《信息安全技术 移动智能终端个人信息保护技术要求》编制说明

一、任务来源

根据国家标准化管理委员会2013年下达的国家标准制修订计划，国家标准《信息安全

技术移动智能终端个人信息保护技术要求》由浙江长天信息技术有限公司负责主办。

二、编制原则

本标准是全新编制的标准，以自主编写的方式完成。标准编制参考本项目组人员早期起

草的GB/Z28828《信息安全技术公共及商用服务信息系统个人信息保护指南》国家标准

和YD/T2407-2013《移动智能终端安全能力技术要求》、YD/T2408-2013《移动智能

终端安全能力测试方法》等行业标准，吸取国际上先进的移动智能终端安全标准的相关理念，

结合我国当前移动智能终端的发展现状，针对当前存在的问题，在进行广泛调研、征求意见

的基础上，完成国家标准《信息安全技术移动智能终端个人信息保护技术要求》的研制。

同时，为使标准能够满足指导移动智能终端安全标准体系的建设，规范移动智能终端相

关设计、开发、测试、评估等工作的科学开展，提高标准的可操作性，在标准制定过程中，

力求做到符合国家的有关政策法规要求、与已颁布实施的相关标准相协调、与移动智能终端

相关的检测要求相适应；并适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。

三、主要工作过程

(一)标准制定的主要工作过程如下：

1)2012年12月，标准编制工作组开始启动，项目组对目前移动智能终端个人信息安

全发展现状进行了调研，并分析了国内外关于移动智能终端个人信息保护技术方案

的编写方法，确定了标准的编制思路。

2)2013年1月，项目组研究了相关参考标准的文章组织结构、表达方法以及移动智

能终端个人信息保护技术的基本结构和特点，初拟了标准文稿的大纲。

3)2013年2月，项目组前往北京中国软件测评中心和中国信息安全测评中心进行交

流，介绍标准的写作思路和写作内容，征求相关专家的意见，以便保证标准文稿的

合理性、正确性和完备性。

4)2013年3月，召开项目组内部会议，中国软件测评中心、中国信息安全测评中心、

成都网安科技发展有限公司等单位的专家共同对草案多次进行商议，修改，形成《信

息安全技术移动智能终端个人信息保护技术要求》标准草案初稿。

5)2013年4月，参加了全国信息安全标准化技术委员会组织的重点项目评审会。

6)2013年5月，多次召开项目组内部工作会议，根据专家意见商讨，完善标准文稿，

形成《信息安全技术移动智能终端个人信息保护技术要求》标准草案。

7)2013年6月，浙江长天信息技术有限公司北京组织召开“移动智能终端个人信息保

护技术要求（标准草案）”现场交流会。中国软件评测中心、中国信息安全测评中

心、全国信息安全标准化委员会、成都网安科技发展有限公司、电信研究院5家单

位参加会议并对草案进行讨论。

8)2013年7月18日提交WG6/CCSATC8WG1会议进行讨论。

9)2013年10月21日提交WG6/CCSATC8WG1会议进行讨论，会上项目组介绍了

上次项目评审会会议意见的处理情况。

1

10)2013年12月19日提交WG6/CCSATC8WG1会议进行讨论。会上项目组介绍了

上次项目评审会会议意见的处理情况。

11)2014年6月30日提交WG6/CCSATC8WG1会议进行讨论。会上项目组介绍了

上次项目评审会会议意见的处理情况。

12)2015年1月22日提交WG6/CCSATC8WG1会议进行讨论。会上项目组介绍了

上次项目评审会会议意见的处理情况。

13)2015年6月25日WG6/CCSATC8WG1&WG2联合会议进行讨论，标准讨论通

过，会议通过WG6/CCSA向全国信息安全标准化技术委员会提交《信息安全技术

移动智能终端个人信息保护技术要求》征求意见稿。

(二)标准征求意见的落实情况如下：

1)发送《征求意见稿》的单位包括工作组专家（评审）、全体工作组成员（投票）；回

函的单位数为全体工作组成员，有建议或意见的单位数共计8个；没有回函的单位数为0

个。

2)共汇集反馈意见22条，其中未采纳的意见0条，其余意见为采纳或部分采纳，具

体参见意见汇总处理表。

四、标准的主要内容及确定内容的依据

(一)本标准的主要内容

《信息安全技术移动智能终端个人信息保护技术要求》规范了全部或部分通过移动智

能终端进行个人信息处理的过程，为移动智能终端中个人信息处理不同阶段的个人信息保护

提供指导。

本标准主要框架如下：

1范围

2规范性

3术语、定义和缩略语

4移动智能终端个人信息的分类

5移动智能终端个人信息保护原则

6移动智能终端个人信息保护技术

参考文献

(一)本标准在确定主要内容时主要基于如下几个方面：

1）移动智能终端个人信息的类别

移动智能终端个人信息主要包含通信信息、日志信息、账户信息、金融支付信息、

传感采集信息、设备信息和文件信息共七大类别，涉及了包括移动智能终端设备系统固

有、用户存储及应用程序生成等各类个人信息数据。

2）移动智能终端个人信息保护的基本原则

2

在对移动智能终端个人信息进行处理时，一般应按GB/Z28828-2012中4.2的要求，

遵循其目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和

责任明确八项原则合理的利用个人信息。

3）移动智能终端个人信息处理的流程

在移动智能终端中，个人信息处理包括四个主要阶段：收集加工转移删除，

对个人信息的保护贯穿于四个阶段中。在四个阶段中分别以告知、许可、流程可控、数

据加解密等手段进行约束移动智能终端系统对个人信息的处理方式，以保障个人信息的

安全。

五、与相关法律法规及国家有关规定、国内相关标准的关系

我国部分法律中涉及相关条款，但尚无相关标准。其他国家的相关法律法规和标准对于

我国移动智能终端个人信息保护现状不适用。本标准在充分吸收借鉴国内外相关标准和研究

报告的基础上，结合移动移动智能终端个人信息的特点提出了移动智能终端个人信息保护技

术要求，防范基于移动智能终端的个人信息窃取事件发生，进而保护用户个人安全以及国家

安全。

六、有关问题的说明

本标准规范了全部或部分通过移动智能终端进行个人信息处理的过程，为移动智能终端

中个人信息处理不同阶段的个人信息保护提供指导。

本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理，其他有关各方

也可参照使用。

七、有关专利的说