《信息安全技术 移动智能终端个人信息保护技术要求》.docVIP

GA/T××××—2001

GA/T××××—2001

PAGE2

PAGE1

发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局××××-××-××实施××××-××

发布

中国国家标准化管理委员会

中华人民共和国国家质量监督检验检疫总局

××××-××-××实施

××××-××-××发布

信息安全技术移动智能终端个人信息保护技术要求

Informationsecuritytechnology–Technologyrequirementsforpersonalinformationprotectionofsmartmobileterminal

（征求意见稿）

GB/Txxxxx—xxxx

中华人民共和国国家标准

ICS35.040

L80

GB/T××××—××××

GB/T××××—××××

PAGE2

PAGE5

信息安全技术移动智能终端个人信息保护技术要求

范围

本标准规范了全部或部分通过移动智能终端进行个人信息处理的过程，为移动智能终端中个人信息处理不同阶段的个人信息保护提供指导。

本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理，其他有关各方也可参照使用。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/Z28828信息安全技术公共及商用服务信息系统个人信息保护指南

YD/T2407移动智能终端安全能力技术要求

术语、定义和缩略语

术语和定义

下列术语和定义适用于本文件。

移动智能终端smartmobileterminal

能够接入移动通信网，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方应用软件的移动终端。

移动智能终端应用程序smartmobileterminalapplication

安装在移动智能终端设备上，能够利用移动智能终端设备上操作系统提供的开发接口，实现某项或某几项特定任务的计算机程序。

移动智能终端个人信息smartmobileterminalpersonalinformation

可为移动智能终端中操作系统或应用软件所处理、与移动智能终端使用者相关，且能够单独或通过与其他信息相结合，从而识别该移动智能终端使用者的数据信息。

个人信息主体subjectofpersonalinformation

个人信息指向的自然人。

明示同意expressedconsent

个人信息主体明确授权同意，并保留证据。

缩略语

下列缩略语适用于本文件。

API 应用程序编程接口 ApplicationProgrammingInterface

IMEI 国际移动设备身份码 InternationalMobileEquipmentIdentity

UDID 唯一设备识别符 UniqueDeviceIdentifier

移动智能终端个人信息分类

概述

移动智能终端个人信息主要包含通信信息、日志信息、账户信息、金融支付信息、传感采集信息、设备信息和文件信息共七大类别，涉及了包括移动智能终端设备系统固有、用户存储及应用程序生成等各类个人信息数据。

个人信息分类

通信信息是指移动智能终端用户用于发起或接受通信以及在通信过程中所产生的数据信息。包括通讯录、通讯记录、短信、彩信、邮件、即时通信消息等。

日志信息是指移动智能终端使用者通过使用应用程序而记录的与时间相关的事件信息，或由应用程序产生的以时间为检索条件的使用记录或缓存数据。

账户信息是指移动智能终端应用程序在注册或登录时需要填写的信息，以及移动智能终端中各应用程序所存储的个人账号相关信息。

金融支付信息是指移动智能终端用户借助终端参与金融交易或支付活动而产生的数据信息。包括交易验证码、动态口令等。

传感采集信息是指利用移动智能终端传感器设备所采集到的、能反映移动智能终端设备使用者的周边环境和身份特征的数据信息。包括地理位置信息、指纹信息等。

设备信息是指可标识移动智能终端唯一性的数据信息。包括IMEI、UDID等。

文件信息是指存储在移动智能终端设备存储介质中的数据信息。包括照片、音频、视频、文本等各种类型文件数据。

移动智能终端个人信息保护原则

在对移动智能终端个人信息进行处理时，一般应按GB/Z28828-2012中4.2的要求，遵循其目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确八项原则合理的利用个人信息。

移动智能终端个人信息保护技术

概述

在移动智能终端个人信息的处理过程中可分为收集、加工、转移和删除四