公众无线局域网接入服务APP业务框架安全与个人信息保护要求.docVIP

TAF-WG4AS0001-V1.0.0

PAGE8

团体标准

T/TAFXXX—XXXX

公众无线局域网接入服务APP业务框架安全与个人信息保护要求

SecuritybusinessframeworkandpersonalinformationprotectionrequirementsforpublicWLANaccessservicemobileapplicationsoftware

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

PAGE7

目??次

TOC\o1-2\h\u前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5安全业务框架 2

6技术要求 2

6.1身份认证 2

6.2数据加密 3

6.3接口安全 3

6.4个人信息保护 3

7管理要求 4

7.1访问控制与审计 4

7.2组织架构 4

7.3机制制度 4

7.4人员管理与考核 4

7.5第三方管理 4

7.6影响评估 4

7.7安全审计 4

7.8保护技术 5

7.9事件应急处置 5

附录A（资料性）Android系统接口 6

附录B（资料性）鸿蒙系统接口 7

参考文献 8

前??言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会（TAF）提出并归口。

本文件起草单位：中国信息通信研究院、南京尚网网络科技有限公司、北京快手科技有限公司、南德认证检测（中国）有限公司。

本文件主要起草人：方斌、陈鑫爱、张作裕、王淞鹤、荣蓉蓉、王渊明、武林娜、王艳红、李可心、杜云、落红卫、周世乐。

公众无线局域网接入服务APP业务框架安全与个人信息保护要求

范围

本文件规定了公众无线局域网接入服务APP安全业务框架，明确了其技术要求与管理要求。

本文件适用于规范基于自身路由器等硬件设备提供公众无线局域网接入服务APP在设计、研发、运营时的安全实践与个人信息保护行为，同时为应用分发平台审核、主管监管部门、第三方评估机构等组织提供参考依据。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

YD/T6221移动应用软件个人信息保护要求和评估方法

YD/T4184移动互联网应用程序（APP）用户权益保护测评规范

T/TAF209移动互联网应用程序（APP）合规开发管理测评规范

T/TAF148电信和互联网个人信息保护保障能力评估规范

术语和定义

下列术语和定义适用于本文件。

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[来源：《中华人民共和国个人信息保护法》第四条]

匿名化anonymization

个人信息经过处理无法识别特定自然人且不能复原的过程。

[来源：《中华人民共和国个人信息保护法》]

用户user

使用产品或服务的个人信息主体。

[来源：GB/T25069-2022，3.733，有修改]

缩略语

下列缩略语适用于本文件。

APP：移动互联网应用程序（mobileapplicationsoftware）

TLS：传输层安全协议（transportlayersecurity）

SSID：服务集标识符（servicesetidentifier）

BSSID：基础服务标识符（basicservicesetidentifier）

安全业务框架

公众无线局域网接入服务APP是指向用户提供公共场所无线局域网基于位置信息发现无线局域网、连接、认证、管理及相关服务的移动互联网应用程序。无线局域网运营者是指公众无线局域网接入服务APP的开发、运营及维护的责任主体，包括机场、车站、商场、酒店等提供公众无线局域网接入服务的实体机构。公众无线局域网接入服务的业务框架图如图1所示。

图1公众无线局域网连接服务APP的业务框架图

用户打开提供公众无线局域网服务的APP，通过定位信息获取当前位置信息的无线局域网，使用6.1.1的认证方式之