ICS 33.030 YD CCS M21 中华人民共和国通信行业标准 YD/T 4177. 6—2024 移动互联网应用程序（APP） 收集使用个人信息最小必要评估规范 第6 部分：软件列表 Application personal information collection and usage minimization and necessity evaluation specificationPart6: Application software list 2024-12-10 发布 2025-04-01实施 中华人民共和国工业和信息化部 发布 YD/T 4177.6—2024 次 目 前言 范围 规范性引用文件 2 术语和定义 3 4缩略语 基本原则.…. 5 信息分类. 软件列表收集使用常见业务场景 最小必要处理活动， 8 8.1 告知同意.. 8.2 收集阶段... 8.3 存储阶段， 8.4 使用阶段.. 8.5 传输阶段... 8.6 提供阶段.. 8.7 删除阶段. 评估方法 9.1 告知同意. 9.2 信息收集.. 9.3 信息存储， 信息使用. 9.4 信息传输… 9.5 信息提供.. 9.6 9.7 信息删除， YD/T 4177.6—2024 前言 本文件按照GB/T1.1一2020《标准化工作导则 厂第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是YD/T4177《移动互联网应用程序（APP）收集使用个人信息最小必要评估规范》的第6 部分。YD/T4177已经发布了以下部分： 一第1部分：总则; 一第2部分：位置信息； 一一第3部分：图片信息； 一第5部分：设备信息； 一第8部分：录像信息； 一第10部分：通话记录 第11部分：短信信息。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、北京捷兴信源信息技术有限公司、北京快手科技有限公司、 维沃移动通信有限公司、北京淘友天下技术有限公司、小米科技有限责任公司。 本文件主要起草人：常浩伦、李鑫、汤立波、臧磊、王艳红、陈鑫爱、李可心、周飞、桑明臣、于 润东、杨澄宇、盛大江、落红卫、宜静、张航、孟林林、韩虎、王乐。 II YD/T 4177.6—2024 移动互联网应用程序（APP）收集使用个人信息最小必要评估规范 第6部分：软件列表 1范围 本文件旨在贯彻个人信息收集使用的最小必要的原则，针对移动APP告知同意、收集、存储、使 用、传输、提供、删除用户软件列表各环节提出相应的最小必要性符合度评估项，并结合典型场景对 APP最小必要处理软件列表进行规定。 本文件适用于指导移动互联网应用软件开发者规范对软件列表的处理，也适用于主管监管部门、第 三方评估机构等组织对移动互联网应用程序收集软件列表行为进行监督、管理和评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件 文件。 YD/T4177.1一2022移动互联网应用程序（APP）收集使用个人信息最小必要评估规范第1部分： 总则 3术语和定义 下列术语和定义适用于本文件。 3.1 移动智能终端smart mobile terminal 能够接入移动通信网，具有能够提供应用软件开发接口的开放操作系统，具有安装、加载和运行应 用软件能力的终端。 3.2 移动智能终端应用软件smart mobile terminal application software 针对移动智能终端所开发的应用程序，包括移动智能终端预置应用以及互联网信息服务提供者提供 的可以通过移动智能终端下载、安装、升级、卸载的应用。 注：本文件中规定的移动智能终端应用软件（APP）即为个人信息处理者。 YD/T 4177.6—2024 3.3 里 personal information processing 个人信息处理 个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。 3.4 告知同意inform and consent 应用通过弹窗或产品界面等方式提示通知用户收集使用相关权限或信息的目的、方式、范围等，并 获个人信息主体做出明确授权的行为。 3.5 移动智能终端应用软件列表 smart mobile terminal application installation list 列表），包括但不限于使用getInstalledPackages 接口获取到的软件列表信息。 注：本文件中规定的用户即为使用产品或服务的个人信息主体。 4缩略语 下列缩略语适用于本文件。 APP 移动应用软件 application 5基本原则 应满足YD/T4177.1一2022中的最小必要原则。 6信息分类 软件列表由移动智能终端用户在移动智能终端中所安装的移动应用软件构成，根据软件列表信息中 包含的内容，可将软件列表信息分为两类： a）软件列表基本信息，软件列表基本信息指移动智能终端用户在移动智能终端中所安装的移动 应用软件基本信息，包括：软件名称、软件包名、软件版本、文件大小、软件安装包MD5 等信息； b） 软件列表配置信息，软件列表配置信息指移动应用软件安装到移动智能终端后产生的各类配置 信息，包括：安装时间、更新时间、安装路径、数据路径等。 2 YD/T 4177.6—2024 7软件列表收集使用常见业务场景 软件列表属于个人常用设备信息，与其他信息结合可能反映特定自然人活动情况、兴趣爱好，具有 敏感特性，应在合理场景下使用。在本文件中列举了以下四类场景为合理必要收集使用软件列表信息的 场景，超出以下场景的情形不宜收集用户软件列表信息，确需收集的应参考总则及其他标准，按照最小 必要原则处理软件列表信息： a）功能管理：指以向移动智能终端用户提供“应用分发、升级、备份、删除”等功能为目的，收 集使用软件列表信息的场景； b）文件扫描：指以向用户提供“杀毒、文件扫描”等功能为目的，收集使用软件列表信息的场景； c）功能交互：指以向用户提供“调用、唤醒第三方应用”等功能为目的，收集使用软件列表信息 的场景; d）统计：指以“统计软件安装数据”为目的，收集使用软件列表信息的场景。 8最小必要处理活动 8.1告知同意 告知同意遵循的要求包括： a）在进行软件列表信息的处理活动前，应当向个人信息主体告知收集、存储、使用、加工、传输、 提供、公开、删除软件列表的目的、方式、范围; b）应遵循最小必要原则，即APP所提供产品或服务涉及多项业务功能的，处理软件列表信息时， 宜按业务功能单项或分项获得个人信息主体同意，不应采用捆绑方式强迫个人信息主体一次性 同意多种业务功能收集的软件列表信息：个人信息主体拒绝同意时，仅影响与所拒绝个人信息 相关的业务功能的正常使用； 8.2收集阶段 收集阶段遵循的要求包括： a）收集软件列表的类型及数量应遵循最小必要原则，不应超出业务场景的实际需要，宜参考表1 限制软件列表信息收集范围； b) 收集软件列表的频次应遵循最小必要原则，不应超出业务场景的实际需要； 收集软件列表信息宜在移动智能终端本地进行。 c[ 表1APP不同场景下最小必要收集的软件列表信息 场景 基本信息 配置信息 功能管理 是 是 文件扫描 是 是 功能交互 是 否 YD/T 4177.62024 表1APP不同场景下最小必要收集的软件列表信息（续） 场景 基本信息 配置信息 统计 是 否 8.3存储阶段 存储阶段应遵循的要求包括： a）存储软件列表应保证应用软件列表信息安全，例如采用可靠的加密方式对信息进行加密、设置 访问控制机制等方式; b）存储软件列表信息的类型及数量应遵循最小必要原则，即存储信息的类型及数量，不应超出业 务场景的实际需要； c） 存储软件列表信息的时间应遵循最小必要原则，即存储信息的时间，应当为实现处理目的所必 要的最短时间。 8.4使用阶段 使用阶段应遵循的要求包括： a）应确保仅在符合应用业务功能需求的场景下使用软件列表信息，不应超出业务场景范围； b）应仅使用业务功能所需的个人信息，所使用的个人信息不应超出业务场景限定的最少必要范围。 8.5传输阶段 传输阶段应遵循的要求包括： a）传输软件列表的类型及数量应遵循最小必要原则，且需经过个人信息主体同意，不应超出业务 场景的实际需要; b）传输软件列表的频率应遵循最小必要原则，不应超出业务场景的实际需要， 8.6提供阶段 提供阶段应遵循的要求包括： a）为个人信息主体提供业务所必需委托第三方或与第三方共同处理软件列表信息的，应在隐私政 策中清晰明示处理的目的、方式、范围等，并征得个人信息主体同意； b）向第三方提供软件列表信息时，应遵循最小必要原则，不应超出业务场景限定的最少必要范围， 并征得个人信息主体单独同意。 8.7删除阶段 删除阶段应遵循的要求包括： a）APP在处理目的已实现、无法实现或者为实现处理目的不再必要时，应检查其所存储的软件 列表信息，并删除不必要的相关数据； b）APP停止提供产品或者服务，或者保存期限已届满后，应对信息进行删除或匿名化处理； 4