ICS33.050

CCSM30

團體標準

T/TAF077.8—2022

代替T/TAF077.8—2020

APP收集使用個人信息最小必要評估規(guī)范

第8部分：錄像信息

Applicationsoftwareuserpersonalinformationcollectionandusage

minimizationandnecessityevaluationspecification—

Part8：Videoinformation

2022-09-15發(fā)布2022-09-15實施

電信終端產(chǎn)業(yè)協(xié)會發(fā)布

T/TAF077.8—2022

APP收集使用個人信息最小必要評估規(guī)范第8部分：錄像信息

1范圍

本文件確立了APP處理錄像信息的基本原則，結(jié)合典型應用場景規(guī)定了對錄像信息的收集、存儲、

使用、加工、傳輸、提供、公開、刪除等處理活動中落實最小必要原則的評估要求，并描述了相應的最

小必要評估方法。

本文件適用于APP提供者規(guī)范用戶錄像信息的處理活動，也適用于第三方評估機構等組織對APP收集

使用錄像信息行為進行監(jiān)督、管理和評估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T35273－2020信息安全技術個人信息安全規(guī)范

T/TAF077.1APP收集使用個人信息最小必要評估規(guī)范第1部分：總則

3術語和定義

T/TAF077.1界定的以及下列術語和定義適用于本文件。

3.1

錄像信息videoinformation

通過視頻采集設備錄制的直接含有自然人個人信息或者能夠反映自然人活動情況的視頻信息及其

衍生數(shù)據(jù)。

注：衍生數(shù)據(jù)包括從視頻中提取的圖像、聲音等。

4縮略語

下列縮略語適用于本文件。

APP：移動應用軟件（Application）

BDS：北斗衛(wèi)星定位系統(tǒng)（BeiDouNavigationSatelliteSystem）

GNSS：全球?qū)Ш叫l(wèi)星定位系統(tǒng)（GlobalNavigationSatelliteSystem）

GPS：全球定位系統(tǒng)（GlobalPositioningSystem）

WLAN：無線局域網(wǎng)（WirelessLocalAreaNetwork）

5基本原則

1

T/TAF077.8—2022

5.1信息最小化原則

APP處理錄像信息的類型、數(shù)量、頻率、范圍等，不應超出業(yè)務場景的實際需要，法律法規(guī)要求的

除外。

5.2權限最小化原則

APP如需執(zhí)行申請、使用錄像相關權限，應為實現(xiàn)業(yè)務功能所必需，不應過度申請權限，且獲得授

權后不應過度使用。

5.3本地處理原則

APP優(yōu)先在本地處理錄像信息，能在本地獨立完成處理的不應再上傳到云端處理。

5.4其他原則

APP處理錄像信息以及申請使用錄像相關權限的，需滿足T/TAF077.1中的最小必要原則。

6錄像信息分類

錄像信息可以通過移動智能終端上的攝像頭錄制功能、屏幕錄制功能以及對錄像信息的再加工等方

式生成，也可以通過移動智能終端上APP綁定的監(jiān)控攝像頭等設備錄制生成。

根據(jù)錄像信息中包含的內(nèi)容，可將錄像信息分為以下三種類型：

a)錄像基本信息：指錄像的基本特征信息，包括錄像的內(nèi)容（視頻流）、格式、大小、分辨率、

幀率、碼率等信息；

b)錄像附加信息：指錄制錄像過程中可能同步產(chǎn)生和保存的其他信息，包括錄像時間、錄像設備

型號、錄像文件名稱等信息；

c)錄像位置信息：指錄制視頻圖像時可能通過移動智能終端提供的定位能力或個人信息主體主動

為錄像文件編輯的能真實精準定位到個人信息主體的位置信息。

注1：如無特殊說明，本文件所述的個人信息主體均為APP用戶。

注2：移動智能終端提供的定位能力包括通過全球?qū)Ш叫l(wèi)星定位系統(tǒng)GNSS（如GPS、BDS等）和/或網(wǎng)絡位置信息源（如

基站、WLAN等）獲取到移動智能終端當前的精確位置信息。

7典型應用場景

7.1概述

本文件對涉及處理錄像信息的典型應用場景進行梳理和歸類，對于未包含在本文件所述典型應用場

景范圍內(nèi)的APP，應按T/TAF077.1規(guī)定的最小必要原則進行評估。

對于僅通過移動智能終端上的攝像頭提供預覽功能的應用場景，如APP根據(jù)個人信息主體選擇的預

覽效果等進行相應的本地處理后向用戶展示相應的預錄制效果，不涉及存儲錄像信息操作，因此不涉及

使用、加工、傳輸、提供、公開等處理活動，本文件將不針對該應用場景做最小必要規(guī)定與評估。

對于通過從互聯(lián)網(wǎng)下載、從其他移動智能終端或APP接收等方式獲取并保存的錄像信息，一般不包

括錄像附加信息和位置信息。因此，APP在本文件7.2所述典型場景下收集和使用此類錄像信息時，不

涉及對錄像附加信息和位置信息的相關收集和使用要求。

7.2典型應用場景分類

2

T/TAF077.8—2022

APP收集使用錄像信息的典型場景包括但不限于：

a)主動上傳類場景，指APP通過主動上傳錄像為個人信息主體提供向自身或者他人展示或分享等

相關服務的場景；

注：例如，在社交類APP內(nèi)上傳已錄制好的短視頻，并對該APP內(nèi)一個或多個好友或者APP所有使用者可見；在直播

類APP內(nèi)將實時錄像上傳進行視頻直播。

b)視頻通訊類場景，指APP通過實時錄像為個人信息主體提供與一個或多個其他方進行雙向通訊

服務的場景；

注：例如，使用社交類APP與一個或多個好友進行視頻通話；使用視頻會議類APP與一個或多個其他方開展視頻會議，

其中會議主持人還可執(zhí)行會議錄制操作。

c)錄像編輯類場景，指APP為個人信息主體提供對本地錄像進行內(nèi)容編輯服務的場景；

注：例如，使用此類APP對選定的錄像進行裁剪、合成、調(diào)色、添加文字聲音等編輯操作。

d)身份認證類場景，指APP通過實時錄像為個人信息主體提供完成金融開戶類所需的實人身份核

驗、人臉識別類所需的活體檢測等相關服務的場景；

e)云盤備份類場景，指APP通過將本地錄像上傳到云盤為個人信息主體提供備份服務的場景；

注：為個人信息主體提供備份服務的方式包括但不限于：個人信息主體主動選擇一個或多個錄像，主動打開APP設

置的自動備份開關等。

f)安防監(jiān)控類場景，指APP通過事先綁定監(jiān)控攝像頭為個人信息主體提供實時查看、回看、保存、

刪除該監(jiān)控攝像頭拍攝的周圍環(huán)境錄像等服務的場景；

注：該場景下，錄像可通過云端同步下載到移動智能終端的APP客戶端進行存儲，或者，通過局域網(wǎng)直接從監(jiān)控攝

像頭傳輸?shù)揭苿又悄芙K端的APP客戶端進行存儲。

g)用戶體驗優(yōu)化類場景，指APP通過對本地錄像進行智慧化處理為個人信息主體提供按位置、內(nèi)

容類型等分類或聚類展示服務的場景。

注：該場景主要是針對錄像信息為用戶打造更好的展示體驗。例如，個人信息主體在APP內(nèi)可選擇基于錄像位置信

息對錄像按位置分類后展示，或者，基于錄像時間等附加信息對錄像按日期排序后展示，或者，基于錄像內(nèi)容

對錄像按人物、風景、人臉等聚類后展示。

本文件評估的APP可能具備上述a)-g)中的一個或多個服務場景。

8最小必要處理活動

8.1告知同意

對個人信息處理者處理錄像信息的告知同意要求包括：

a)APP收集錄像信息前，應向使用APP的個人信息主體告知對于錄像信息的處理目的、處理方式、

保存期限等。宜逐一列出該APP（含委托的第三方或嵌入的第三方SDK、插件等）在不同場景中

處理錄像信息的目的、方式、范圍和頻率，以及錄像信息存儲的地域、期限、超期處理的方式，

采取的數(shù)據(jù)安全保護措施等；

注：相機、相冊、視頻電話等移動智能終端基本功能軟件處理錄像信息的例外。

b)基于個人信息主體同意處理個人信息的，應在8.1a）后取得個人信息主體的同意；若錄像信

息的處理目的、處理方式、保存期限等發(fā)生變更，應重新取得個人信息主體同意；

c)收集錄像需要調(diào)用移動智能終端系統(tǒng)權限的，宜在錄像功能啟動前或啟動時申請相關權限；

注：本文件中所述系統(tǒng)權限，以安卓操作系統(tǒng)為例時，通常是安卓定義的危險權限，如位置、相機、存儲等權限。

d)個人信息主體拒絕錄像相關權限申請后，APP不應拒絕為個人信息主體提供其他服務，錄像信

息作為服務的最小必要信息的除外；

3

T/TAF077.8—2022

e)個人信息主體拒絕錄像相關權限申請后，APP在間隔48小時內(nèi)重新申請該權限不應超過1次，不

應頻繁請求權限干擾個人信息主體正常使用APP其他功能，個人信息主體主動開啟相關功能或

主動授予權限的除外；

f)APP不應擅自更改個人信息主體原有的錄像相關權限設置。如需更改，應重新告知并獲得個人

信息主體的同意；

g)不得欺騙誤導個人信息主體同意收集錄像信息，不得在未取得個人信息主體同意的條件下通過

隱蔽方式收集錄像信息；

h)免于同意的情形應按GB/T35273-2020中5.6規(guī)定的要求執(zhí)行；

i)APP所處理錄像的內(nèi)容涉及其他信息（如人臉信息）的，應遵循T/TAF077中其他相應部分的要

求；

j)APP處理錄像信息涉及著作權、肖像權等法律問題的，本文件不做專門規(guī)定。

8.2收集階段

8.2.1收集信息最小化

對個人信息處理者收集錄像信息的要求包括：

a)收集目的應與應用場景有關，不應僅以改善服務質(zhì)量、提升使用體驗、研發(fā)新產(chǎn)品等為由強制

個人信息主體同意收集跟場景無關的錄像信息；

b)收集方式可包括通過攝像頭攝像或屏幕錄制實時生成錄像信息、通過讀取存儲區(qū)域（如媒體庫）

內(nèi)本地保存的錄像信息等方式，收集錄像信息前應獲得個人信息主體相應授權。APP通過本地

攝像頭、綁定的獨立監(jiān)控攝像頭或者屏幕錄制生成錄像信息時，應為用戶呈現(xiàn)顯性的攝錄界面、

屏幕錄制界面；

c)收集范圍應由個人信息主體確定。當個人信息主體僅選取一個或多個已生成的錄像時，宜避免

讀取其所在存儲區(qū)域中的其他錄像信息；收集錄像信息時，應結(jié)合如下表1中典型應用場景或

個人信息主體的選擇最小化收集錄像附加信息或位置信息；

d)收集頻率應限定在滿足業(yè)務目的的最低收集頻率。涉及7.2a)-d)所述場景的APP，應僅在使用

APP的個人信息主體主動提供時才能收集錄像信息；涉及7.2e)所述場景的APP，應在個人信息

主體主動提供時收集錄像信息，或者在個人信息主體確認使用自動備份功能后自動收集錄像信

息。

考慮到不同APP可能對于錄像附加信息或位置信息具有不同的收集需求或收集能力，APP應按如下表

1所述最小必要原則在不同場景下收集錄像信息：

表1APP不同場景下收集錄像信息的最小必要原則

錄像信息收集方錄像信息收集范圍（是否可收集）

場景錄像信息收集頻率

式基本信息附加信息位置信息

攝像或屏幕錄制是可選2

主動上傳類可選1用戶主動觸發(fā)的單次收集

讀取本地錄像是可選3

視頻通訊類攝像實時生成是可選1可選2用戶主動觸發(fā)的單次收集

攝像或屏幕錄制是可選2

錄像編輯類可選1用戶主動觸發(fā)的單次收集

讀取本地錄像是可選3

身份認證類攝像實時生成是否否用戶主動觸發(fā)的單次收集

用戶主動觸發(fā)的單次收集，或者，用戶確認使用

云盤備份類讀取本地錄像是是是

自動備份功能后的自動（如周期性）收集

4

T/TAF077.8—2022

表1APP不同場景下收集錄像信息的最小必要原則（續(xù)）

錄像信息收集方錄像信息收集范圍（是否可收集）

場景錄像信息收集頻率

式基本信息附加信息位置信息

安防監(jiān)控類攝像實時生成是可選1否攝像頭正常工作期間的持續(xù)收集

用戶體驗優(yōu)用戶主動觸發(fā)的單次收集，或者，用戶確認使用

讀取本地錄像是是是

化類相關功能后的自動收集

注1：表格中的“可選1”是指，若APP額外讀取錄像附加信息，則宜為用戶提供選擇的能力（例如：向用戶提供可設置的

開關）。

注2：表格中的“可選2”是指，若APP額外實時收集當前位置信息，則應為用戶提供選擇的能力（例如：向用戶申請位置

相關權限）?！翱蛇x3”是指，可選2所述情況，或者，若APP額外讀取錄像位置信息且所選錄像中有錄像位置信息，

則宜為用戶提供去除該信息的能力（例如：向用戶提供可設置的開關）。

注3：對于7.2d)所述的身份認證類場景，APP往往無收集錄像附加信息、錄像位置信息的需求；對于7.2f)所述的安防

監(jiān)控類場景，APP往往無實時收集當前位置信息的需求或能力。

8.2.2權限申請最小化

APP如8.2.1b)所述進行收集錄像信息的行為時，涉及申請相關權限的，如移動智能終端系統(tǒng)提供

的相機權限、位置權限、存儲權限等，只有在獲得個人信息主體的相應授權后，APP才能收集錄像信息。

APP應按如下表2所述最小必要原則在收集錄像時申請權限：

表2APP不同錄像信息收集方式下申請權限的最小必要原則

錄像信息收集方式對應權限用途是否必需

相機通過攝像頭實時拍攝生成錄像是

攝像實時生成麥克風通過麥克風實時采集聲音是

位置通過定位能力實時獲取當前地理位置否

屏幕錄制（注：如系統(tǒng)無對應權限，應

通過打開開關等方式取得個人信息主

通過屏幕錄制功能實時生成錄像是

屏幕錄制實時生成體同意。用戶主動打開該功能的視作已

取得同意）

麥克風通過麥克風實時采集聲音是

存儲讀取本地保存的錄像是

讀取本地錄像

位置讀取時通過定位能力獲取當前地理位置視場景確定

注1：對于移動智能終端提供存儲權限的，除了如7.2g)等因APP的基本功能必需處理本地所有錄像信息的場景外，宜避

免通過申請存儲權限方式訪問錄像信息，宜使用系統(tǒng)自身提供的相關功能，以安卓系統(tǒng)為例時，如通過存儲訪問

框架（SAF，SystemAccessFramework）訪問。

注2：上述“視場景確定”表示，因APP的基本功能必需獲取位置信息的，如7.2g)所述基于當前位置匹配展示本地保存

的所有在當前位置附近攝制的錄像信息等用戶體驗優(yōu)化類場景，APP可申請位置權限，其余場景下則為非必需。

8.3存儲階段

對個人信息處理者存儲錄像信息的要求包括：

a)應按APP實現(xiàn)業(yè)務功能所需選擇在本地還是云端存儲錄像信息。例如，7.2a)、b)、d)-f)所述

場景可存儲在云端，7.2c)、g)所述場景宜存儲在本地；

5

T/TAF077.8—2022

b)應按APP實現(xiàn)業(yè)務功能所需最短時限或者按約定的存儲時限對錄像信息進行存儲，法律法規(guī)另

有規(guī)定的除外；

c)如個人信息主體在使用服務過程中產(chǎn)生的糾紛尚未解決完畢的，個人信息處理者可以適當延長

錄像信息的保存期限，在糾紛處理完畢且滿足約定存儲期限后刪除或匿名化處理錄像信息；

d)應對存儲在云端的錄像信息提供訪問控制機制，避免錄像信息被非法訪問；

e)宜對云端存儲的錄像信息進行加密，確保錄像信息的保密性；

f)如有云端自動備份錄像信息功能，如7.2a)所述的主動上傳類、7.2e)所述的云盤備份類等場

景，宜提供設置自動備份功能的開關，且默認不打開。

8.4使用階段

對個人信息處理者使用錄像信息的要求包括：

a)使用錄像信息時，不應超出與收集時所聲稱的目的具有直接或合理關聯(lián)的范圍。因業(yè)務需要，

確需超出上述范圍使用錄像信息的，應按8.1b)重新取得同意；

b)個人信息處理者應對內(nèi)部人員訪問錄像信息建立嚴格的管理機制，合理分配錄像信息訪問權

限，嚴格控制訪問人員和可訪問內(nèi)容。宜在對角色權限控制的基礎上，按照業(yè)務流程的需求觸

發(fā)操作授權；

c)APP使用錄像信息包括對錄像信息的展示操作，個人信息處理者宜對展示的個人信息采取模糊

化處理或支持用戶自主編輯等措施，降低個人信息泄露風險，對人臉特征進行遮擋導致無法實

現(xiàn)使用目的的除外。APP應按如下表3所述的最小必要原則在不同場景下展示錄像信息；

表3APP不同場景下展示錄像信息的最小必要原則

場景展示信息的最小必要

主動上傳類展示時宜提示其中是否含錄像附加信息和錄像位置信息，并允許選擇刪除

視頻通訊類不應展示錄像附加信息和錄像位置信息，基于個人信息主體同意的除外

錄像編輯類展示時宜提示其中是否含錄像附加信息和錄像位置信息，并允許選擇刪除

身份認證類不應展示錄像附加信息和錄像位置信息，基于個人信息主體同意的除外

云盤備份類展示時宜提示其中是否含錄像附加信息和錄像位置信息，并允許選擇刪除

展示時宜提示其中是否含錄像附加信息，并允許選擇刪除；展示時宜對個人信息（如人臉全部

安防監(jiān)控類

或局部位置）進行模糊化處理；不應展示錄像位置信息，基于個人信息主體同意的除外

用戶體驗優(yōu)分類或聚類展示錄像信息時，可一并展示相應功能維度對應的錄像位置信息或錄像附加信息

化類

d)APP基于收集的錄像信息進行個性化展示的，應遵循GB/T35273-2020中7.5規(guī)定的要求；

e)涉及利用所收集的錄像信息進行自動化決策的，應事前進行個人信息保護影響評估，包括處理

目的、處理方式等是否合法、正當、必要，對個人權益的影響及安全風險，所采取的保護措施

是否合法、有效并與風險程度相適應等；

f)涉及將所收集的錄像信息與其他個人信息進行匯聚融合的，應滿足8.4a）所述要求。若匯聚

融合后個人信息用于其他目的的，應如8.4e）所述事前進行個人信息保護影響評估，并采取

有效的個人信息保護措施。

8.5加工階段

對個人信息處理者傳輸錄像信息的要求包括：

a)不應非法加工其處理的錄像信息；

6

T/TAF077.8—2022

b)對于7.2所述場景，涉及對錄像信息進行加工的，例如7.2c)所述錄像編輯類場景，不應超出

與收集時所聲稱的處理目的具有直接或合理關聯(lián)的范圍；

c)不應采取隱蔽手段直接從錄像信息中提取，或者，通過數(shù)據(jù)挖掘、分析歸納等方式獲得表征個

人信息主體身份的個人信息；

d)對于錄像內(nèi)容中包含的每個個人信息主體的信息，不宜進行針對個人的分析。法律法規(guī)另有規(guī)

定或獲得個人信息主體同意的除外。

注：上述針對個人的分析，不包括7.2g)所述典型場景下APP提供的按錄像內(nèi)容中人臉信息進行分類或聚類展示功

能，可以理解為通過錄像信息分析獲得與實現(xiàn)業(yè)務功能無關的用戶畫像的活動，例如，APP根據(jù)個人信息主體

上傳到云盤進行備份的錄像信息分析其中其他個人信息主體的行為習慣、興趣愛好、相互之間的關系等。

8.6傳輸階段

對個人信息處理者傳輸錄像信息的要求包括：

a)不應非法傳輸其處理的錄像信息；

b)涉及傳輸錄像信息的，應僅傳輸實現(xiàn)業(yè)務功能所必需的錄像信息；

c)對于如7.2a)所述的主動上傳類、e)所述的云盤備份類等場景，可設置自動傳輸控制開關，且

默認不打開；

d)需要傳輸錄像信息的，應采用滿足數(shù)據(jù)傳輸安全策略相應的安全控制措施，如采用安全傳輸通

道或加密后傳輸?shù)龋?/p>

e)應具備對傳輸?shù)匿浵裥畔⑦M行完整性校驗的能力。

8.7提供階段

對個人信息處理者提供錄像信息的要求包括：

a)除依據(jù)法律法規(guī)規(guī)定、為了維護相關方重大合法權利且對錄像信息進行去標識化處理、取得個

人信息主體單獨同意或者履行用戶作為一方當事人的合同所必需外，不應提供錄像信息；

b)涉及向其他個人信息處理者提供錄像信息的，應僅提供實現(xiàn)業(yè)務功能所必需的錄像信息；

c)涉及向其他個人信息處理者提供錄像信息的，若錄像信息中包含人臉等敏感個人信息，宜按照

前面8.4c)所述技術措施對錄像信息進行處理。

8.8公開階段

對個人信息處理者公開錄像信息的要求包括：

a)不應公開其處理的錄像信息，基于個人信息主體單獨同意、履行用戶作為一方當事人的合同所

必需或者法律法規(guī)規(guī)定的除外；

b)APP提供的功能可能導致錄像信息被公開的，宜對個人信息主體進行使用提醒，宜為個人信息

主體提供自由設置公開范圍的能力；

注1：上述使用提醒包括但不限于：提醒個人信息主體謹慎使用該功能或者該功能可能造成錄像信息的公開以及公

開范圍大小等，還可提醒個人信息主體公開錄像信息的原因、采取的模糊化等安全措施等。

注2：如針對7.2a)所述的主動上傳類場景，可為個人信息主體提供設置公開范圍的選項，允許其在上傳錄像信息

前對待上傳錄像信息的公開范圍進行設置，例如，包括僅自己可見、對選擇的特定范圍可見、對使用該APP

所有好友可見、對使用該APP的所有用戶可見等選項。如針對7.2b)所述的視頻通訊類場景，允許個人信息主

體主動選擇一個或多個待通訊對象，即可視為提供了自由設置公開范圍的能力。

c)涉及公開錄像信息的，若錄像信息中包含個人信息主體的人臉信息等敏感個人信息，宜按照前

面8.4c)所述技術措施對錄像信息進行處理。

7

T/TAF077.8—2022

8.9刪除階段

對個人信息處理者刪除錄像信息的要求包括：

a)有下列情形之一的，應主動刪除或匿名化處理錄像信息；未及時刪除的，應在個人信息主體請

求刪除后及時刪除或匿名化處理：

處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；

個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；

個人信息主體撤回同意；

個人信息處理者違反法律、行政法規(guī)或違法約定處理錄像信息；

法律、行政法規(guī)規(guī)定的其他情形。

b)如個人信息主體在使用服務過程中產(chǎn)生的糾紛尚未解決完畢，可以適當延長錄像信息的保存期

限，在糾紛處理完畢且滿足約定存儲期限后刪除或匿名化處理錄像信息。

9評估方法

9.1概述

APP收集使用錄像信息的最小必要評估應遵循T/TAF077.1中的評估流程和方法。

本文件中，評估對象可為APP或APP中某項功能，評估內(nèi)容為評估對象的告知同意符合性以及評估對

象在收集、存儲、使用、加工、傳輸、提供、公開和刪除等階段對錄像信息處理的最小必要符合性。

本文件中，評估方可采用功能驗證、技術檢測、文檔審查、人員訪談等方式實施評估過程。

9.2告知同意評估

測試編號：9.2.1

測試項目：處理錄像信息的告知同意

測試要求：見本文件8.1a)、b)、g)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)運行APP，通過功能驗證方式檢查APP在收集錄像信息前是否以彈框等形式向用戶告知其

對錄像信息的處理規(guī)則，包括處理目的、處理方式、保存期限等；

b)通過人員訪談等方式確認是基于個人信息主體同意處理個人信息的情形，檢查在功能驗

證中是否有針對步驟1）的確認要求；并檢查APP在對錄像信息的處理目的、處理方式、

保存期限等發(fā)生變更時是否要求重新取得同意；

c)通過功能驗證方式檢查APP在告知用戶并征求同意過程中是否不存在欺騙或誤導用戶同

意的行為，通過技術檢測、功能驗證方式檢查APP收集的錄像信息是否均為經(jīng)過用戶同

意后才進行的。

預期結(jié)果：若以上步驟a)-c)測試結(jié)果均為肯定，則該項評估結(jié)論為符合要求，否則為不符合。

測試編號：9.2.2

測試項目：收集錄像信息時涉及權限的告知同意

測試要求：見本文件8.1c)-f)

預置條件：

a)被評估APP處于正常狀態(tài)；

b)被評估APP所在移動智能終端支持收集錄像信息相關權限（如相機、麥克風、位置、存

8

T/TAF077.8—2022

儲等權限），且被評估APP需要向用戶申請權限。

測試步驟：

a)運行APP，通過功能驗證方式檢查APP在收集錄像信息前是否向用戶申請相關權限；

b)通過功能驗證檢查用戶確認拒絕授予相應權限后，APP是否能夠正常提供其他服務，錄

像信息作為服務的最小必要信息的除外；

c)通過功能驗證檢查用戶確認拒絕授予相應權限后，APP是否在48小時以內(nèi)重新申請該權

限不超過1次，用戶主動開啟相關功能或主動授予權限的除外；

d)通過功能驗證或人員訪談檢查用戶確認拒絕授予相應權限后，APP是否不存在擅自修改

為同意授予的行為；若因?qū)崿F(xiàn)業(yè)務功能（如用戶拒絕授權后，在48小時以內(nèi)再次主動打

開相關功能）需要重新獲取權限的，檢查APP是否按步驟a)重新向用戶申請。

預期結(jié)果：若以上步驟a)-d)測試結(jié)果均為肯定，則該項評估結(jié)論為符合要求，否則為不符合。

9.3收集階段評估

測試編號：9.3.1

測試項目：收集錄像信息的最小化

測試要求：見本文件8.2.1

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)運行APP，通過文檔審查方式檢查APP的個人信息處理規(guī)則聲明的收集目的是否不是僅以

改善服務質(zhì)量、提升使用體驗、研發(fā)新產(chǎn)品等為由要求用戶同意其收集行為，并結(jié)合功

能驗證方式檢查所聲明的收集目的與其實際功能對應的應用場景是否一致；

b)針對7.2所述每種典型場景的APP，通過功能驗證、技術檢測方式檢查APP收集錄像信息

的方式、范圍和頻率是否符合表1所述要求。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果均為肯定，則該項評估結(jié)論為符合要求，否則為不符合。

測試編號：9.3.2

測試項目：收集錄像信息的權限申請最小化

測試要求：見本文件8.2.2

預置條件：

a)被評估APP處于正常狀態(tài)；

b)被評估APP所在移動智能終端支持收集錄像信息相關權限（如相機、麥克風、位置、存

儲等權限），且被評估APP需要向用戶申請權限。

測試步驟：

針對7.2所述每種典型場景的APP，通過技術檢測、功能驗證方式檢查APP在收集錄像信息之

前，是否已經(jīng)按表2所述原則向用戶申請相關權限并獲得用戶授權。

預期結(jié)果：若以上步驟的測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

9.4存儲階段評估

測試編號：9.4.1

測試項目：錄像信息的存儲位置最小化

9

T/TAF077.8—2022

測試要求：見本文件8.3a)、f)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)針對7.2所述每種典型場景的APP，通過功能驗證檢查APP在完成業(yè)務功能后是否按匹配

其場景類型的最小化原則將錄像信息存儲在云端還是本地，例如，在移動智能終端聯(lián)網(wǎng)

開關打開或關閉時，檢查APP內(nèi)是否存在或能否打開錄像信息。對于7.2a)、b)、d)-f)

所述場景下的APP應在未聯(lián)網(wǎng)時不存在或無法打開錄像信息，在聯(lián)網(wǎng)時則存在且能打開

錄像信息；對于7.2c)、g)所述場景下的APP，未聯(lián)網(wǎng)時的驗證效果應相反，并檢查未

聯(lián)網(wǎng)時其相應功能能否正常使用；

b)通過功能驗證方式確認涉及云端自動備份錄像信息功能的APP，如7.2a)所述的主動上

傳類、7.2e)所述的云盤備份類，再檢查APP是否提供自動備份功能開關；對于提供該

開關的，再檢查開關是否為默認關閉。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.4.2

測試項目：錄像信息的存儲時間最小化

測試要求：見本文件8.3b)、c)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式檢查個人信息處理者是否設立有個人信息保存期限相關管

理制度，是否明確要求保存期限為實現(xiàn)業(yè)務功能所需最短時限或約定的固定時限，法律

法規(guī)另有規(guī)定的除外；

b)通過文檔審查、人員訪談方式檢查APP服務器是否存在針對超期數(shù)據(jù)的甄別機制；

c)通過文檔審查、人員訪談方式檢查對于超期未處理（如刪除或匿名化）的錄像信息，是

否能提供法律法規(guī)的另行規(guī)定或者涉及糾紛的處理記錄等證明材料。

預期結(jié)果：若以上步驟a)-c)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.4.3

測試項目：錄像信息的訪問最小化

測試要求：見本文件8.3d)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

通過功能驗證方式檢查APP是否存在針對存儲在云端的錄像信息的訪問控制機制，例如，是

否要求用戶進行身份驗證（如輸入登錄賬號和密碼等）。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.4.4

測試項目：錄像信息的訪問最小化（保密性）

測試要求：見本文件8.3e)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式確認APP在云端存儲錄像信息的，再檢查個人信息處理者

10

T/TAF077.8—2022

是否設立有加密機制；

b)對于設立有加密機制的情況，通過技術檢測等方式檢查云端是否以密文形式存儲錄像信

息。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

9.5使用階段評估

測試編號：9.5.1

測試項目：錄像信息的使用目的范圍最小化

測試要求：見本文件8.4a)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式檢查個人信息處理者的個人信息相關管理制度中是否明確

要求超出征求同意范圍使用錄像信息的，應按9.2.1測試步驟b)方式重新取得同意；

b)通過文檔審查、人員訪談方式檢查APP服務器是否存在針對超出征求同意范圍使用個人

信息的重新取得同意機制；

c)通過文檔審查方式檢查個人信息處理者存在超出征求同意范圍使用錄像信息的歷史行

為的，檢查是否存在重新取得同意的記錄。

預期結(jié)果：若以上步驟a)-c)測試結(jié)果均為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.5.2

測試項目：錄像信息的訪問最小化

測試要求：見本文件8.4b)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審核、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否包含訪問

控制策略及相應的審批流程，且該策略是否按最小授權原則對各職責角色僅能訪問的數(shù)

據(jù)類型進行規(guī)定；

b)通過文檔審查、人員訪談方式檢查個人信息處理者是否對每次訪問進行有效記錄，如訪

問時間、訪問數(shù)據(jù)范圍、訪問操作類型、訪問人員或所使用賬號等。

預期結(jié)果：若以上步驟a)-b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.5.3

測試項目：錄像信息的展示最小化

測試要求：見本文件8.4c)、d)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)針對7.2所述每種場景下的APP，通過功能驗證方式檢查APP是否按8.4表2所述原則進行

相應展示；

b)APP涉及基于錄像信息進行個性化展示的，通過功能驗證方式檢查APP是否遵循GB/T

35273-20207.5章節(jié)所述要求，例如：能顯著區(qū)分個性化展示和非個性化展示的內(nèi)容；

向用戶提供不針對其個人特征的選項，以及在用戶選擇退出或關閉個性化展示功能后提

11

T/TAF077.8—2022

供刪除或匿名化該個性化展示功能所基于的錄像信息的選項。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.5.4

測試項目：錄像信息的再利用限制

測試要求：見本文件8.4e)、f)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求

利用所收集的錄像信息進行自動化決策的，應事前進行個人信息保護影響評估，包括處

理目的、處理方式等是否合法、正當、必要，對個人權益的影響及安全風險，所采取的

保護措施是否合法、有效并與風險程度相適應等；

b)通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求

將所收集的錄像信息與其他個人信息進行匯聚融合后用于其他目的的，應按步驟a)方式

在事前進行個人信息保護影響評估，并采取有效的個人信息保護措施。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

9.6加工階段評估

測試編號：9.6.1

測試項目：錄像信息的加工最小化（目的范圍限制）

測試要求：見本文件8.5a)、b)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求不

能非法加工其處理的錄像信息，是否明確要求不能超出征求同意范圍的加工錄像信息。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.6.2

測試項目：錄像信息的加工最小化（再利用限制）

測試要求：見本文件8.5c)、b)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求不

能采取隱蔽手段直接從錄像信息中提取，或者，通過數(shù)據(jù)挖掘、分析歸納等方式獲得表征個人

信息主體身份的個人信息。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.6.3

測試項目：錄像信息的加工最小化（再利用限制）

測試要求：見本文件8.5d)

預置條件：被評估APP處于正常狀態(tài)

12

T/TAF077.8—2022

測試步驟：

通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求不

能對錄像內(nèi)容中包含的每個個人信息主體的信息進行針對個人的分析，法律法規(guī)另有規(guī)定或獲

得個人信息主體同意的除外。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

9.7傳輸階段評估

測試編號：9.7.1

測試項目：錄像信息的傳輸最小化

測試要求：見本文件8.6a)、b)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求

不能非法傳輸其處理的錄像信息；

b)通過功能驗證、技術檢測方式檢查APP是否僅傳輸實現(xiàn)業(yè)務功能所必需的錄像信息，例

如，結(jié)合7.2所述每種場景下的APP，涉及用戶主動選擇錄像信息的，檢查APP是否僅上

傳或處理了用戶所選擇的錄像信息。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.7.2

測試項目：錄像信息的自動傳輸控制

測試要求：見本文件8.6c)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

通過功能驗證方式確認APP提供自動傳輸控制開關的，如7.2a)所述的主動上傳類、e)所述

的云盤備份類等場景下的APP，再檢查該開關是否默認關閉。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.7.3

測試項目：錄像信息的傳輸保密性和完整性

測試要求：見本文件8.6d)、e)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式檢查APP是否存在加密傳輸?shù)劝踩刂拼胧?/p>

b)通過技術檢測檢查APP是否以密文方式傳輸錄像信息，例如，通過抓包方式獲取APP傳輸

的數(shù)據(jù)包并檢查其內(nèi)容是明文還是密文；

c)通過文檔審查、人員訪談方式檢查APP服務器或客戶端是否存在對所接收錄像信息的完

整性校驗機制。

預期結(jié)果：若以上步驟a)-c)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

13

T/TAF077.8—2022

9.8提供階段評估

測試編號：9.8.1

測試項目：錄像信息的提供最小化

測試要求：見本文件8.7a)、b)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

a)通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求

除依據(jù)法律法規(guī)規(guī)定、為了維護相關方重大合法權利且對錄像信息進行去標識化處理、

取得個人信息主體單獨同意或者履行用戶作為一方當事人的合同所必需外，APP不應提

供錄像信息；

b)通過文檔審查、人員訪談方式確認涉及向其他個人信息處理者提供錄像信息的，再檢查

個人信息處理者是否僅提供實現(xiàn)業(yè)務功能所必需的錄像信息，例如，審查個人信息處理

者與其他個人信息處理者簽署的合同中是否明確所提供的個人信息類型、數(shù)量等。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.8.2

測試項目：錄像信息的提供最小化

測試要求：見本文件8.7c)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

通過文檔審查、人員訪談方式確認涉及向其他個人信息處理者提供錄像信息的，再檢查個

人信息處理者是否對包含人臉等敏感個人信息的錄像信息按8.4c)所述模糊化處理技術措施進

行局部模糊處理，例如，審查個人信息處理者與其他個人信息處理者簽署的合同中是否明確對

錄像信息中包含的敏感個人信息的處理措施等。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

9.9公開階段評估

測試編號：9.9.1

測試項目：錄像信息的公開限制

測試要求：見本文件8.8a)

預置條件：被評估APP處于正常狀態(tài)

測試步驟：

通過文檔審查、人員訪談方式檢查個人信息處理者設立的相關管理制度中是否明確要求除

依據(jù)法律法規(guī)規(guī)定、基于個人信息主體單獨同意或者履行用戶作為一方當事人的合同所必需外，

APP不應公開其處理的錄像信息。

預期結(jié)果：若以上步驟測試結(jié)果為肯定，則該項評估結(jié)論為符合要求，否則不符合。

測試編號：9.9.2

測試項目：公開錄像信息的可知可控

測試要求：見本文件8.8b)

預置條件：被評估APP處于正常狀態(tài)

14

T/TAF077.8—2022

測試步驟：

a)通過功能驗證方式確認APP在用戶所用功能涉及公開錄像信息的，例如7.2a)所述主動

上傳類場景下的APP，再檢查APP是否進行使用提醒，以便用戶理解該功能可能造成錄像

信息的公開及公開范圍大小、公開原因、采取的模糊化等安全措施等；

b)通過功能驗證方式檢查APP是否提供方便用戶自由設置公開范圍的能力，例如，用戶在

APP內(nèi)選擇上傳錄像信息時可選擇僅自己可見、對選擇的特定范圍或好友可見或其他選

項；用戶在使用APP實時錄像功能時選擇一個或多個特定對象即可視為同時做了自由設

置。

預期結(jié)果：若以上步驟a)、b)測試結(jié)果為肯定，則