附全文 | 国标《移动智能终端的App个人信息处理活动管理指南》征求意见

2022年6月13日,信安标委开始对《信息安全技术 移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》，开始两个月的公开征求意见。

标准编制原则和确定主要内容的论据及解决的主要问题

1、编制原则

本标准的编制原则是：

1）通用性

按照本标准实现的移动智能终端的App个人信息处理活动管理指南，可实现基本技术规格一致，便于用户使用和管理。

2）实用性

根据我国国情、实际运用环境和国家有关政策编制本标准，使其在指导移动智能终端的App个人信息处理活动管理，保障个人信息安全方面具有很强的实用性。

3）安全性与隐私

在本标准中对移动智能终端的App个人信息处理活动的数据安全与隐私做了实施指南，从而确保个人信息处理活动管理过程中的安全性。

4）符合性

符合国家有关法律法规和已有标准规范的相关要求。

2、确定主要内容的依据

标准制定的依据为：

a）标准格式按照 GB/T 1.1—2020 标准要求编写。

b）本标准制定参考以下国家、行业标准：

GB/T 35273—2020 信息安全技术 个人信息安全规范

GB/T 39335—2020 信息安全技术 个人信息安全影响评估指南

GB/T 40660—2021 信息安全技术 生物特征识别信息保护基本要求

3、解决的主要问题

本标准应用在移动终端操作系统在 APP 收集、使用个人信息时提供管理、提示、控制等功能，例如针对敏感个人信息或移动终端敏感能力，提供更强的提醒机制，为用户提供应用软件调用行为记录，针对系统提供的存储能力给出优化的管控机制，避免应用软件生成的信息被其它应用软件获取，针对权限管理，给出优化的授权范围、授权方式，以控制应用软件获得个人信息的内容或频率。

本标准适用于移动终端生产、制造企业在实践中提高个人信息保护能力，本标准将首先在牵头公司中进行应用试点，并逐渐推广到其它终端厂家。

目前，由于相关标准规范缺失，移动智能终端的 App 个人信息处理活动在数据滥采、存储、使用方面没有明确的安全要求，造成安全防护措施薄弱，未经用户明确授权或超范围使用个人信息的情况普遍存在挑战。

本标准拟提出移动智能终端的 App 个人信息处理活动要求，标准主要框架基于 APP 在移动智能终端的生命周期各节点中用户个人信息风险，给出 APP 各生命周期移动终端的管理措施，具体包括：安装阶段措施、启动阶段措施、运行阶段措施、更新阶段措施、退出、卸载阶段措施，其中 APP 运行涉及到个人信息处理的场景最多，因此此阶段又包括了 APP 使用个人信息提示、APP 调用个人信息行为记录、设备识别码访问控制、敏感数据访问控制、存储空间使用、系统权限能力增强几个方面措施。