标准解读

《GB/T 42582-2023 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》是一项国家标准,旨在为移动互联网应用程序(App)在收集、使用、存储、共享及传输个人信息时提供一套系统的安全测评方法。该标准适用于各类移动应用软件开发者、运营者以及第三方测评机构,以确保App处理个人信息过程中的安全性与合规性。

根据此标准,对App进行个人信息安全测评时需关注以下几个方面:

  1. 个人信息收集:评估App是否遵循最小必要原则,即只收集实现其功能所必需的最少信息;同时检查是否有明确告知用户并获得同意的过程。
  2. 权限申请与使用:验证App请求访问设备权限的目的正当性及其合理性,并确认这些权限确实用于所提供服务或功能。
  3. 数据保护措施:考察App采取了哪些加密或其他形式的数据保护手段来保障个人敏感信息的安全。
  4. 隐私政策透明度:审查App提供的隐私声明或政策文件是否清晰易懂地向用户说明了数据收集目的、范围、方式等内容。
  5. 用户权利支持:确定App是否提供了有效机制让使用者能够查询、更正甚至删除自己的个人信息。
  6. 跨境数据流动管理:对于涉及跨国界传输个人信息的应用程序,还需特别注意其遵守相关法律法规情况,包括但不限于中国网络安全法等要求。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2023-05-23 颁布
  • 2023-12-01 实施
©正版授权
GB/T 42582-2023信息安全技术移动互联网应用程序(App)个人信息安全测评规范_第1页
GB/T 42582-2023信息安全技术移动互联网应用程序(App)个人信息安全测评规范_第2页
GB/T 42582-2023信息安全技术移动互联网应用程序(App)个人信息安全测评规范_第3页
GB/T 42582-2023信息安全技术移动互联网应用程序(App)个人信息安全测评规范_第4页
免费预览已结束,剩余76页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T42582—2023

信息安全技术移动互联网应用程序

A个人信息安全测评规范

(pp)

Informationsecuritytechnology—Personalinformationsecuritytestingand

evaluationsecificationinmobileinternetalicationsA

ppp(pp)

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T42582—2023

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

测评流程与方式

5…………………………3

概述

5.1…………………3

测评流程

5.2……………3

测评方式

5.3……………4

测评环境和工具

5.4……………………5

测评实施内容

6……………5

个人信息收集的测评

6.1………………5

个人信息存储的测评

6.2………………18

个人信息使用的测评

6.3………………22

个人信息主体权利的测评

6.4…………30

个人信息的委托处理共享转让公开披露的测评

6.5、、、……………39

个人信息安全事件处置的测评

6.6……………………53

组织个人信息安全管理要求的测评

6.7………………56

结果判定

7…………………67

报告编制

8…………………67

附录资料性运营者基本信息采集表

A()App…………68

附录资料性测评单元编号说明

B()……………………69

附录资料性欺诈诱骗误导方式收集个人信息行为举例

C()App、、…………………70

附录资料性不同场景下收集个人信息的频率参考

D()App………71

附录资料性申请特定类型系统权限或收集特定类型系统信息时的额外告知参考

E()App………72

附录资料性仅针对进行测评时适用的测评单元

F()App…………73

参考文献

……………………75

GB/T42582—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国网络安全审查技术与认证中心公安部第一研

:、、

究所北京信息安全测评中心中国电子科技集团公司第十五研究所国家计算机网络应急技术处理协

、、、

调中心北京百度网讯科技有限公司北京梆梆安全科技有限公司中国信息通信研究院北京指掌易科

、、、、

技有限公司中国人民银行数字货币研究所中国移动通信集团有限公司奇安信网神信息技术北京

、、、()

股份有限公司北京汉华飞天信安科技有限公司北京奇虎科技有限公司陕西省网络与信息安全测评

、、、

中心中国科学院信息工程研究所国家信息技术安全研究中心北京银联金卡科技有限公司北京交通

、、、、

大学西安交通大学中国汽车工程研究院股份有限公司北京抖音信息服务有限公司每日互动股份有

、、、、

限公司启明星辰信息技术集团股份有限公司广东移动通信有限公司深圳市腾讯计算机系统

、、OPPO、

有限公司北京智游网安科技有限公司全知科技杭州有限责任公司江苏通付盾信息安全技术有限

、、()、

公司中科锐眼天津科技有限公司

、()。

本文件主要起草人胡影刘行范博姚相振高超严妍辛建峰韩煜范红李媛刘健董晶晶

:、、、、、、、、、、、、

林星辰王一宇李晓雪王海棠邓婷方宁王丹辉李彪宋玲娓邱勤赵帅彭根姚一楠杨京

、、、、、、、、、、、、、、

杜丹吴冬宇李宇王伟范铭李光平杨骁涵董霖史景李腾徐永太韩云王勰思汪德嘉

、、、、、、、、、、、、、、

赵洪宇

GB/T42582—2023

信息安全技术移动互联网应用程序

A个人信息安全测评规范

(pp)

1范围

本文件规定了依据开展移动互联网应用程序个人信息安全测评的测评流程以

GB/T35273—2020

及对各项安全要求进行测评的方法

本文件适用于指导第三方测评机构对移动互联网应用程序个人信息安全进行测评以及主管监管

,

部门对移动互联网应用程序个人信息安全进行监督管理移动互联网应用程序运营者开展个人信息安

,

全自评时参照执行

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

信息安全技术术语

GB/T25069—2022

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391—2022(App)

3术语和定义

和界定的以及下列术语和定义适用

GB/T25069—2022、GB/T35273—2020GB/T41391—2022

于本文件

31

.

移动互联网应用程序mobileinternetapplicationApp

;

运行在移动智能终端上的应用程序

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论