ICS35030

CCSL.80

中華人民共和國國家標準

GB/T42582—2023

信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序

A個人信息安全測評規(guī)范

(pp)

Informationsecuritytechnology—Personalinformationsecuritytestingand

evaluationsecificationinmobileinternetalicationsA

ppp(pp)

2023-05-23發(fā)布2023-12-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T42582—2023

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

測評流程與方式

5…………………………3

概述

5.1…………………3

測評流程

5.2……………3

測評方式

5.3……………4

測評環(huán)境和工具

5.4……………………5

測評實施內(nèi)容

6……………5

個人信息收集的測評

6.1………………5

個人信息存儲的測評

6.2………………18

個人信息使用的測評

6.3………………22

個人信息主體權(quán)利的測評

6.4…………30

個人信息的委托處理共享轉(zhuǎn)讓公開披露的測評

6.5、、、……………39

個人信息安全事件處置的測評

6.6……………………53

組織個人信息安全管理要求的測評

6.7………………56

結(jié)果判定

7…………………67

報告編制

8…………………67

附錄資料性運營者基本信息采集表

A()App…………68

附錄資料性測評單元編號說明

B()……………………69

附錄資料性欺詐誘騙誤導方式收集個人信息行為舉例

C()App、、…………………70

附錄資料性不同場景下收集個人信息的頻率參考

D()App………71

附錄資料性申請?zhí)囟愋拖到y(tǒng)權(quán)限或收集特定類型系統(tǒng)信息時的額外告知參考

E()App………72

附錄資料性僅針對進行測評時適用的測評單元

F()App…………73

參考文獻

……………………75

GB/T42582—2023

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術(shù)標準化研究院中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心公安部第一研

:、、

究所北京信息安全測評中心中國電子科技集團公司第十五研究所國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)

、、、

調(diào)中心北京百度網(wǎng)訊科技有限公司北京梆梆安全科技有限公司中國信息通信研究院北京指掌易科

、、、、

技有限公司中國人民銀行數(shù)字貨幣研究所中國移動通信集團有限公司奇安信網(wǎng)神信息技術(shù)北京

、、、()

股份有限公司北京漢華飛天信安科技有限公司北京奇虎科技有限公司陜西省網(wǎng)絡(luò)與信息安全測評

、、、

中心中國科學院信息工程研究所國家信息技術(shù)安全研究中心北京銀聯(lián)金卡科技有限公司北京交通

、、、、

大學西安交通大學中國汽車工程研究院股份有限公司北京抖音信息服務(wù)有限公司每日互動股份有

、、、、

限公司啟明星辰信息技術(shù)集團股份有限公司廣東移動通信有限公司深圳市騰訊計算機系統(tǒng)

、、OPPO、

有限公司北京智游網(wǎng)安科技有限公司全知科技杭州有限責任公司江蘇通付盾信息安全技術(shù)有限

、、()、

公司中科銳眼天津科技有限公司

、()。

本文件主要起草人胡影劉行范博姚相振高超嚴妍辛建峰韓煜范紅李媛劉健董晶晶

:、、、、、、、、、、、、

林星辰王一宇李曉雪王海棠鄧婷方寧王丹輝李彪宋玲娓邱勤趙帥彭根姚一楠楊京

、、、、、、、、、、、、、、

杜丹吳冬宇李宇王偉范銘李光平楊驍涵董霖史景李騰徐永太韓云王勰思汪德嘉

、、、、、、、、、、、、、、

趙洪宇

。

Ⅰ

GB/T42582—2023

信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序

A個人信息安全測評規(guī)范

(pp)

1范圍

本文件規(guī)定了依據(jù)開展移動互聯(lián)網(wǎng)應(yīng)用程序個人信息安全測評的測評流程以

GB/T35273—2020

及對各項安全要求進行測評的方法

。

本文件適用于指導第三方測評機構(gòu)對移動互聯(lián)網(wǎng)應(yīng)用程序個人信息安全進行測評以及主管監(jiān)管

,

部門對移動互聯(lián)網(wǎng)應(yīng)用程序個人信息安全進行監(jiān)督管理移動互聯(lián)網(wǎng)應(yīng)用程序運營者開展個人信息安

,

全自評時參照執(zhí)行

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069—2022

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序收集個人信息基本要求

GB/T41391—2022(App)

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用

GB/T25069—2022、GB/T35273—2020GB/T41391—2022

于本文件

。

31

.

移動互聯(lián)網(wǎng)應(yīng)用程序mobileinternetapplicationApp

;

運行在移動智能終端上的應(yīng)用程序