《信息安全技术 移动智能终端的移动互联网应用程序（APP）个人信息处理活动管理指南》.docxVIP

ICS35.030

CCSL80

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术移动智能终端的移动互联网

应用程序(App)个人信息处理活动管理

指南

Informationsecuritytechnology—PersonalinformationprocessingmanagementguideforAppsofsmartmobileterminals

(征求意见稿)

(本稿完成时间：2022年5月26日)

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

I

目次

前言 I

引言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 3

5总则 3

6移动智能终端上的App个人信息处理活动安全风险 3

7移动智能终端管理措施 4

7.1透明化展示个人信息处理活动 4

7.1.1App使用个人信息提示 4

7.1.2App调用个人信息行为记录 4

7.1.3用户个人信息集中展示 5

7.2App个人信息处理行为管理 5

7.2.1唯一设备识别码访问控制 5

7.2.2敏感数据访问提示和控制 5

7.2.3存储空间使用 6

7.2.4App安装风险管理 6

7.2.5App更新风险管理 6

7.2.6App退出/停用及卸载风险管理 6

7.3用户控制App收集个人信息行为 6

7.3.1系统权限能力增强 6

7.3.2App自启动与关联启动管理 7

7.4预置应用软件处理个人信息行为管理 7

附录A(资料性)操作系统权限名称命名及功能描述参考示例 8

附录B(资料性)移动智能终端敏感数据管理参考示例 13

参考文献 14

GB/TXXXXX—XXXX

I

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：华为技术有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京小米移动软件有限公司、荣耀终端有限公司、北京三星通信技术研究有限公司

本文件主要起草人：衣强、何延哲、胡影、刘行、周晨炜、樊华、李腾、张玮、任冠一、赵晓娜、

吴越。

GB/TXXXXX—XXXX

II

引言

随着移动互联网的迅速发展，移动互联网应用程序给人们生活带来便利的同时，越来越多地处理人们的个人信息，但也存在个人信息不合理收集、使用的问题，移动终端作为移动互联网应用程序的载体，通过移动终端及其上操作系统的相应机制可在一定程度上管理个人信息的收集使用，帮助移动互联网应用程序合理的收集使用个人信息。

为保障移动智能终端用户的合法权益，促进个人信息的合理利用，根据《中华人民共和国个人信息保护法》，本文件按照移动互联网应用程序在移动智能终端上的生命周期节点，提出移动智能终端的个人信息安全管理措施，增强App处理个人信息行为明示程度，为App用户提供更多个人信息保护控制机制，以加强移动终端操作系统上运行的移动互联网应用程序的个人信息安全。

GB/TXXXXX—XXXX

1

信息安全技术移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南

1范围

本文件针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南，以增强App收集个人信息行为的明示程度，并为App用户提供更多个人信息保护方面的控制机制。

本文件适用于指导移动智能终端提供者进行系统设计、开发活动，主要适用于智能手机。2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

移动智能终端mobilesmartterminal

接入公众移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。[来源：GB/T34976—2017，3.1]

3.2

移动智能终端操作系统smartmobileterminaloperationsystem