TTAF 077.3-2022 APP收集使用個人信息最小必要評估規(guī)范 第3部分：圖片信息

ICS33.050

CCSM30

團(tuán)體標(biāo)準(zhǔn)

T/TAF077.3-2022

代替T/TAF077.3-2020

APP收集使用個人信息最小必要評估規(guī)范

第3部分：圖片信息

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification—

Part3:Imagefile

2022-02-23發(fā)布2022-02-23實(shí)施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF077.3-2022

APP收集使用個人信息最小必要評估規(guī)范第3部分：圖片信息

1范圍

本文件規(guī)定了在移動應(yīng)用軟件在處理涉及個人信息主體個人信息相關(guān)圖片信息的收集、存儲、使用、

刪除等活動中的最小必要信息規(guī)范和評估方法，并通過對在個人信息處理活動中的典型應(yīng)用場景來說明

如何落實(shí)最小必要原則。

本文件適用于移動互聯(lián)網(wǎng)應(yīng)用軟件提供者規(guī)范個人信息主體個人信息（圖片信息）的處理活動，也

適用于主管監(jiān)管部門、第三方評估機(jī)構(gòu)等組織對移動互聯(lián)網(wǎng)應(yīng)用程序收集圖片信息行為進(jìn)行監(jiān)督、管理

和評估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069信息安全技術(shù)術(shù)語

GB/T35273信息安全技術(shù)個人信息安全規(guī)范

T/TAF077.1APP收集使用個人信息最小必要評估規(guī)范總則

3術(shù)語和定義

GB/T35273、T/TAF077.1和T/TAF077.7界定的術(shù)語和定義適用于本文件。

4縮略語

下列縮略語適用于本文件。

APP：應(yīng)用軟件（Application）

GNSS：全球衛(wèi)星導(dǎo)航系統(tǒng)（GlobalNavigationSatelliteSystem）

5基本原則

應(yīng)滿足T/TAF077.1《APP收集使用個人信息最小必要評估規(guī)范總則》中的最小必要原則。

6圖片信息分類

1

T/TAF077.3-2022

圖片可以通過拍照、屏幕截圖以及對圖片的再加工的方式生成。根據(jù)圖片信息中包含的內(nèi)容，可將

圖片信息分為以下三類：

a）圖片基本信息：指圖片的基本特征信息，包括圖片內(nèi)容信息（原始的和編碼后的二進(jìn)制碼）、

圖片格式、大小、分辨率；

b）圖片附加信息：拍照時間、拍照設(shè)備、拍照參數(shù)、圖片名稱等可關(guān)聯(lián)出個人的圖片信息；

c）圖片位置信息：指拍攝圖片時的精準(zhǔn)定位信息。例如安卓系統(tǒng)可通過GpsLocationProvider

來獲取精確位置信息。

7圖片信息典型使用場景

圖片信息的收集使用包括但不限于以下場景：

a）社交類：個人信息主體通過APP發(fā)送固定數(shù)量的圖片到明確的一個或多個好友或朋友圈限定范

圍的場景。

b）媒體發(fā)布類：個人信息主體出于圖片公開的目的將圖片通過APP發(fā)布到媒體平臺的場景。

c）圖片加工類：個人信息主體通過APP對圖片進(jìn)行編輯生成新的圖片的場景。

d）圖像識別類：個人信息主體通過APP對圖片或掃一掃生成的緩存圖片進(jìn)行識別的場景。

e）云盤備份類：通過APP將本地圖片備份到云盤的場景。

f）客服/售后類：個人信息主體在APP中因某種訴求發(fā)送圖片到客服或售后的場景。

8圖片信息的最小必要評估要求

8.1權(quán)限授權(quán)

APP收集圖片信息主要通過調(diào)用移動智能終端的拍照或屏幕截圖功能生成圖片信息，或是通過讀

取、寫入等方式訪問移動智能終端上的圖片信息時，應(yīng)征得個人信息主體對相應(yīng)權(quán)限的授權(quán)同意。APP

首次使用，在媒體庫中生成圖片或訪問圖片時需要通過權(quán)限授權(quán)，在個人信息主體同意授權(quán)之前，不應(yīng)

生成或訪問圖片信息。以下表1列出了生成或訪問圖片時所必須的權(quán)限，非必要權(quán)限應(yīng)在業(yè)務(wù)場景發(fā)生

前向個人信息主體申請對應(yīng)的權(quán)限。

表1生成或訪問圖片時最小必要權(quán)限

圖片生成或訪問方式對應(yīng)權(quán)限用途是否必要

拍照相機(jī)拍攝照片，生成圖片是

位置拍照時的圖片定位信息否

屏幕截圖屏幕截圖（注：如系統(tǒng)無對應(yīng)權(quán)限，屏幕截圖，生成圖片是

應(yīng)征得個人信息主體授權(quán)）

讀取媒體庫存儲權(quán)限讀取圖片是

寫入媒體庫存儲權(quán)限將圖片的信息寫入到媒體庫中是

8.2收集階段

移動應(yīng)用軟件收集圖片信息前，應(yīng)告知業(yè)務(wù)功能收集使用圖片信息的目的、方式和范圍，并獲得個

人信息主體明確的授權(quán)同意。宜逐一列出該應(yīng)用（含委托的第三方或嵌入的第三方SDK、插件等）不同

場景中收集使用（或委托使用）圖片信息的目的、方式、范圍和頻率，以及圖片信息存儲的地域、期限、

超期處理的方式，采取的數(shù)據(jù)安全保護(hù)措施等。

2

T/TAF077.3-2022

a）收集圖片信息目的要求：應(yīng)與業(yè)務(wù)功能場景相關(guān)，不應(yīng)僅以改善服務(wù)質(zhì)量、提升使用體驗(yàn)、研

發(fā)新產(chǎn)品、增強(qiáng)安全性等為由強(qiáng)制個人信息主體同意收集跟場景無關(guān)的圖片信息。

b）收集圖片信息的方式要求：移動應(yīng)用軟件通過讀取媒體庫等方式收集圖片信息時，應(yīng)征得個人

信息主體對相應(yīng)權(quán)限的授權(quán)同意；移動應(yīng)用軟件通過相機(jī)/屏幕截圖生成圖片信息時，應(yīng)為個

人信息主體呈現(xiàn)顯性的拍攝界面/屏幕截圖界面。

c）收集圖片信息的范圍要求：當(dāng)個人信息主體僅選取一張或幾張圖片時，非個人信息主體主動觸

發(fā)（如預(yù)覽），不應(yīng)讀取圖片庫中其他圖片信息。

d）收集圖片信息的頻率要求：如不是個人信息主體主動發(fā)起或授權(quán)同意APP讀取圖片庫，APP應(yīng)限

定滿足業(yè)務(wù)目的的最低收集頻率。

APP不同場景下最小必要收集圖片信息如表2：

表2APP不同場景下最小必要收集的圖片信息

場景圖片基本信息圖片附加信息圖片位置信息

社交是可選可選

媒體發(fā)布是可選可選

圖片加工是可選可選

圖像識別是可選可選

云盤備份是是是

客服/售后是可選可選

注：表格中“可選”是指App可單獨(dú)獲得“圖片附加信息”和“圖片位置信息”的授權(quán)同意，收集“附加信息”和“位

置信息”，或者可根據(jù)自身能力選擇把圖片作為整體向個人信息主體申請授權(quán)同意并收集圖片信息。

8.3存儲階段

8.3.1本地存儲

APP本地存儲圖片信息應(yīng)滿足以下要求：

a）應(yīng)在安全策略控制范圍內(nèi)，保證只有個人信息主體具有所存儲圖片信息的讀、寫、修改和刪除

的權(quán)利。（圖片自動壓縮可改變圖片信息的除外）。

b）在使用個人生物識別信息用于身份識別、認(rèn)證等功能時，在實(shí)現(xiàn)身份鑒別等功能后應(yīng)刪除可提

取個人生物識別信息的原始圖片（如指紋、人臉識別、掌紋、虹膜等），應(yīng)加密且僅存儲個人

生物識別信息的特征信息，并與個人身份信息分開存儲。

8.3.2云存儲

APP本地存儲圖片信息應(yīng)滿足以下要求：

a）應(yīng)對所存儲圖片信息數(shù)據(jù)進(jìn)行訪問控制，包括但不限于身份認(rèn)證和鑒別等機(jī)制。宜對云端個人

信息主體圖片提供加密存儲功能。

b）使用個人生物識別信息用于身份鑒別功能時，若需上傳包含生物特征識別信息的圖片（如指

紋、面部、掌紋、虹膜等）到云端處理時，應(yīng)征得個人信息主體單獨(dú)同意，且采用顯著方式（如

圖標(biāo)閃爍、狀態(tài)欄提示、自定義提示條等）提示個人信息主體。

c）如有云端自動備份照片功能，宜向個人信息主體告知備份的時機(jī)、頻率等，以及提供停止自動

備份的功能。若需在云端圖片識別，宜告知收集圖片識別信息的目的、范圍、方式、頻率，并

征得個人信息主體授權(quán)同意。

3

T/TAF077.3-2022

8.4使用階段

8.4.1圖片信息展示限制

APP展示圖片信息時，個人信息控制者宜對展示的個人信息采取去標(biāo)識化處理等措施，降低個人信

息在展示環(huán)節(jié)的泄露風(fēng)險。在不同場景下的圖片展示規(guī)范如表3：

表3不同場景下圖片信息展示規(guī)范

場景展示圖片規(guī)范

社交展示時宜給個人信息主體提示圖片中是否含圖片附加信息和圖片位置信息并允許個人信息主體選擇

刪除

媒體發(fā)布展示時宜給個人信息主體提示圖片中是否含圖片附加信息和圖片位置信息并允許個人信息主體選擇

刪除

圖片加工展示時宜給個人信息主體提示圖片中是否含圖片附加信息和圖片位置信息并允許個人信息主體選擇

刪除

圖像識別圖像識別后的信息展示給個人信息主體時，可對其中個人敏感信息采取去標(biāo)識化處理

云盤備份展示時宜給個人信息主體提示圖片中是否含圖片附加信息和圖片位置信息

客服/售后未經(jīng)個人信息主體同意，不應(yīng)對第三方展示

8.4.2圖片信息使用目的的限制

使用圖片信息時，APP不應(yīng)超出與收集時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。如因業(yè)務(wù)需要，

確需超出上述范圍使用個人信息的，應(yīng)再次征得個人信息主體明示同意。

8.4.3圖片信息匯聚融合

APP對圖片信息和收集的其他個人信息匯聚融合，應(yīng)遵循使用目的的限制要求，并開展個人信息安

全影響評估，采取有效的個人信息保護(hù)措施。

8.4.4圖像識別限定

應(yīng)用設(shè)計(jì)或開發(fā)者不應(yīng)對圖片信息采取隱蔽手段挖掘和分析歸納個人信息主體的身份特征數(shù)據(jù)。

未經(jīng)個人信息主體單獨(dú)同意，不應(yīng)將收集的圖片信息用于識別身份。

8.5刪除階段

對收集、加工、傳輸階段所使用的緩存圖片信息，應(yīng)用應(yīng)為個人信息主體提供自動刪除或手動刪除

的功能。未經(jīng)個人信息主體單獨(dú)同意，不應(yīng)刪除非本應(yīng)用存儲目錄下的圖片原始二進(jìn)制碼。

9評估流程和方法

9.1評估流程

APP收集使用圖片信息最小必要的評估流程應(yīng)遵循YD/Txxxx-xxxx《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）收

集使用個人信息最小必要評估規(guī)范第1部分：總則》中的評估流程。評估方根據(jù)被評估方提供的技術(shù)說

明文檔、被評估APP樣品等材料，確定APP的個人信息處理活動中涉及的個人信息類型包括圖片信息時，

可以依據(jù)本評估規(guī)范進(jìn)行評估。

9.2評估方法

4

T/TAF077.3-2022

9.2.1權(quán)限授權(quán)的評估方法

測試編號：9.2.1

測試項(xiàng)目：圖片信息的權(quán)限授權(quán)最小必要評估

測試要求：見本文件8.1

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過訪談或?qū)彶槲臋n等方式檢查APP權(quán)限授權(quán)的內(nèi)容，判定其是否涉及圖片生成或使

用的功能；

2）運(yùn)行APP，在APP首次使用前，是否獲得了個人信息主體的權(quán)限授權(quán)；

3）運(yùn)行APP，對照表1，APP是否在需要用到位置信息時，才向個人信息主體征得權(quán)限授

權(quán)。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

9.2.2收集階段評估方法

測評編號：9.2.2

測評項(xiàng)目：圖片信息在收集階段的最小必要評估

項(xiàng)目要求：8.2

預(yù)置條件：被評估APP處于正常狀態(tài)

測評步驟：

1）運(yùn)行APP，檢查APP在收集個人圖片信息前，是否以顯著方式、清晰易懂的語言真實(shí)、

準(zhǔn)確完整的向個人信息主體告知了收集圖片信息的目的、方式和范圍；

2）通過訪談或?qū)彶槲臋n等方式檢查APP收集圖片信息的信息類型，判斷信息類型是否在

可收集范圍內(nèi)。若應(yīng)用場景不屬于典型場景或超過可收集信息類型，則通過訪談等方

式評估收集信息是否必要。

3）分別檢查APP是否滿足8.1.1中a、b、c條中收集圖片信息目的、方式、范圍的要求；

4）檢查APP是否滿足8.1.1中d）條中收集圖片信息頻率的要求。

預(yù)期結(jié)果：

1）在步驟1后，若以上測試步驟結(jié)果為肯定，則步驟1判定為未見異常，否則判定為不

符合要求，該項(xiàng)測評結(jié)束；

2）在步驟2后，若測試步驟為肯定，則步驟2判定為未見異常，否則判定為不符要求，

該項(xiàng)測評結(jié)束；

3）在步驟3后，若測試步驟為肯定，則步驟3判定為未見異常，否則判定為不符合要求；

4）在步驟4后，若測試步驟為肯定，則步驟4判定為未見異常。

9.2.3存儲階段評估方法

測試編號：

測試項(xiàng)目：圖片信息在本地存儲階段的最小必要評估

測試要求：見本文件8.3.1

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過訪談或?qū)彶槲臋n等方式檢查APP對圖片信息在端側(cè)的本地存儲，是否滿足8.3.1

5

T/TAF077.3-2022

的要求；

2）通過功能驗(yàn)證檢查非個人信息主體是否可讀、寫、修改和刪除所存儲的圖片信息。

3）通過功能驗(yàn)證或技術(shù)檢測檢查個人生物識別信息的原始圖片在實(shí)現(xiàn)身份鑒別等功能

后是否刪除，通過審查文檔和技術(shù)檢測的方式檢查是否僅加密存儲了個人生物識別信

息的特征信息，是否與個人身份信息分開存儲；

4）通過審查文檔檢查圖片在本地存儲期限是否符合法律法規(guī)的要求，是否超過業(yè)務(wù)實(shí)現(xiàn)

功能所需最短時限。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

測試編號：

測試項(xiàng)目：圖片信息在云存儲階段的最小必要評估

測試要求：見本文件8.3.2

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過功能驗(yàn)證檢查APP對圖片信息的云端存儲是否提供身份認(rèn)證和鑒別等訪問控制措

施；通過訪談或?qū)彶槲臋n等方式檢查云端個人信息主體圖片是否加密存儲

2）通過功能驗(yàn)證檢查云端使用個人生物識別信息進(jìn)行身份鑒別時，是否征得個人信息主

體單獨(dú)同意，是否采用顯著方式（如圖標(biāo)閃爍、狀態(tài)欄提示、自定義提示條等）提示

個人信息主體；

3）通過審查文檔檢查云端自動備份是否向個人信息主體告知備份的時機(jī)、頻率等，通過

功能驗(yàn)證檢查是否提供停止自動備份的功能；

4）通過審查文檔檢查在云端圖片識別場景是否告知收集圖片識別信息的目的、范圍、方

式、頻率，通過功能驗(yàn)證檢查云端圖片識別場景是否征得個人信息主體授權(quán)同意。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

9.2.4使用階段評估方法

測試編號：

測試項(xiàng)目：圖片信息的展示限制的最小必要評估

測試要求：見本文件8.4.1

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過功能驗(yàn)證檢查APP在社交、媒體發(fā)布、圖片加工、圖片識別、云盤備份場景下圖

片信息的展示是否滿足表3的要求；通過訪談或?qū)彶槲臋n檢查在客服/售后場景對第

三方展示個人信息主體圖片是否經(jīng)過個人信息主體同意。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

測試編號：

測試項(xiàng)目：圖片信息的使用目的的限制的最小必要評估

測試要求：見本文件8.4.2

6

T/TAF077.3-2022

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過訪談或?qū)彶槲臋n等方式檢查APP聲稱的目的和其實(shí)際收集和使用個人信息的目的

是否相符；

2）通過訪談或功能驗(yàn)證檢查超范圍使用個人信息時是否再次征得個人信息主體明示同

意。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

測試編號：

測試項(xiàng)目：圖片信息的匯聚融合的最小必要評估

測試要求：見本文件8.4.3

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過訪談或?qū)彶槲臋n等方式檢查APP是否在其聲稱的目的范圍內(nèi)對圖片信息與其他個

人信息匯聚融合；通過審查文檔檢查APP是否在個人信息匯聚融合前開展個人信息安

全影響評估，以及是否采取有效的個人信息保護(hù)措施。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

測試編號：

測試項(xiàng)目：圖片信息中圖像識別的限定的最小必要評估

測試要求：見本文件8.4.4

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1)通過訪談檢查應(yīng)用設(shè)計(jì)或開發(fā)者是否對圖片信息采取隱蔽手段挖掘和分析歸納個人

信息主體的身份特征數(shù)據(jù)；

2)通過訪談和審查文檔等方式檢查APP是否將收集的圖片信息用于對個人信息主體進(jìn)行

身份標(biāo)識和識別；

3)通過功能驗(yàn)證檢查將收集的圖片信息用于身份的標(biāo)識和識別的場景是否經(jīng)過個人信

息主體的單獨(dú)同意。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。

9.2.5刪除階段評估方法

測試編號：9.2.5

測試項(xiàng)目：圖片信息的在刪除階段的最小必要評估

測試要求：見本文件8.5

預(yù)置條件：被評估APP處于正常狀態(tài)

測試步驟：

1）通過功能驗(yàn)證檢查APP在收集、加工、傳輸階段所使用的緩存圖片信息，是否可供個

人信息主體自動刪除或收到刪除；通過技術(shù)檢測檢查是否存在未經(jīng)個人信息主體同意

7

T/TAF077.3-2022

刪除非本應(yīng)用存儲目錄下的圖片原始二進(jìn)制碼的情形。

預(yù)期結(jié)果：若以上測試步驟結(jié)果為肯定，則測試項(xiàng)判定為未見異常，否則判定為不符合

要求。