T∕TAF 049-2019 移动智能终端应用软件行为规范.docx

ICS 33.050M 30团 体 标 准T/TAF 049-2019移动智能终端应用软件行为规范Mobile intelligent terminal application software code of conduct2019-12-26 发布 2019 -12-26 实施电信终端产业协会 发布T/TAF 049-2019目 次前言 III引言 V1 范围 12 移动智能终端应用软件行为规范准则 12.1 基本要求 12.2 移动智能终端应用软件恶意行为属性 12.3 移动智能终端应用软件不良行为属性 52.4 移动智能终端应用软件不规范行为判定 7IIIT/TAF 049-2019前 言本标准按照网络安全法和GB/T 35273-2017信息安全技术-个人信息安全规范给出的规则起草本标准按照 GB/T 1.1-2009 给出的规则起草本标准中的某些内容可能涉及专利本标准的发布机构不承担识别这些专利的责任本标准由电信终端产业协会提出并归口本标准起草单位：中国信息通信研究院、武汉安天信息技术有限责任公司、北京百度网讯科技有限公司、华为技术有限公司、维沃移动通信有限公司、广东欧泊移动通信有限公司、北京奇虎科技有限公司、北京小米科技有限责任公司。

本标准主要起草人：王宇晓、罗成、刘波、黄莹、宁华、董霁、王艳红、姚一楠、李笑如、王江胜、贾科、焦四辈、李腾、周圣炎、张朝、王安宇、赵新娜IIIT/TAF 049-2019引 言移动智能终端应用软件预置和移动应用市场(商店)分发等作为应用的主要传播渠道，面向终端用户提供大量种类繁多、功能不一、形式多样的应用产品，受移动互联网时代催生，产品往往具备更为快速的迭代能力和极短的发布周期，产品的行为和安全得不到保证，而其中不乏存在浑水摸鱼的不良应用， 利用与现行的法律法规打擦边球，通过损害用户个人权益的行为而获利，严重影响用户个人信息的安全针对应用软件行为规范的标准迫切需要出台，该标准不仅是规范移动智能终端应用软件的行为，更是为了规范移动互联网市场秩序，推动移动互联网的环境健康有序发展本标准将适用于基于安卓操作系统的移动智能终端预置以及通过网站、应用商店、扫二维码、应用自身、其他线上线下平台或渠道下载、安装、升级、卸载的应用软件，为我国移动智能终端与应用软件开发者提供产品行为安全规范指南， 为行业市场做参考性指导VT/TAF 049-2019移动智能终端应用软件行为规范1 范围本标准针对移动智能终端应用软件进行行为规范的要求，包括移动智能终端应用软件行为规范的基本要求、移动智能终端应用软件行为分类、移动智能终端应用软件不规范行为判定。

本标准适用于移动智能终端应用软件的行为以及互联网信息服务提供者提供的可以通过移动智能终端下载、安装、升级的应用软件的行为规范2 移动智能终端应用软件行为规范准则2.1 基本要求从事移动应用分发软件/平台服务的互联网信息服务提供者，以及在移动智能终端中预置了移动应用分发平台的生产企业应对所提供的应用软件负有管理责任移动智能终端应用软件的行为都应遵循本规范及要求，无论该应用软件是由生产企业开发，还是由互联网信息服务提供者分发2.2 移动智能终端应用软件恶意行为属性本条描述了移动智能终端应用软件所具有的恶意行为，当移动智能终端应用软件具有以下一种或多种行为时，可判定该移动智能终端应用软件具有恶意行为属性2.2.1 隐私盗用在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户个人信息、工作信息或其它非公开信息的行为，具有隐私滥用行为属性a) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户终端号码、其他终端身份标识（IMEI/IMSI等）；b) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户终端已安装应用软件信息的；c) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户终端运行进程信息的；d) 在用户不知情、未明确告知或未经用户同意的情况下，利用用户终端麦克风、摄像头等设备获取或使用图片、音频、视频信息的；e) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用短信内容的；f) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用彩信内容的；g) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用邮件内容的；h) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用通讯录内容的；i) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用通话记录的；j) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用通话内容的；k) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用地理位置信息的；l) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户各类帐号信息的；m) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户各类密码信息的；n) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户收藏夹信息的；1o) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户文件内容的；p) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户联网信息的；q) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户网络交易信息的；r) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户下载信息的；s) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户其它个人信息的；t) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用用户其它工作信息的；u) 在用户不知情、未明确告知或未经用户同意的情况下，获取或使用其它非公开信息的。

2.2.2 过度收集收集提供服务所必需以外的用户个人信息，具有过度收集行为属性移动智能终端应用软件包括但不限于具有以下任意一种行为的即具有过度收集行为属性a) 收集与当前应用软件的使用场景、功能和服务不匹配的用户终端号码、其他终端身份标识（IMEI/IMSI等）；b) 收集与当前应用软件的使用场景、功能和服务不匹配的用户终端已安装应用软件信息；c) 收集与当前应用软件的使用场景、功能和服务不匹配的用户终端运行进程信息；收集与当前应用软件的使用场景、功能和服务不匹配的短信内容； 收集与当前应用软件的使用场景、功能和服务不匹配的彩信内容； 收集与当前应用软件的使用场景、功能和服务不匹配的邮件内容； 收集与当前应用软件的使用场景、功能和服务不匹配的通讯录内容； 收集与当前应用软件的使用场景、功能和服务不匹配的通话记录； 收集与当前应用软件的使用场景、功能和服务不匹配的通话内容；收集与当前应用软件的使用场景、功能和服务不匹配的地理位置信息；收集与当前应用软件的使用场景、功能和服务不匹配的用户各类帐号信息； 收集与当前应用软件的使用场景、功能和服务不匹配的用户各类密码信息； 收集与当前应用软件的使用场景、功能和服务不匹配的用户收藏夹信息；d) 收集与当前应用软件的使用场景、功能和服务不匹配的用户终端麦克风、摄像头等设备收集图片、音频、视频信息；e)f)g)h)i)j)k)l)m)n)o) 收集与当前应用软件的使用场景、功能和服务不匹配的用户文件内容；p) 收集与当前应用软件的使用场景、功能和服务不匹配的用户联网信息；q) 收集与当前应用软件的使用场景、功能和服务不匹配的用户网络交易信息；r) 收集与当前应用软件的使用场景、功能和服务不匹配的用户下载信息；s) 收集与当前应用软件的使用场景、功能和服务不匹配的用户其它个人信息；t) 收集与当前应用软件的使用场景、功能和服务不匹配的用户其它工作信息；u) 收集与当前应用软件的使用场景、功能和服务不匹配的其它非公开信息。

2.2.3 过度使用将收集的用户个人信息用于提供服务之外的目的，具有过度使用行为属性移动智能终端应用软件包括但不限于具有以下任意一种行为的即具有过度使用行为属性a) 在当前应用软件提供的功能和服务不需要的场景中使用用户终端号码、其他终端身份标识（IMEI/IMSI 等）；b) 在当前应用软件提供的功能和服务不需要的场景中使用用户终端已安装应用软件信息的；c) 在当前应用软件提供的功能和服务不需要的场景中使用用户终端运行进程信息的；d) 在当前应用软件提供的功能和服务不需要的场景中利用用户终端麦克风、摄像头等设备使用图片、音频、视频信息的；e) 在当前应用软件提供的功能和服务不需要的场景中使用短信内容的；f) 在当前应用软件提供的功能和服务不需要的场景中使用彩信内容的；g) 在当前应用软件提供的功能和服务不需要的场景中使用邮件内容的；h) 在当前应用软件提供的功能和服务不需要的场景中使用通讯录内容的；i) 在当前应用软件提供的功能和服务不需要的场景中使用通话记录的；j) 在当前应用软件提供的功能和服务不需要的场景中使用通话内容的；k) 在当前应用软件提供的功能和服务不需要的场景中使用地理位置信息的；l) 在当前应用软件提供的功能和服务不需要的场景中使用用户各类帐号信息的；m) 在当前应用软件提供的功能和服务不需要的场景中使用用户各类密码信息的；n) 在当前应用软件提供的功能和服务不需要的场景中使用用户收藏夹信息的；o) 在当前应用软件提供的功能和服务不需要的场景中使用用户文件内容的；p) 在当前应用软件提供的功能和服务不需要的场景中使用用户联网信息的；q) 在当前应用软件提供的功能和服务不需要的场景中使用用户网络交易信息的；r) 在当前应用软件提供的功能和服务不需要的场景中使用用户下载信息的；s) 在当前应用软件提供的功能和服务不需要的场景中使用用户其它个人信息的；t) 在当前应用软件提供的功能和服务不需要的场景中使用用户其它工作信息的；u) 在当前应用软件提供的功能和服务不需要的场景中使用其它非公开信息的；v) 超出当前应用软件提供的功能和服务范围使用个人信息的；w) 超出当前应用软件提供的功能和服务范围使用工作信息的；x) 超出当前应用软件提供的功能和服务范围使用其他非公开信息的。

2.2.4 资费损耗在用户不知情、未明确告知或未经用户同意的情况下，通过隐蔽运行、欺骗用户点击等方式，订购各类收费业务、自动发送短信、彩信、邮件、拨打、频繁连网等方式或使用移动智能终端支付，造成用户资费损失或网络虚拟资产损失等经济损失，具有资费消耗行为属性移动智能终端应用软件包括但不限于具有以下任意一种行为的即具有资费损耗行为属性a) 在用户不知情、未明确告知或未经用户同意的情况下，自动发送短信的；b) 在用户不知情、未明确告知或未经用户同意的情况下，自动发送彩信的；c) 在用户不知情、未明确告知或未经用户同意的情况。