ICS 33.030 YD CCS M21 中华人民共和国通信行业标准 YD/T 4177. 4—2024 移动互联网应用程序（APP） 收集使用个人信息最小必要评估规范 第4 部分：终端通讯录 Evaluation of minimum and necessity when mobile internet Application (APP) collects and utilizes personal information -Part 4: User contact information on terminal 2024-12-10 发布 2025-04-01实施 中华人民共和国工业和信息化部 发布 YD/T 4177.4—2024 目 次 前言 I 引言 III 1范围. 2规范性引用文件. 3术语和定义 4 基本原则. 5 终端通讯录信息分类. 6 终端通讯录信息合理应用场景 6.1 概述.... 6.2 读通讯录场景 6.3 编辑通讯录. 终端通讯录信息收集和使用最小必要要求 7.1 告知同意 7.2 权限要求 7.3 收集阶段... 7.4 存储阶段... 7.5 使用加工阶段... 7.6 传输阶段.. 7.7 提供阶段. 7.8 公开阶段.. 6 7.9 删除阶段. .6 8 评估方法 6 8.1 告知同意. .6 8.2 权限要求... .8 8.3 收集阶段.. .9 8.4 存储阶段. .10 8.5 使用加工阶段 10 8.6 传输阶段... 11 8.7 提供阶段... 11 8.8 公开阶段.. 8.9 删除阶段. 13 YD/T 4177.4—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是YD/T4177《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》的第4 部分，YD/T4177已经发布了以下部分： 一第1部分：总则； 一第2部分：位置信息； 一第3部分：图片信息； 一第5部分：设备信息； 一第8部分：录像信息； 一第10部分：通话记录 一第11部分：短信信息。 本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、华为技术有限公司、泰尔认证中心有限公司、OPPO广东 移动通信有限公司、维沃移动通信有限公司、北京奇虎科技有限公司。 本文件主要起草人：衣强、李可心、桑明臣、宁华、王艳红、常琳、汪海、王浩仟、李腾、贾科、 姚一楠。 II YD/T 4177.4—2024 引言 通讯录信息是APP在实现业务时被广泛应用的个人信息，实际应用中，利用通讯录信息可以实现 添加好友、建立通信、分享信息等多种功能，通讯录信息中包含了联系人的电话号码、所在公司、地址 等，具有较高的敏感程度，然而在一些场景，存在着对通讯过度收集使用的情况，侵害了用户权益。 因此本文件旨在规范通讯录信息的收集和使用要求，为APP收集使用通讯信息提出相应最小必要 要求和实施指导。 YD/T4177《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》规定了APP收集 使用个人信息的基本原则、评估要求、评估方法及评估流程，由16个部分构成，其中每个部分给出针 对具体个人信息类别、在个人信息处理各阶段的最小必要实施要求及评估方法。 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分：总则： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第2部分：位置信息； 一一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第3部分：图片信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第4部分：终端通讯录； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第5部分：设备信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第7部分：人脸信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第8部分：录像信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第9部分：录音信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第10部分：通话记录； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第11部分：短信信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第12部分：好友列表： 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第13部分：传感器信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第14部分：应用日志信息； 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第15部分：身份信息； 一移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第16部分：剪切板信息。 ⅢI YD/T 4177.4—2024 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第4部分：终端通讯录 1范围 本文件规定了APP处理终端通讯录信息时，实现最小必要原则的要求，给出了处理通讯录信息的 合理应用场景，在合理应用场景基础上，针对处理通讯录信息的收集、使用、存储、删除等生命周期各 阶段，提出满足最小必要原则的要求。 本文件适用于APP在移动终端处理终端通讯录信息活动时，用于提升APP隐私保护水平，也适用 于评估机构开展评估工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2022 2信息安全技术术语 GB/T35273—2020 信息安全技术个人信息安全规范 YD/T4177.1—2022 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分： 总则 3术语和定义 GB/T25069一2022、GB/T35273一2020中界定的以及下列术语和定义适用于本文件。 3.1 终端通讯录信息usercontactinformation 指由用户在移动终端系统上添加生成的联系人信息，其中联系人信息包括联系人姓名、手机号码、 邮箱地址、公司及职位、住宅地址、昵称、头像、生日、群组信息等个人相关信息，本文件也称为通讯 录信息。 4基本原则 应用软件收集、使用终端通讯录信息需满足YD/T4177.1一2022中的最小必要原则。 YD/T 4177.4—2024 5终端通讯录信息分类 终端通讯录信息可包含以下几类联系人信息： a）联系人基本信息：指联系人姓名、昵称、头像、生日、个人网站地址、铃声等标识联系人及联 系人相关基本信息； b) 联系人联系信息：指联系人电话、邮箱地址等用于与联系人建立通信的信息； c）联系人网络身份信息：指社交等软件上标识联系人的身份信息； d）联系人地址信息：指联系人住宅、公司等地址信息； e）1 联系人工作信息：指联系人所在公司名称、联系人职务等工作身份相关的信息； 联系人关系网信息：指联系人所属群组信息、联系人关联人名称等体现与联系人之间关系的 信息； g）l 联系人其他信息：指用户所备注的不在上述范围内的信息。 6终端通讯录信息合理应用场景 6.1概述 终端通讯录信息代表个人信息主体的工作、生活范围，并涉及他人的联系方式等信息，因此通讯录 信息具有较高的敏感程度，应在合理的场景下使用，电话、通讯录等终端系统基本功能软件使用终端通 讯录不在本文件范围内。 超出以下典型场景使用终端通讯录时，参考YD/T4177.1一2022中的相应要求。 本文中APP均表示该APP为个人信息处理者。 6.2读通讯录场景 表1给出了读终端通讯录信息的典型场景。 表1读终端通讯录场景 序号 功能类 功能类具体描述 1 管理类 用于通讯录备份/同步、创建/修改、导入导出等 2 安全类 实现骚扰拦截及安全策略实施 3 分享类 实现分享音乐、视频、新闻、购物信息等 4 添加好友类 通过获取终端通讯录信息以将其添加为好友 5 设置联系人、紧急联系人类 通过获取终端通讯录信息以将其设置为联系人或紧急联系人 6 通信类 实现与联系人的语音视频通话、邮件发送、短消息收发、即时消息收发等 通过获取终端通讯录信息实现为所获取的联系人话费充值、手机转账等应用 7 应用服务类 功能 2 YD/T4177.4—2024 表1 读终端通讯录场景（续） 序号 功能类 功能类具体描述 8 风控、运营管理类 APP实施风险控制、终端防恶意安装应用等运营管理 通讯录/名片分享 APP生成名片、实现名片分享等功能 6.3编辑通讯录 编辑终端通讯录场景见表2。 表2编辑终端通讯录场景 序号 功能类 功能类具体描述 管理类 用于通讯录备份/同步、创建/修改、导入导出等 7终端通讯录信息收集和使用最小必要要求 7.1告知同意 APP处理终端通讯录信息告知同意应满足如下要求： a）APP处理终端通讯录前需尽到告知义务，应告知处理终端通讯录的实际目的、处理方式、所 收集终端通讯录信息的范围、收集到服务端的终端通讯录信息的保存时间； b）需要取得个人同意的情况，应在取得个人信息主体同意后再处理终端通讯录信息，并提供撤回 同意的选项； c）APP如需向其他个人信息处理者提供终端通讯录信息，包括终端本地提供或服务端提供的方 式，应告知接收方的名称或者姓名、联系方式、明确合理的处理目的、处理方式，并取得个人 信息主体的单独同意； d）