ICS 33.030 YD CCS M21 中华人民共和国通信行业标准 YD/T 4177.13—2024 移动互联网应用程序（APP） 收集使用个人信息最小必要评估规范 第13部分：传感器信息 Application software user personal information collection and usage minimization and necessity evaluation specification -Part 13: Sensor information 2024-12-10 发布 2025-04-01实施 中华人民共和国工业和信息化部 发布 YD/T 4177.13—2024 目 次 前言 I 引言 III 1范围. 2 规范性引用文件， 3术语和定义， 4缩略语.. 5 基本原则. 6传感器信息中的个人信息分类 7 传感器个人信息使用的典型场景， 8个人信息处理活动中的最小必要规范 8.1 告知同意. 3 8.2 收集阶段.. 8.3 存储阶段. 8.4 使用阶段 8.5 删除阶段... 9 评估流程和方法. 9.1评估流程. 4 9.2最小必要评估方法 附录A（资料性）传感器类型， 9 YD/T4177.132024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是YD/T4177《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》的第13 部分，YD/T4177已经发布了以下部分： 一第1部分：总则； 一第2部分：位置信息； 一第3部分：图片信息； 一第5部分：设备信息； 一第8部分：录像信息； 一第10部分：通话记录 一第11部分：短信信息。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、深圳市腾讯计算机系统有限公司、北京快手科技有限公司、 北京京东尚科信息技术有限公司、北京荣耀终端有限公司。 本文件主要起草人：徐永太、聂昊、武林娜、陈鑫爱、王艳红、宁华、刘陶、傅山、杜云、常浩伦、 李鑫、梅述家、代威、武杨、李克鹏、倪平、郑剑锋、刘震宇、蒋增增、鹿原、夏文、落红卫、李然、 赵晓娜。 II YD/T 4177.13—2024 引言 随着互联网的发展，相关技术越来越多的被运用到移动智能终端各类传感器中，便利了人们的生活， 记录了许多日常生活、健康等相关个人信息。 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据GB/T35273一2020《信息安全 技术个人信息安全规范》的最小必要原则，提出传感器信息里个人信息相关的收集、存储、使用、共 范，落实最小、必要的原则，进一步促进移动互联网行业的健康稳定发展。系列标准由16个部分构成： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分：总则 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第2部分：位置信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第3部分：图片信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第4部分：终端通讯录； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第5部分：设备信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第6部分：软件列表； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第7部分：人脸信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第8部分：录像信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第9部分：录音信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第10部分：通话记录； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第11部分：短信信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第12部分：好友列表； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第13部分：传感器信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第14部分：应用日志信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第15部分：身份信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第16部分：剪切板信息。 ⅢI YD/T4177.13—2024 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第13部分：传感器信息 1范围 本文件规定了传感器信息里个人信息的告知同意、收集、存储、使用、删除等活动中的最小必 要信息规范和评估方法，并通过对在个人信息处理活动中的典型应用场景来说明如何落实最小必要 原则。 本文件适用于移动互联网应用软件提供者规范传感器涉及个人信息的处理活动，也适用于主管监管 部门、第三方评估机构等组织对相关方处理传感器信息里个人信息的行为进行监督、管理和评估。在开 展评估前，应确认所指终端能够为用户所物理使用，识别排除通过操作系统层面虚拟、伪造等方式制造 的虚拟设备。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T35273一2020信息安全技术个人信息安全规范 YD/T 4177.1—2022 2移动互联网应用程序（APP)收集使用个人信息最小必要评估规范第1部分： 总则 3术语和定义 系列标准中YD/T4177.1一2022中术语和定义界定的以及下列术语和定义适用于本文件。 3.1 传感器sensor 移动智能终端设备中内置的，用来测量运动、调整屏幕方向、感知各种环境参数，能够提供原始传 感数据，适用于监测设备的三维移动或定位，或监测周围环境变化的组件。 注：本文传感器主要基于硬件，即内置在手机或平板设备中的物理组件。这类传感器通过直接测量特定的环境属性 （如加速度、地磁场强度或角度变化）来采集数据。虚拟传感器或合成传感器等软硬件结合的传感器，能从一 个或多个基于硬件的传感器获取数据。 YD/T4177.13—2024 3.2 传感器信息 sensorinformation 传感器信息是指由智能终端传感器组件采集测量出的反映特定物理特征信息。 4缩略语 下列缩略语适用于本文件。 APP 移动应用软件 Application 5基本原则 应满足YD/T4177.1一2022中的最小必要原则。 6传感器信息中的个人信息分类 移动智能终端通过操作系统接口采集传感器信息，对传感器信息进行处理，通过手机预置或第三方 APP等方式进行聚合、展现。 传感器的具体分类和所涉及个人信息的情况，参见附录A， 传感器收集以下传感器数据所反映的个人信息，属于传感器个人信息。常见传感器个人信息，见 表 1。 表1传感器个人信息 传感器个人信息类别 传感器个人信息 人体健康生理类 心率传感器信息、心跳传感器信息 运动监测类 计步传感器信息、步测器传感器信息、用户运动状态管理器信息 注：心率传感器信息、心跳传感器信息、计步传感器信息、步测器传感器信息，适用于Android系统；计步传感器信 息、用户运动状态管理器信息适用于iOS系统 7传感器个人信息使用的典型场景 在移动互联网应用程序中传感器信息主要用于设备状态识别等基础服务。传感器个人信息收集使用 典型应用场景和业务类型进行分类，主要包括健康管理类场景和运动服务类场景。其中，健康管理场景 是指通过记录用户的健康状态，如心率、心跳，辅助用户进行健康管理；运动服务类场景，是指通过记 录用户的运动情况，如步数，辅助用户进行运动管理。 2 YD/T4177.13—2024 APP在安全风控类场景中，为保障用户使用过程产生的本地数据以及服务端相关个人信息的安全 性，确保访问者使用真实、有效的、安全的终端设备，可对操作系统及APP所在设备的环境的真实性 进行判断（如是否为用户常用设备、是否进行安全性检测等），安全风控类场景收集传感器信息中的非 个人信息，不在本文件的要求范围内。未包含在典型场景中的其他应用传感器个人信息的场景，必要时 进行最小必要评估。 注：和传感器设备自身相关的信息（如类型、型号等）不属于传感器个人信息，当APP对陌生设备、非授权设备进 行必要的校验和风险管控，且不识别到用户个人时，可通过系统提供的接口或方法（如Android系统中的 getSensorListO或getDefaultSensorO等）获取终端设备中所具备的传感器类型。 8个人信息处理活动中的最小必要规范 8.1告知同意 传感器个人信息告知同意阶段，APP应满足如下要求： a）APP在收集处理传感器个人信息前应通过如隐私政策等向用户告知。当收集的传感器信息， 可识别到用户个人，应通过如隐私政策等向用户告知； 注：可识别到用户个人的情况，例如通过加速度传感器、重力传感器、陀螺仪传感器、线性加速度传感器等，获取 用户个人运动状态。传感器类型及字段参见附录A。 b) 在以同意为合法性基础的情况下，APP收集传感器人体健康生理信息、运动检测信息，应获 得用户同意； c）APP在使用传感器个人信息时，因业务需要，超出使用个人信息的范围时，应再次征得个人 信息主体明示同意。 8.2收集阶段 传感器个人信息收集阶段，APP应满足如下要求： a）APP处理传感器个人信息，应与实现产品或服务的业务功能有直接或合理关联； b）APP处理传感器个人信息的频率应是实现产品或服务的业务功能所必需的最低