《移动智能终端应用软件个人信息安全评价规范》.doc

XX/TXXXXX—XXXX

PAGE20

PAGE145

ICS?FORMTEXT03.120.20

FORMTEXTA00

FORMTEXT?????

RB

中华人民共和国FORMTEXT认证认可行业标准

RB/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT移动智能终端应用软件个人信息安全评价规范

FORMTEXTPersonalinformationsecurityevaluationspecificationforapplicationsoftwareofsmartmobileterminals

FORMTEXT点击此处添加与国际标准一致性程度的标识

FORMDROPDOWN

FORMTEXT（本稿完成日期：2019-10-28）

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

中国国家认证认可监督管理委员会??发布

RB/TXXXXX—XXXX

RB/TXXXXX—XXXX

PAGE22

PAGE23

移动智能终端应用软件个人信息安全评价规范

范围

本标准规定了移动智能终端应用软件在个人信息收集、保存、使用、对外提供、安全事件处理、组织管理六个方面的评价过程、评价要求及评价方法。

本标准适用于第三方检测机构和认证机构对移动智能终端应用软件个人信息安全进行检测、评估和认证，也可在移动智能终端应用软件的设计与实现中参考使用。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T35273信息安全技术个人信息安全规范

术语、定义和缩略语

术语和定义

GB/T35273中界定的以及下列术语和定义适用于本文件。

移动智能终端应用软件applicationsoftwareofsmartmobileterminals

针对移动智能终端开发的应用软件，包括移动智能终端预置的第三方应用软件，以及互联网服务提供者提供的通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件。又称移动互联网应用程序，以下简称App。

注：不包括免下载安装的轻应用、小程序及公众号等。

运营机构operatingorganization

通过App向用户提供信息服务的网络运营者。

注：承担移动智能终端应用软件运营的法律主体。

技术验证technicalverification

专业技术人员采用实验室测试和文档核查等方法进行符合性验证的过程。

技术验证机构technicalverificationorganization

从事技术验证的机构。

认证机构certificationorganization

指具有可靠的执行认证制度的必要能力，并在认证过程中能够客观、公正、独立地从事认证活动的机构。

文档审核documentreview

指认证机构对申请方提交的资料和文档，根据相关要求进行审核。

现场审核on-sitereview

指认证机构在申请方现场，对其提交的资料和文档，根据评价规范进行审核。认证机构通过对申请方进行现场实地考察，验证制度、程序文件和作业指导书等一系列文件的实际执行情况，从而来评价其管理的有效性。

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息。

[GB/T35273,定义3.1]

个人敏感信息personalsensitiveinformation

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

[GB/T35273,定义3.2]

个人信息主体personalinformationsubject

个人信息所标识的自然人。

[GB/T35273,定义3.3]

个人信息控制者personalinformationcontroller

有权决定个人信息处理目的、方式等的组织或个人。

[GB/T35273,定义3.4]

缩略语

下列缩略语适用于本文件。

App Applicationsoftwareofsmartmobileterminals移动智能终端应用软件

SDKSoftwareDevelopmentKit