附全文 | 国标《移动智能终端的App个人信息处理活动管理指南》征求意见
2022年6月13日,信安标委开始对《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》,开始两个月的公开征求意见。
标准编制原则和确定主要内容的论据及解决的主要问题
1、编制原则
本标准的编制原则是:
1)通用性
按照本标准实现的移动智能终端的App个人信息处理活动管理指南,可实现基本技术规格一致,便于用户使用和管理。
2)实用性
根据我国国情、实际运用环境和国家有关政策编制本标准,使其在指导移动智能终端的App个人信息处理活动管理,保障个人信息安全方面具有很强的实用性。
3)安全性与隐私
在本标准中对移动智能终端的App个人信息处理活动的数据安全与隐私做了实施指南,从而确保个人信息处理活动管理过程中的安全性。
4)符合性
符合国家有关法律法规和已有标准规范的相关要求。
2、确定主要内容的依据
标准制定的依据为:
a)标准格式按照 GB/T 1.1—2020 标准要求编写。
b)本标准制定参考以下国家、行业标准:
GB/T 35273—2020 信息安全技术 个人信息安全规范
GB/T 39335—2020 信息安全技术 个人信息安全影响评估指南
GB/T 40660—2021 信息安全技术 生物特征识别信息保护基本要求
3、解决的主要问题
本标准应用在移动终端操作系统在 APP 收集、使用个人信息时提供管理、提示、控制等功能,例如针对敏感个人信息或移动终端敏感能力,提供更强的提醒机制,为用户提供应用软件调用行为记录,针对系统提供的存储能力给出优化的管控机制,避免应用软件生成的信息被其它应用软件获取,针对权限管理,给出优化的授权范围、授权方式,以控制应用软件获得个人信息的内容或频率。
本标准适用于移动终端生产、制造企业在实践中提高个人信息保护能力,本标准将首先在牵头公司中进行应用试点,并逐渐推广到其它终端厂家。
目前,由于相关标准规范缺失,移动智能终端的 App 个人信息处理活动在数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用个人信息的情况普遍存在挑战。
本标准拟提出移动智能终端的 App 个人信息处理活动要求,标准主要框架基于 APP 在移动智能终端的生命周期各节点中用户个人信息风险,给出 APP 各生命周期移动终端的管理措施,具体包括:安装阶段措施、启动阶段措施、运行阶段措施、更新阶段措施、退出、卸载阶段措施,其中 APP 运行涉及到个人信息处理的场景最多,因此此阶段又包括了 APP 使用个人信息提示、APP 调用个人信息行为记录、设备识别码访问控制、敏感数据访问控制、存储空间使用、系统权限能力增强几个方面措施。
以下是《移动智能终端的App个人信息处理活动管理指南》全文
来源:信安标委
END
往期推荐: