T∕TAF 081.1-2021 移动智能终端应用软件调用行为记录能力要求 总则

ICS33.050M30团体标准T/TAF081.1-2021移动智能终端应用软件调用行为记录能力要求总则Applicationscallbehaviorrecordcapabilityrequirementsofsmartphone—Generalprinciple2021-01-08发布2021-01-08实施电信终端产业协会发布T/TAF081.1-2021I目次前言................................................................................II引言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语、定义和缩略语.................................................................13.1术语和定义.....................................................................13.2缩略语.........................................................................24移动智能终端应用软件调用行为类型分类...............................................24.1分类概述.......................................................................24.2按总额统计.....................................................................24.3按次统计.......................................................................25移动智能终端应用软件调用行为记录内容要求...........................................25.1按总额统计类型调用行为记录内容要求.............................................25.2按次统计类型调用行为记录内容要求...............................................36移动智能终端应用软件调用行为记录技术能力要求.......................................46.1概述...........................................................................46.2调用行为记录作用范围...........................................................46.3调用行为记录准确性要求.........................................................46.4调用行为记录防篡改要求.........................................................47移动智能终端应用软件调用行为的记录、保存、展示和删除要求...........................47.1记录要求.......................................................................47.2保存要求.......................................................................47.3展示要求.......................................................................47.4删除要求.......................................................................58移动智能终端应用软件调用行为记录的安全等级要求.....................................5附录A（资料性）调用行为记录展示示例..................................................7T/TAF081.1-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、OPPO广东移动通信有限公司、博鼎实华（北京）技术有限公司、华为技术有限公司、维沃移动通信有限公司、高通无线通信技术（中国）有限公司、北京三星通信技术研究有限公司、北京奇虎科技有限公司、微软(中国)有限公司、华硕电脑(上海)有限公司。本文件主要起草人：邹海荣、李腾、宁华、董霁、王江胜、衣强、贾科、詹维骁、吴春雨、姚一楠、赵中杰、刘献伦、梅小虎、游苏英、林志泳、斯加权、陶永。T/TAF081.1-2021III引言移动智能终端设备应用软件的爆发式发展，使得应用软件的功能越发强大，同时为了实现丰富的功能服务，应用软件需要操作系统授予的权限也种类纷繁，其中不乏与用户隐私密切相关的权限。操作系统在授予应用软件权限后，缺乏有效的管控、监督机制，导致部分应用软件在获取权限后可以在用户无感知的情况下调用获取用户隐私数据的功能，即使发生隐私泄露事件，也无有效的记录查证。应用软件的调用行为由于缺乏有效的记录，部分恶意应用的隐私窃取行为愈发猖獗。所以，出于对用户个人信息保护的需要，应用软件调用行为记录能力要求迫切需要出台。这不仅涉及移动智能终端的规范，更是用户个人信息安全的话题。本文件将适用于可安装由第三方开发者开发的应用软件的移动智能终端，为移动智能终端厂商设计应用软件调用行为记录提供依据。T/TAF081.1-20211移动智能终端应用软件调用行为记录能力要求总则1范围本文件规定了应用软件调用行为记录能力的要求，包括：调用行为类型分类、调用行为内容记录要求、调用行为记录技术能力要求、调用行为的记录、保存、展示和删除要求。本文件适用于各种制式的移动智能终端，个别条款不适用于特殊行业、专业应用，其他终端也可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语YD/T2407移动智能终端安全能力技术要求3术语、定义和缩略语3.1术语和定义YD/T2407界定的以及下列术语和定义适用于本文件。3.1.1移动智能终端smartmobileterminal能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。3.1.2用户user使用移动智能终端资源的对象，包括人或第三方应用软件。3.1.3移动智能终端操作系统operatingsystemofsmartmobileterminal运行在移动智能终端上的系统软件，控制、管理移动智能终端上的硬件和软件，提供用户操作界面、应用软件编程接口和其他系统服务的应用软件。T/TAF081.1-202123.1.4移动智能终端应用软件smartmobileterminalapplication移动智能终端内，能够利用移动智能终端操作系统提供的开发接口，实现某项或某几项特定任务的计算机软件或者代码片段。包含移动智能终端预置应用软件，以及互联网信息服务提供者提供的可以通过网站、应用商店等移动应用分发平台下载、安装、升级的应用软件。3.1.5移动智能终端预置应用软件smartmobileterminalpreloadedapplication移动智能终端内，在主屏幕和辅助屏界面（不包含进入界面后，通过菜单进入或者调起的功能）有用户交互入口并且可独立使用的移动智能终端应用软件。3.2缩略语下列缩略语适用于本文件。APP应用软件Application4移动智能终端应用软件调用行为类型分类4.1分类概述移动智能终端应用软件调用行为根据行为产生的结果类型不同，可分为：按总额统计、按次统计。移动智能终端操作系统根据调用行为类型的差异使用不同的记录方式。4.2按总额统计按总额统计指应用软件的调用行为在一定时间周期内所产生的累计数据。例如，应用软件调用移动通信网络产生的流量数据属于按总额统计。4.3按次统计按次统计指应用软件的调用行为在单位时间周期内所产生的单次数据。例如，应用软件最近一次调用位置信息属于按次统计记录。5移动智能终端应用软件调用行为记录内容要求5.1按总额统计类型调用行为记录内容要求按总额统计类型记录的内容至少应包含：应用软件名称、调用行为名称、总额数据。总额数据可持续累计或周期性累计（如每7天、每自然月等）。按总额统计调用行为记录精度要求如下表1：表1按总额统计调用行为记录精度要求调用行为名称记录精度调用移动通信网络1Byte上/下行流量T/TAF081.1-20213注：表格中未列举的调用行为可自行设计记录精度。5.2按次统计类型调用行为记录内容要求按次统计类型记录的内容至少应包含：应用软件名称、调用行为名称、调用行为起始时间，时间精度至少为分钟。可增加调用结果记录：已允许/已禁止、调用时应用软件所处前后台等信息。按次统计类型的调用行为记录精度要求如下表2所示：表2按次统计调用行为记录精度要求调用行为名称记录精度获取定位每次调用进行通话录音每次调用本地录音每次调用后台截屏/录屏每次调用拍照/摄像每次调用读取媒体影音数据（如照片、视频和音频）每次调用读取生物特征数据（如指纹识别、人脸识别等）每次调用读取设备唯一可识别信息每次调用发送短信每次调用拨打电话每次调用发起三方通话每次调用接收短信每次调用发送彩信每次调用读取电话本每次调用读取通话记录每次调用写删短信每次调用写删彩信每次调用写删电话本每次调用写删通话记录每次调用写删日程表每次调用读取日程表每次调用读取上网记录每次调用读取短信每次调用读取彩信每次调用注1：上网记录数据包括浏览记录及书签。注2：日程表及上网记录数据的操作要求仅针对有标准API或有其他通用调用方式的情况，第三方应用软件的私有数据如无法访问则不做要求。注3：本文件生物特征识别信息（如指纹识别、人脸识别等）指对处于任何处理阶段的生物特征样本、生物特征参考、生物特征项或生物特征的通称。注4：本文件设备唯一标识信息主要指不可重置的设备标识符，如IMEI、MAC（WLAN的不可修改的物理地址）。注5：读取媒体影音数据（如照片、视频和音频）仅记录通过通用接口（媒体库方式）访问的行为，文件系统方式访问的行为不做强制要求。注6：表格中未列举的调用行为可自行设计记录精度。T/TAF081.1-202146移动智能终端应用软件调用行为记录技术能力要求6.1概述移动智能终端应用软件的调用行为记录作为其在移动智能终端表现的完整反馈，对操作系统技术能力提出了一定要求，以保证调用行为记录的完整性、真实性、有效性。6.2调用行为记录作用范围移动智能