终端产业协会 发布

　　前 言

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

　　本文件是T/TAF 077《APP收集使用个人信息最小必要评估规范》的第8部分。T/TAF 077已经发布了以下部分：

　　——第1部分：总则;

　　——第2部分：位置信息;

　　——第3部分： 图片信息;

　　——第4部分：终端通讯录;

　　——第5部分：设备信息;

　　——第6部分：软件列表;

　　——第7部分：人脸信息;

　　——第8部分：录像信息;

　　——第9部分：短信信息;

　　——第10部分：录音信息;

　　——第11部分：通话记录;

　　——第12部分：好友列表;

　　——第13部分：传感器信息;

　　——第14部分：应用日志信息;

　　——第15部分：房产信息;

　　——第16部分： 交易记录;

　　——第17部分： 身份信息。

　　本文件代替T/TAF 077.8—2020《APP收集使用个人信息最小必要评估规范 录像信息》，与T/TAF 077.8—2020相比， 除结构调整和编辑性改动外，主要的技术变化如下：

　　a) 增加了“缩略语”一章(见第4章);

　　b) 增加了“基本原则”一章(见第5章);

　　c) 增加了“录像信息分类 ”一章(见第6章);

　　d) 增加了“概述”(见7.1)，并将“服务所必需类场景”细化扩展了四类新的典型应用场景(见7.2，2020年版的4.4);

　　e) 更改了标题，将“授权同意”改为“告知同意”，并增加或修改了一些条款(见8.1，2020年版的5.1);

　　f) 更改了“收集阶段”要求，并细化为“收集信息最小化”、“权限申请最小化”两部分(见8.2， 2020年版的5.2);

　　g) 将“存储、删除”拆分并细化成“存储阶段”要求(见8.3，2020年版的5.5)和“删除阶段”要求(见8.9，2020年版的5.5);

　　h) 更改了“使用阶段 ”要求(见8.4，2020年版的5.3);

　　i) 增加了“加工阶段 ”要求(见8.5);

　　j) 增加了“传输阶段”要求(见8.6);

　　k) 更改了标题，将“对外提供”改为“提供阶段”， 并增加或修改了一些条款(见8.7，2020年

　　版的5.4);

　　l) 增加了“公开阶段”要求(见8.8);

　　m) 增加了“评估方法”一章(见第9章)。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由电信终端产业协会提出并归口。

　　本文件起草单位：中国信息通信研究院、荣耀终端有限公司、泰尔认证中心有限公司、北京小桔科技有限公司、华为终端有限公司、OPPO广东移动通信有限公司、北京字节跳动科技有限公司、北京奇虎科技有限公司、北京三星通信技术研究有限公司、维沃移动通信有限公司、高通无线通信技术(中国)有限公司、博鼎实华(北京)技术有限公司、北京京东世纪贸易有限公司、郑州信大捷安信息技术股份有限公司、北京快手科技有限公司。

　　本文件主要起草人：赵晓娜、卜英华、武林娜、宁华、蒲兴、宫展博、衣强、李腾、王宇晓、姚一楠、王艳红、胡越男、杨光、吴越、贾科、宋恺、刘陶、张娜、田明仁、王江胜、董霁、李然、刘献伦、落红卫、王昕、徐曼。

　　本文件及其所代替文件的历次版本发布情况为：

　　——2020年首次发布为T/TAF 077.8—2020;

　　——本次为第一次修订。

　　引 言

　　随着移动应用种类和数量呈爆发式增长，APP侵害用户权益事件层出不穷，个人信息保护态势愈加严峻，如何保护个人信息，尤其是人脸、通讯录、短信、位置、图片等敏感个人信息受到政府机构和社会公众高度关注。

　　本文件旨在对移动互联网行业收集使用个人信息主体的录像信息进行规范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。

　　APP 收集使用个人信息最小必要评估规范

　　第 8 部分：录像信息

　　1 范围

　　本文件确立了APP处理录像信息的基本原则，结合典型应用场景规定了对录像信息的收集、存储、使用、加工、传输、提供、公开、删除等处理活动中落实最小必要原则的评估要求，并描述了相应的最小必要评估方法。

　　本文件适用于APP提供者规范用户录像信息的处理活动，也适用于第三方评估机构等组织对APP收集使用录像信息行为进行监督、管理和评估。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 35273-2020 信息安全技术 个人信息安全规范

　　T/TAF 077.1 APP收集使用个人信息最小必要评估规范 第1部分： 总则

　　3 术语和定义

　　T/TAF 077.1界定的以及下列术语和定义适用于本文件。

　　3.1

　　录像信息 video information

　　通过视频采集设备录制的直接含有自然人个人信息或者能够反映自然人活动情况的视频信息及其衍生数据。

　　注：衍生数据包括从视频中提取的图像、声音等。

　　4 缩略语

　　下列缩略语适用于本文件。

　　APP：移动应用软件(Application)

　　BDS：北斗卫星定位系统(BeiDou Navigation Satellite System)

　　GNSS：全球导航卫星定位系统(Global Navigation Satellite System)

　　GPS：全球定位系统(Global Positioning System)

　　WLAN：无线局域网(Wireless Local Area Network)

　　5 基本原则

　　5.1 信息最小化原则

　　APP处理录像信息的类型、数量、频率、范围等，不应超出业务场景的实际需要，法律法规要求的除外。

　　5.2 权限最小化原则

　　APP如需执行申请、使用录像相关权限，应为实现业务功能所必需，不应过度申请权限，且获得授权后不应过度使用。

　　5.3 本地处理原则

　　APP优先在本地处理录像信息，能在本地独立完成处理的不应再上传到云端处理。

　　5.4 其他原则

　　APP处理录像信息以及申请使用录像相关权限的， 需满足T/TAF 077.1中的最小必要原则。

　　6 录像信息分类

　　录像信息可以通过移动智能终端上的摄像头录制功能、屏幕录制功能以及对录像信息的再加工等方式生成，也可以通过移动智能终端上APP绑定的监控摄像头等设备录制生成。

　　根据录像信息中包含的内容，可将录像信息分为以下三种类型：

　　a) 录像基本信息：指录像的基本特征信息，包括录像的内容(视频流)、格式、大小、分辨率、帧率、码率等信息;

　　b) 录像附加信息：指录制录像过程中可能同步产生和保存的其他信息，包括录像时间、录像设备型号、录像文件名称等信息;

　　c) 录像位置信息：指录制视频图像时可能通过移动智能终端提供的定位能力或个人信息主体主动为录像文件编辑的能真实精准定位到个人信息主体的位置信息。

　　注1：如无特殊说明，本文件所述的个人信息主体均为APP用户。

　　注2：移动智能终端提供的定位能力包括通过全球导航卫星定位系统GNSS(如GPS、BDS等)和/或网络位置信息源(如基站、WLAN等)获取到移动智能终端当前的精确位置信息。

　　7 典型应用场景

　　7.1 概述

　　本文件对涉及处理录像信息的典型应用场景进行梳理和归类，对于未包含在本文件所述典型应用场景范围内的 APP，应按 T/TAF 077.1 规定的最小必要原则进行评估。

　　对于仅通过移动智能终端上的摄像头提供预览功能的应用场景，如 APP 根据个人信息主体选择的预览效果等进行相应的本地处理后向用户展示相应的预录制效果，不涉及存储录像信息操作，因此不涉及使用、加工、传输、提供、公开等处理活动，本文件将不针对该应用场景做最小必要规定与评估。

　　对于通过从互联网下载、从其他移动智能终端或 APP 接收等方式获取并保存的录像信息，一般不包括录像附加信息和位置信息。因此，APP 在本文件 7.2 所述典型场景下收集和使用此类录像信息时，不涉及对录像附加信息和位置信息的相关收集和使用要求。

　　7.2 典型应用场景分类

　　APP收集使用录像信息的典型场景包括但不限于：

　　a) 主动上传类场景，指APP通过主动上传录像为个人信息主体提供向自身或者他人展示或分享等相关服务的场景;

　　注：例如，在社交类APP内上传已录制好的短视频，并对该APP内一个或多个好友或者APP所有使用者可见;在直播类APP内将实时录像上传进行视频直播。

　　b) 视频通讯类场景，指APP通过实时录像为个人信息主体提供与一个或多个其他方进行双向通讯服务的场景;

　　注：例如，使用社交类APP与一个或多个好友进行视频通话;使用视频会议类APP与一个或多个其他方开展视频会议，其中会议主持人还可执行会议录制操作。

　　c) 录像编辑类场景，指APP为个人信息主体提供对本地录像进行内容编辑服务的场景;注：例如，使用此类APP对选定的录像进行裁剪、合成、调色、添加文字声音等编辑操作。

　　d) 身份认证类场景，指APP通过实时录像为个人信息主体提供完成金融开户类所需的实人身份核验、人脸识别类所需的活体检测等相关服务的场景;

　　e) 云盘备份类场景，指APP通过将本地录像上传到云盘为个人信息主体提供备份服务的场景;

　　注：为个人信息主体提供备份服务的方式包括但不限于：个人信息主体主动选择一个或多个录像，主动打开APP设置的自动备份开关等。

　　f) 安防监控类场景，指APP通过事先绑定监控摄像头为个人信息主体提供实时查看、回看、保存、删除该监控摄像头拍摄的周围环境录像等服务的场景;

　　注：该场景下，录像可通过云端同步下载到移动智能终端的APP客户端进行存储，或者，通过局域网直接从监控摄像头传输到移动智能终端的APP客户端进行存储。

　　g) 用户体验优化类场景，指APP通过对本地录像进行智慧化处理为个人信息主体提供按位置、内容类型等分类或聚类展示服务的场景。

　　注：该场景主要是针对录像信息为用户打造更好的展示体验。例如 ，个人信息主体在APP内可选择基于录像位置信息对录像按位置分类后展示，或者，基于录像时间等附加信息对录像按日期排序后展示，或者，基于录像内容对录像按人物、风景、人脸等聚类后展示。

　　本文件评估的APP可能具备上述a)-g)中的一个或多个服务场景。

　　8 最小必要处理活动

　　8.1 告知同意

　　对个人信息处理者处理录像信息的告知同意要求包括：

　　a) APP收集录像信息前，应向使用APP的个人信息主体告知对于录像信息的处理目的、处理方式、保存期限等。宜逐一列出该APP(含委托的第三方或嵌入的第三方SDK、插件等)在不同场景中处理录像信息的目的、方式、范围和频率，以及录像信息存储的地域、期限、超期处理的方式，

　　采取的数据安全保护措施等;

　　注：相机、相册、视频电话等移动智能终端基本功能软件处理录像信息的例外。

　　b) 基于个人信息主体同意处理个人信息的，应在8.1 a)后取得个人信息主体的同意;若录像信息的处理目的、处理方式、保存期限等发生变更，应重新取得个人信息主体同意;

　　c) 收集录像需要调用移动智能终端系统权限的，宜在录像功能启动前或启动时申请相关权限;

　　注：本文件中所述系统权限， 以安卓操作系统为例时，通常是安卓定义的危险权限，如位置、相机、存储等权限。

　　d) 个人信息主体拒绝录像相关权限申请后，APP不应拒绝为个人信息主体提供其他服务，录像信息作为服务的最小必要信息的除外;

　　e) 个人信息主体拒绝录像相关权限申请后，APP在间隔48小时内重新申请该权限不应超过1次，不应频繁请求权限干扰个人信息主体正常使用APP其他功能，个人信息主体主动开启相关功能或主动授予权限的除外;

　　f) APP不应擅自更改个人信息主体原有的录像相关权限设置。如需更改，应重新告知并获得个人信息主体的同意;

　　g) 不得欺骗误导个人信息主体同意收集录像信息，不得在未取得个人信息主体同意的条件下通过隐蔽方式收集录像信息;

　　h) 免于同意的情形应按GB/T 35273-2020中5.6规定的要求执行;

　　i) APP所处理录像的内容涉及其他信息(如人脸信息)的，应遵循T/TAF 077中其他相应部分的要求;

　　j) APP处理录像信息涉及著作权、肖像权等法律问题的，本文件不做专门规定。

　　8.2 收集阶段

　　8.2.1 收集信息最小化

　　对个人信息处理者收集录像信息的要求包括：

　　a) 收集目的应与应用场景有关，不应仅以改善服务质量、提升使用体验、研发新产品等为由强制个人信息主体同意收集跟场景无关的录像信息;

　　b) 收集方式可包括通过摄像头摄像或屏幕录制实时生成录像信息、通过读取存储区域(如媒体库)内本地保存的录像信息等方式，收集录像信息前应获得个人信息主体相应授权。APP通过本地摄像头、绑定的独立监控摄像头或者屏幕录制生成录像信息时，应为用户呈现显性的摄录界面、屏幕录制界面;

　　c) 收集范围应由个人信息主体确定。当个人信息主体仅选取一个或多个已生成的录像时，宜避免读取其所在存储区域中的其他录像信息;收集录像信息时，应结合如下表1中典型应用场景或个人信息主体的选择最小化收集录像附加信息或位置信息;

　　d) 收集频率应限定在满足业务目的的最低收集频率。涉及7.2 a)-d)所述场景的APP，应仅在使用APP的个人信息主体主动提供时才能收集录像信息;涉及7.2 e)所述场景的APP，应在个人信息主体主动提供时收集录像信息，或者在个人信息主体确认使用自动备份功能后自动收集录像信息。

　　考虑到不同APP可能对于录像附加信息或位置信息具有不同的收集需求或收集能力，APP应按如下表1所述最小必要原则在不同场景下收集录像信息：

　　表 1 APP 不同场景下收集录像信息的最小必要原则

　　表 1 APP 不同场景下收集录像信息的最小必要原则(续)

　　8.2.2 权限申请最小化

　　APP如8.2.1 b)所述进行收集录像信息的行为时，涉及申请相关权限的，如移动智能终端系统提供的相机权限、位置权限、存储权限等，只有在获得个人信息主体的相应授权后，APP才能收集录像信息。

　　APP应按如下表2所述最小必要原则在收集录像时申请权限：

　　表 2 APP 不同录像信息收集方式下申请权限的最小必要原则

　　8.3 存储阶段

　　对个人信息处理者存储录像信息的要求包括：

　　a) 应按APP实现业务功能所需选择在本地还是云端存储录像信息。例如，7.2 a)、b)、d)-f)所述场景可存储在云端，7.2 c)、g)所述场景宜存储在本地;

　　b) 应按APP实现业务功能所需最短时限或者按约定的存储时限对录像信息进行存储，法律法规另有规定的除外;

　　c) 如个人信息主体在使用服务过程中产生的纠纷尚未解决完毕的，个人信息处理者可以适当延长录像信息的保存期限，在纠纷处理完毕且满足约定存储期限后删除或匿名化处理录像信息;

　　d) 应对存储在云端的录像信息提供访问控制机制，避免录像信息被非法访问;

　　e) 宜对云端存储的录像信息进行加密，确保录像信息的保密性;

　　f) 如有云端自动备份录像信息功能，如7.2 a)所述的主动上传类、7.2 e)所述的云盘备份类等场景，宜提供设置自动备份功能的开关，且默认不打开。

　　8.4 使用阶段

　　对个人信息处理者使用录像信息的要求包括：

　　a) 使用录像信息时，不应超出与收集时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用录像信息的，应按8.1 b)重新取得同意;

　　b) 个人信息处理者应对内部人员访问录像信息建立严格的管理机制，合理分配录像信息访问权限，严格控制访问人员和可访问内容。宜在对角色权限控制的基础上，按照业务流程的需求触发操作授权;

　　c) APP使用录像信息包括对录像信息的展示操作，个人信息处理者宜对展示的个人信息采取模糊化处理或支持用户自主编辑等措施，降低个人信息泄露风险，对人脸特征进行遮挡导致无法实现使用目的的除外。APP应按如下表3所述的最小必要原则在不同场景下展示录像信息;

　　表 3 APP 不同场景下展示录像信息的最小必要原则

　　d) APP基于收集的录像信息进行个性化展示的，应遵循GB/T 35273-2020中7.5规定的要求;

　　e) 涉及利用所收集的录像信息进行自动化决策的，应事前进行个人信息保护影响评估，包括处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有效并与风险程度相适应等;

　　f) 涉及将所收集的录像信息与其他个人信息进行汇聚融合的，应满足8.4 a)所述要求。若汇聚融合后个人信息用于其他目的的，应如8.4 e)所述事前进行个人信息保护影响评估，并采取有效的个人信息保护措施。

　　8.5 加工阶段

　　对个人信息处理者传输录像信息的要求包括：

　　a) 不应非法加工其处理的录像信息;

　　b) 对于7.2所述场景，涉及对录像信息进行加工的，例如7.2 c)所述录像编辑类场景，不应超出与收集时所声称的处理目的具有直接或合理关联的范围;

　　c) 不应采取隐蔽手段直接从录像信息中提取，或者，通过数据挖掘、分析归纳等方式获得表征个人信息主体身份的个人信息;

　　d) 对于录像内容中包含的每个个人信息主体的信息，不宜进行针对个人的分析。法律法规另有规定或获得个人信息主体同意的除外。

　　注：上述针对个人的分析，不包括7.2 g)所述典型场景下APP提供的按录像内容中人脸信息进行分类或聚类展示功能，可以理解为通过录像信息分析获得与实现业务功能无关的用户画像的活动，例如，APP根据个人信息主体上传到云盘进行备份的录像信息分析其中其他个人信息主体的行为习惯、兴趣爱好、相互之间的关系等。

　　8.6 传输阶段

　　对个人信息处理者传输录像信息的要求包括：

　　a) 不应非法传输其处理的录像信息;

　　b) 涉及传输录像信息的，应仅传输实现业务功能所必需的录像信息;

　　c) 对于如7.2 a)所述的主动上传类、e)所述的云盘备份类等场景，可设置自动传输控制开关，且默认不打开;

　　d) 需要传输录像信息的，应采用满足数据传输安全策略相应的安全控制措施，如采用安全传输通道或加密后传输等;

　　e) 应具备对传输的录像信息进行完整性校验的能力。

　　8.7 提供阶段

　　对个人信息处理者提供录像信息的要求包括：

　　a) 除依据法律法规规定、为了维护相关方重大合法权利且对录像信息进行去标识化处理、取得个人信息主体单独同意或者履行用户作为一方当事人的合同所必需外，不应提供录像信息;

　　b) 涉及向其他个人信息处理者提供录像信息的，应仅提供实现业务功能所必需的录像信息;

　　c) 涉及向其他个人信息处理者提供录像信息的，若录像信息中包含人脸等敏感个人信息，宜按照前面8.4 c)所述技术措施对录像信息进行处理。

　　8.8 公开阶段

　　对个人信息处理者公开录像信息的要求包括：

　　a) 不应公开其处理的录像信息，基于个人信息主体单独同意、履行用户作为一方当事人的合同所必需或者法律法规规定的除外;

　　b) APP提供的功能可能导致录像信息被公开的，宜对个人信息主体进行使用提醒，宜为个人信息主体提供自由设置公开范围的能力;

　　注1：上述使用提醒包括但不限于：提醒个人信息主体谨慎使用该功能或者该功能可能造成录像信息的公开以及公开范围大小等，还可提醒个人信息主体公开录像信息的原因、采取的模糊化等安全措施等。

　　注2：如针对7.2 a)所述的主动上传类场景，可为个人信息主体提供设置公开范围的选项，允许其在上传录像信息前对待上传录像信息的公开范围进行设置，例如，包括仅自己可见、对选择的特定范围可见、对使用该APP所有好友可见、对使用该APP的所有用户可见等选项。如针对7.2 b)所述的视频通讯类场景，允许个人信息主体主动选择一个或多个待通讯对象，即可视为提供了自由设置公开范围的能力。

　　c) 涉及公开录像信息的，若录像信息中包含个人信息主体的人脸信息等敏感个人信息，宜按照前面8.4 c)所述技术措施对录像信息进行处理。

　　8.9 删除阶段

　　对个人信息处理者删除录像信息的要求包括：

　　a) 有下列情形之一的，应主动删除或匿名化处理录像信息;未及时删除的，应在个人信息主体请求删除后及时删除或匿名化处理：

　　处理目的已实现、无法实现或者为实现处理目的不再必要;

　　个人信息处理者停止提供产品或者服务，或者保存期限已届满;

　　个人信息主体撤回同意;

　　个人信息处理者违反法律、行政法规或违法约定处理录像信息;

　　法律、行政法规规定的其他情形。

　　b) 如个人信息主体在使用服务过程中产生的纠纷尚未解决完毕，可以适当延长录像信息的保存期限，在纠纷处理完毕且满足约定存储期限后删除或匿名化处理录像信息。

　　9 评估方法

　　9.1 概述

　　APP收集使用录像信息的最小必要评估应遵循T/TAF 077.1中的评估流程和方法。

　　本文件中，评估对象可为APP或APP中某项功能，评估内容为评估对象的告知同意符合性以及评估对象在收集、存储、使用、加工、传输、提供、公开和删除等阶段对录像信息处理的最小必要符合性。

　　本文件中，评估方可采用功能验证、技术检测、文档审查、人员访谈等方式实施评估过程。

　　9.2 告知同意评估

　　9.3 收集阶段评估

　　9.4 存储阶段评估

　　9.5 使用阶段评估

　　9.6 加工阶段评估

　　9.7 传输阶段评估

　　9.8 提供阶段评估

　　9.9 公开阶段评估

　　9.10 删除阶段评估