移动应用分发平台 个人信息保护保障能力评估规范.docx

ICS33.050CCSM30

团体标准

T/TAF149—2023

移动应用分发平台个人信息保护保障能力评估规范

Mobileapplicationdistributionplatform—

Evaluationspecificationofpersonalinformationprotectionand

guaranteeability

2023-02-08发布2023-02-08实施

电信终端产业协会发布

T/TAF149—2023

I

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5个人信息保护保障能力评估概述 2

5.1评估原则 2

6个人信息保护保障能力评估指标 2

6.1保障功能要求 2

6.2保障管理要求 2

7个人信息保护保障能力评估流程 5

7.1总体要求 5

7.2确定评估对象 5

7.3调研评估对象 6

7.4制定评估计划 6

7.5实施评估 6

7.6出具评估结论 6

8个人信息保护保障能力评估方法 6

T/TAF149—2023

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、泰尔认证中心有限公司、OPPO广东移动通信有限公司、北京快手科技有限公司、南昌黑鲨科技有限公司、荣耀终端有限公司、小米通讯技术有限公司、北京奇虎科技有限公司、蚂蚁科技集团股份有限公司、阿里巴巴（中国）有限公司、北京三星通信技术研究有限公司、华为技术有限公司、上海兆言网络科技有限公司、北京抖音信息服务有限公司、广州视源电子科技股份有限公司、联想（北京）有限公司、北京微梦创科网络技术有限公司、北京三快在线科技有限公司、珠海市魅族科技有限公司。

本文件主要起草人：王嘉义、陈鑫爱、魏凡星、姜慧格、傅山、刘陶、王艳红、杜云、杨萌科、王宇晓、贾科、张玮、宁华、常琳、付艳艳、李越、落红卫、王昕、沈彭军、赵之成、赵晓娜、顾泽宇、杜文博、姚一楠、彭晋、林冠辰、黄天宁、吴越、衣强、李实、张海燕、钱雷、杨骁涵、肖洋、李洁、李汝鑫、刘俊、高龙、王天、刘瑾、祖岩岩、沈玲、毕烽。

T/TAF149—2023

III

引言

随着《网络安全法》、《个人信息保护法》的落地和实施，个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一，《个人信息保护法》中明确规定个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。移动应用分发平台成为移动应用下载和使用的主要来源，也是各方关注的焦点，更是保障移动互联网用户合法权益、保障用户个人信息的重点。本标准将落实法律法规的要求，提出移动应用分发平台个人信息保护保障能力评估规范，指导行业进行系统性的保障能力建设、规程建设、技术建设，落实个人信息保护工作。

T/TAF149—2023

1

移动应用分发平台个人信息保护保障能力评估规范

1范围

本文件规定了移动应用分发平台个人信息保护保障能力评估规范，主要包含对个人信息的全生命周期保障能力和安全能力，保障用户合法权益。

本文件适用于第三方评估机构开展评估工作，同时也适用于个人信息处理者进行自评估。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。3.1

移动应用分发平台applicationsoftwaredistributionplatform

是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。3.2

移动应用软件mobileapplication

移动智能终端系统之上安装、运行的，向用户提供服务功能的应用软件，包括集成的SDK等第三方产品或服务，包含快应用、小程序等多种形态。

3.3

移动应用软件开发者mobileapplicationsoftwaredeveloper

移动应用开发者是指为移动应用提供软件开发、应用部署等服务的主体(单位或个人)。3.4

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反