小程序个人信息保护规范 第1部分：申请授权行为

CCSM30电信终端产业协会发布IT/TAF180.1—2023前言 2规范性引用文件 3术语和定义 4要求 5小程序违规申请授权行为 5.1概述 5.2拒绝授权小程序强制退出或关闭 5.3拒绝授权小程序弹窗循环 5.4申请无关授权 5.5过度申请授权 5.6频繁申请授权 附录A（规范性）小程序可申请的授权及其对应的信息范围 4T/TAF180.1—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则起草。本文件是T/TAF180《小程序个人信息保护规范》的第1部分。T/TAF180已发布以下部分：——第1部分：申请授权行为。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息服务有限公司、阿里巴巴(中国)有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、荣耀终端有限公司、厦门美柚股份有限公司、小米通讯技术有限公司、上海兆言网络科技有限公司、郑州信大捷安信息技术股份有限公司、北京三快在线科技有限公司、华为技术有限公司、博鼎实华（北京）技术有限公司、中兴通讯股份有限公司。本文件主要起草人：武林娜、宋恺、刘陶、王艳红、王淞鹤、王宇晓、桑明臣、李可心、李京典、周飞、陈鑫爱、宁华、杜蕾、李昳婧、方强、落红卫、谷晨、王昕、林冠辰、赵晓娜、黄鹏华、顾泽宇、钱雷、刘献伦、刘为华、刘瑾、王芳、李实、董霁、张宏伟。T/TAF180.1—2023随着移动互联网的发展，小程序作为常用互联网服务入口，已全面渗透用户生活，成为数字化时代不可或缺的一部分。小程序在汇聚大量用户个人信息的同时，也存在处理个人信息方面的风险隐患。本文件依据《中华人民共和国个人信息保护法》、《工业和信息化部关于开展纵深推进APP侵害用户权益转向整治行动的通知》（工信部信管[2020]164号）等法律法规及规范性文件要求，对小程序的申请授权行为进行规范，进一步提升小程序提供者的个人信息保护水平，促进移动互联网行业的健康稳定发展。T/TAF180拟由4个部分构成：——小程序个人信息保护规范第1部分：申请授权行为；——小程序个人信息保护规范第2部分：个人信息收集行为；——小程序个人信息保护规范第3部分：全流程开发管理；——小程序个人信息保护规范第4部分：全生命周期。1T/TAF180.1—2023小程序个人信息保护规范第1部分：申请授权行为本文件规定了小程序申请授权行为部分的个人信息保护规范，包括小程序申请授权行为的典型检测场景及检测细则。本文件适用于小程序提供者对小程序的申请授权行为进行设计、开发和评估，也适用于主管部门、第三方评估机构等组织对小程序的申请授权行为进行监督、管理和评估。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1框架型应用软件frame-basedapplicationsoftware在移动智能终端上运行，提供数据访问控制和小程序分发等管理能力，并为在其上运行的第三方小程序提供相应开发接口的应用软件。3.2小程序mini-program在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项特定功能的免安装的应用软件。3.3授权authorization框架型应用软件为小程序提供的申请数据或资源的一种方式。范围涵盖框架型应用所存储的数据或资源及其从操作系统中获取到的数据或资源。4基本要求小程序在申请授权时，应满足以下要求：a)小程序申请授权时，应同步告知申请使用的目的，目的应明确具体且易于理解，不包含任何欺诈、诱骗、误导用户授权的描述；2T/TAF180.1—2023b)小程序申请授权时，应在使用对应业务功能时提出申请，不应以捆绑方式要求用户一次性同意多个授权，不得默认、捆绑或使用其他手段变相欺骗、误导、强迫个人信息主体授予权限；c)小程序申请授权应为实现业务功能所必需，且获得授权后收集个人信息不应超出业务功能的最小必要范围；d)申请授权后，应仅访问满足业务功能需要的最少个人信息，且当实现相关功能不需要回传个人信息则不应回传至后台服务器；e)若由于业务功能更新等原因变更个人信息处理的目的、方式、范围时，应重新告知用户并征得用户同意；f)小程序应提供便捷、有效、完整的授权撤销渠道，可采用框架类应用软件提供的授权撤销渠道；g)未经用户同意，不应随意更改用户的授权状态；h)小程序不应产生5中违规申请授权的行为。5小程序违规申请授权行为5.1概述小程序违规申请授权的行为包括拒绝授权小程序退出或关闭、拒绝授权小程序弹窗循环、申请无关授权、过度申请授权、频繁申请授权，出现上述任意一种行为，则判定为小程序违规申请授权，其中具体行为的具体定义参见本章5.2-5.6小节，申请授权的范围参考附录A。5.2拒绝授权小程序强制退出或关闭小程序运行时，向用户申请授权，用户拒绝授权后，小程序退出或关闭，或拒绝提供与申请授权无关的功能服务。5.3拒绝授权小程序弹窗循环小程序运行时，向用户申请授权，若用户拒绝授权后，小程序循环弹窗申请授权，使用户无法继续使用。5.4申请无关授权小程序向用户申请的授权，与其提供的业务功能或服务不具备合理的相关性。5.5过度申请授权小程序过度申请授权，具体场景包括但不限于以下方式：a)小程序运行时，未见使用授权对应的相关功能或服务，提前向用户弹窗申请授权。b)小程序运行时，向用户申请授权的信息范围，超出其提供的功能或服务场景所必需的信息范围。5.6频繁申请授权小程序频繁申请授权，具体场景包括但不限于以下方式：a)小程序运行时，在用户明确拒绝授权申请后，向用户频繁弹窗申请与当前服务场景无关的授权，影响用户正常使用。3T/TAF180.1—2023b)小程序在用户明确拒绝授权申请后，退出并重新打开时，小程序向