ICS33.030
CCSM21
团体标准
软件开发工具包(SDK)用户权益和个人信
息保护技术要求第4部分:支付类
Technicalrequirementsforuserrightsandpersonalinformation
protectionofSoftwareDevelopmentKits(SDK)—
Part4:Paymentcategory
XXXX-XX-XX发布XXXX-XX-XX实施
电信终端产业协会发布
T/TAFXXX-XXXX
软件开发工具包(SDK)用户权益和个人信息保护技术要求-第4部
分:支付类
1范围
本文件规定了支付类SDK的个人信息处理要求、用户权益保护要求和业务功能划分及配置能力提供
要求。
本文件适用于支付类SDK开发运营者规范自身个人信息处理活动,同时也适用于主管部门、第三方
评估机构等对支付类SDK个人信息保护和用户权益保护能力进行监督和评估。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
T/TAF188—2023软件开发工具包(SDK)收集个人信息技术要求
T/TAF189—2023软件开发工具包(SDK)用户权益保障基本要求
3术语和定义
T/TAF188—2023、T/TAF189—2023界定的以及下列术语和定义适用于本文件。
3.1
软件开发工具包开发运营者softwaredevelopmentkitoperator
软件开发工具包的开发者、所有者、管理者或提供者,也包括SDK相关的个人信息处理者。
注:简称SDK开发运营者。
3.2
移动互联网应用程序开发运营者mobileinternetapplicationoperator
移动互联网应用程序的开发者、所有者、管理者或提供者,也包括APP相关的个人信息处理者。
注:简称SDK使用者。
4个人信息处理要求
4.1收集要求
支付类SDK在个人信息收集过程中,除满足T/TAF188—2023、T/TAF189—2023相关要求外,还应
满足以下收集要求:
a)应仅在支付流程被触发时,收集相关个人信息,不应在最终用户未发起或完成支付后收集个人
信息,具有合理场景或者服务所必需的除外;
b)收集个人信息用于保障最终用户的账户和资金安全的,应在最小范围内收集用户个人信息,对
1
T/TAFXXX-XXXX
可能收集的可变更设备唯一标识(如AndroidID、OAID)、不可变更的唯一设备标识(如MAC
地址、IMEI号)、基本设备信息(如设备型号、设备品牌、操作系统信息)、软件安装列表
以及网络信息(IP地址、网络类型、运营商信息、Wi-Fi状态、Wi-Fi参数、Wi-Fi列表)
等,应合理划分必要和可选信息范围;
c)宜在该SDK对应的支付APP中收集用户交易相关信息,为保障最终能在多种业务场景下(如最
终用户未安装该SDK对应的支付APP)顺利完成支付,支付类SDK收集的交易相关信息,包括
内嵌该SDK的APP信息、订单编号、商品名称、商品金额、商品数量、交易时间、订单过期时
间、卖家ID等,应根据实际支付情况、与SDK使用者的协议要求等因素合理确定信息数量;
d)需进行人脸、指纹等生物信息核验身份的,应具有合理的场景;
e)聚合其他第三方支付SDK的,应对第三方SDK个人信息保护能力