GB_T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南.docx

《GB_T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南.docx》由会员分享，可在线阅读，更多相关《GB_T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南.docx（22页珍藏版）》请在优知文库上搜索。

1、OB中华人民共和国国家标准GB/T437392024网络安全技术应用商店的移动互联网应用程序(APP)个人信息处理规范性审核与管理指南Cybersecuritytechnology-AuditandmanagementguideforpersonalinformationprocessingnormativenessofmobileinternetapplicationsinAppstores2024-04-25发布2024-11-01实施国家市场监督管理总局国家标准化管理委员会目次前言II范围12规范性引用文件13术语和定义14缩略语25应用商店中App的审核与管理流程26应用商店中App个

2、人信息处理活动审核36.1 App个人信息处理活动审核规则公示36.2 APP上架申请信息受理36.3 App个人信息处理活动审核验证36.4 审核结果反馈与申诉处理46.5 存量App与版本更新审核57应用商店中APP个人信息安全管理57.1 个人信息处理情况的展示57.2 个人信息安全相关标识57.3 App运营者管理67.4 日常监督与问题处置6附录A（资料性）APP个人信息处理活动审核材料参考模板7附录B（资料性）APP下载页面展示内容示例15附录C（资料性）个人信息安全问题投诉举报渠道示例18参考文献19本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草

3、规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：中国移动通信集团有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京邮电大学、中国网络空间研究院、华为技术有限公司、OPPO广东移动通信有限公司、北京小米移动软件有限公司、北京百度网讯科技有限公司、北京抖音信息服务有限公司、北京快手科技有限公司、北京三快在线科技有限公司、维沃移动通信有限公司、公安部第三研究所、中国网络安全审查技术与认证中心、中国电子科技集团公司第十五研究所、蚂蚁科技集团股份有限公

4、司、长扬科技(北京)股份有限公司、北京时代新威信息技术有限公司、郑州信大捷安信息技术股份有限公司、武汉安天信息技术有限责任公司、北京指掌易科技有限公司。本文件主要起草人：张滨、邱勤、何延哲、廖建新、袁捷、张峰、徐思嘉、杜雪涛、刘胜兰、赵禧、张晨、金涛、胡影、任彦、江为强、于乐、周莹、刘畅、李文琦、白雪、姜伟、薛晨、周晨炜、郝春亮、邵冰、刘昊鑫、窦禹、王义磊、衣强、李实、路晓明、朱雪峰、付艳艳、杨明慧、汪定、钠卿、杜文博、郭建领、懈、王海棠、杨魏函、赵乃萱、戴卓恒、黄厚瑞、张欢、王普、王昕、落红R李超然、祖岩岩、文赵盈洁、贾科、张艳、申永波、鲁青、樊华、张磊、吴月升、徐天妮、易立、刘健、董晶晶、

5、彭晋、林冠辰、白晓媛、赵华、王连强、杨玉忠、俞政臣、于海洋、文峨伦、彭媒余丽娜、柳扬、刘冬、王光涛、彭根、蔡旭、赵峰、马丹、王雅莉、现、桂艳峰、王福海、张志远。网络安全技术应用商店的移动互联网应用程序(APP)个人信息处理规范性审核与管理指南1范围本文件给出了应用商店运营者对移动互联网应用程序(APP)个人信息处理规范性审核与管理指南。本文件适用于指导应用商店运营者开展APP个人信息安全审核与管理，也为监管部门及第三方机构对应用商店运营者审核与管理App个人信息处理活动的能力开展评估提供参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件

6、，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T190112021管理体系审核指南GB/T250692022信息安全技术术语GB/T352732020信息安全技术个人信息安全规范GB/T413912022信息安全技术移动互联网应用程序(APP)收集个人信息基本要求3术语和定义GB/T190112021GB/T250692022、GB/T352732020和GB/T413912022界定的以及下列术语和定义适用于本文件。3.1移动互联网应用程序mobileinternetapplication;APP运行在移动智能终端上向用户提供信息服务

7、的应用程序。注：包括移动智能终端预置、下载安装的应用程序和小程序。来源：GB/T413912022,3.1,有修改3.2移动互联网应用程序运营者mobileinternetplicationoperator移动互联网应用程序的所有者、管理者或提供者。注：简称APP运营者。来源：GB/T413912022,3.23.3应用商店Appstore提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。注：包括应用市场、分发网站、具有分发能力的移动互联网应用程序等。3.4应用商店运营者Appstoreoperator应用商店的所有者、管理者或提供者。3.5审核audit为获得客观证据并对其进行客观

8、的评价，以确定满足准则的程度所进行的系统的、独立的并形成文件的过程。来源：GB/T190112021,3.1,有修改3.6个人信息处理活动personalinformationprocessingactivity个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。3.7AR务类型servicetype移动互联网应用程序提供的业务功能分类。来源：GB/T413912022,3.5,有修改3.8系统敏感权限systemsensitivepermission移动智能终端操作系统向移动互联网应用程序开放的，具有收集个人信息功能的系统权限。注：简称系统权P戚权限。来源：GB/T4139120

9、22,3.10,有修改3.9必要个人信息necessarypersonalInfdnnation保障移动互联网应用程序基本业务功能正常运行所必需的个人信息，缺少该信息移动互联网应用程序即无法实现基本业务功能。来源：GB/T413912022,3.84缩略语下列缩略语适用于本文件。APK:安卓系统软件安装包(AndroidPackage)IMEI:国际移动设备识别码(IntematiOnalMobileEquipmentIdentity)IMSI:国际移动用户识别码(InlernalionalMobileSubscriberIdentity)SDK:软件开发工具包(SOftWareDevelop

10、mentKit)5应用商店中加P的审核与管理流程应用商店运营者审核与管理APP个人信息处理活动主要包括APP进入应用商店前的个人信息处理活动审核和APP进入应用商店后的个人信息安全管理。在APP进入应用商店前，应用商店运营者对申请上架的App(含新申请上架的App、版本更新需重新上架的APP)以及存量APP的个人信息处理活动进行审核，并在APP通过审核后进行上架；在APP进入应用商店后，应用商店运营者对上架APP进行安全管理，并在APP存在用户投诉举报及有关主管、监管部门通报的违法违规处理个人信息问题时督促其进行整改。6应用商店中APP个人信息处理活动审核6.1 APP个人信息处理活动审核规则

11、公示应用商店运营者制定简明、清晰、易于理解的APP个人信息处理活动审核规则并公开发布，保证App运营者和社会公众可便捷获取。6.2 APP上架申请信息受理应用商店运营者在受理APP进入应用商店的申请时，对APP运营者所提交的App相关信息进行审核。对于未完整提交以下信息的，应用商店运营者应拒绝APP上架。a）APP运营者信息，包括APP运营者主体名称、APP运营者联系方式（联系邮箱选填，其他必填）（可参考附录A的A,l）ob）App基本信息，包括名称、包名、版本号、更新日期、服务类型、安装文件（如APK文件）（可参考A.1,服务类型宜参照GB/T413912022的附录A并根据实际情况选择）。

12、注1:当APP服务类型不属于GB/T413912022的附录A给出的常见服务类型时，将实现用户主要使用目的的业务功能划分为APP的基本业务功能，将APP的基本业务功能所对应的服务类型确定为APP的服务类型。O个人信息保护政策（即隐私政策），包括生效日期、全文文本、可查看全文的有效链接，面向不满14周岁的未成年人提供服务的还宜提交单独的未成年人个人信息保护政策（可参考A.1）。注2:应用商店运营者可要求APP运营者勾选是否对未满14周岁的未成年人提供服务，若勾选是，则APP运营者提供相应的未成年人个人信息保护政策，并由应用商店运营者依据其提供的信息进行审核；若勾选否，则ApP运营者无需提供未成年

13、人个人信息保护政策。d）收集的个人信息范围，包括提供的服务类型、收集的个人信息类型（个人信息类型表述可参考A.2）以及通过收集的个人信息所实现的业务功能/使用目的（可参考A.3）oe）申请的系统敏感权限列表，包括申请的系统敏感权限名称、相关业务功能/使用目的、用户可否拒绝授权（如不可拒绝则说明用户拒绝授权的影响）、是否仅本地化使用（可参考A.4）。f）涉及收集个人信息的第三方SDK信息：包括名称、包名、SDK运营者名称、嵌入目的、SDK收集的个人信息类型、SDK使用的系统敏感权限（可参考A.5）。6.3 APP个人信息也活动审核验证6.3.1 屐应用商店运营者对App运营者提交的APP运营者信

14、息、App基本信息以及个人信息处理规则（如个人信息保护政策等）等上架申请信息进行审核，对APP运营者提供的APP运营者信息进行核验，确保主体身份信息真实有效、联系方式畅通，并对APP个人信息处理活动进行验证。对于经审核发现提交信息不完整，或经验证发现个人信息处理活动存在问题的，应拒绝APP上架请求。同时，应用商店运营者宜建立自动化处理能力，以提高审核和验证效率。应用商店运营者因客观条件所限（如自动化审核技术不成熟等）无法在限定时间内完成部分内容审核的，可要求APP运营者提供证明材料并存档，同时结合用户投诉举报情况对存档证明材料进行审核，处置措施参照7.4c）。6.3.2 APP基本信息及个人信

15、息处理规则审核针对APP运营者提交的上架申请信息，应用商店运营者进行审核后APP存在以下情形之一的，视为App未通过审核：a） App基本信息中声明的服务类型与APP实际提供的服务不相符；b） APP隐私政策链接无效、隐私政策未标注生效日期（如仅注明日期的视为生效日期）；c） APP运营者身份信息不真实、联系方式虚假无效；d）未明示收集的个人信息类型，未说明收集的必要性、通过收集的个人信息实现的相关服务或使用目的；e）未明示申请权限所实现的业务功能/使用目的、用户可否拒绝授权（如不可拒绝需说明用户拒绝授权的影响）;0未明示申请系统敏感权限时需同步告知的内容，未提交系统敏感权限申请时的屏幕截图；g）未明示嵌入的涉及收集个人信息的第三方SDK名称、嵌入目的、收集的个人信息类型、使用的系统敏感权限。6. 3.3APP个人信息处理活动验证针对APP运营者的个人信息处理活动，应用商店运营者结合自身技术手段及App运营者提供的证明材料进行验证，验证发现APP存在以下情形之一的，视为APP未通过审核：a）未在App首次运行时通过弹窗等明显方式提示用