2026年移动数据安全技术标准.docxVIP

2026年移动数据安全技术标准

1范围

本标准规定了移动数据在采集、传输、存储、使用、共享、销毁等全生命周期的安全技术要求，涵盖移动终端、移动应用、移动网络、数据管理平台等关键环节的安全防护、检测评估及应急处置要求。

本标准适用于在中国境内开展移动数据相关活动的个人、企业、事业单位及其他组织，包括移动应用开发者、移动网络运营者、数据处理者、数据使用者等。

本标准不适用于涉及国家秘密的移动数据安全管理，涉及国家秘密的移动数据安全应遵循国家相关保密法律法规及标准的规定。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件，仅注日期的版本适用于本文件；凡是未注日期的引用文件，其最新版本（包括所有修改单）适用于本文件。

GB/T35273-2020信息安全技术个人信息安全规范

GB/T38647-2020信息安全技术移动智能终端安全技术要求和测试方法

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GB/T41479-2022信息安全技术移动应用安全测评规范

GB/T42490-2023信息安全技术数据分类分级指南

GB/T42955-2023信息安全技术个人信息去标识化指南

GB/T43000-2024信息安全技术数据安全风险评估方法

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

3术语和定义

下列术语和定义适用于本标准。

3.1移动数据mobiledata

通过移动终端、移动应用、移动网络产生、采集、传输、存储和处理的数据，包括个人信息、业务数据、公共数据等各类数据形态。

3.2移动终端mobileterminal

具备无线通信功能，可实现移动数据采集、传输和交互的智能设备，包括智能手机、平板电脑、智能穿戴设备、车载智能终端等。

3.3移动应用mobileapplication

运行于移动终端之上，用于实现特定业务功能并涉及移动数据处理的应用程序，包括原生应用、混合应用、小程序等。

3.4移动网络mobilenetwork

支持移动终端无线接入和数据传输的网络，包括蜂窝移动通信网络（2G/3G/4G/5G）、无线局域网（Wi-Fi）、蓝牙网络等。

3.5数据全生命周期datafulllifecycle

移动数据从产生、采集、传输、存储、使用、共享、归档到销毁的完整过程。

3.6数据加密dataencryption

通过密码技术对移动数据进行处理，使未授权主体无法获取数据原始内容的安全防护措施。

3.7去标识化de-identification

通过对移动数据中的个人标识信息进行处理，使其无法直接或者间接识别特定自然人的过程。

3.8数据脱敏datadesensitization

对移动数据中敏感信息进行替换、屏蔽、截断等处理，降低数据泄露风险的安全技术手段。

4基本要求

4.1安全原则

4.1.1合法合规原则：移动数据处理活动应严格遵守《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规，确保数据处理行为合法、正当、必要。

4.1.2分级防护原则：应根据移动数据的重要程度、敏感级别及泄露风险，实施差异化的安全防护措施，重点保障核心数据和敏感个人信息的安全。

4.1.3全生命周期防护原则：针对移动数据全生命周期各环节的安全风险，建立覆盖采集、传输、存储、使用、共享、销毁等全过程的安全防护体系。

4.1.4风险可控原则：应定期开展移动数据安全风险评估，及时发现并处置安全隐患，确保数据安全风险处于可接受范围。

4.2责任要求

4.2.1数据处理者是移动数据安全的责任主体，应建立健全数据安全管理制度，明确各岗位的安全职责，落实数据安全防护措施。

4.2.2移动应用开发者应承担移动应用开发阶段的安全责任，确保应用具备完善的安全功能，避免因设计缺陷或开发漏洞导致数据安全风险。

4.2.3移动网络运营者应保障移动网络传输的安全性和可靠性，采取技术措施防范网络攻击、数据窃听等安全风险。

4.3技术选型要求

4.3.1移动数据安全防护技术应选用经过国家相关部门认证的成熟可靠产品和方案，密码技术应符合GB/T39786-2021的规定。

4.3.2安全技术应具备可扩展性和兼容性，能够适应移动终端、移动应用及移动网络的技术发展趋势，满足不同场景下的安全防护需求。

5数据全生命周期安全要求

5.1数据采集安全

5.1.1数据采集应遵循“最小必要”原则，仅采集实现业务功能所必需的移动数据，不得超出业务范围采集无关数据。

5.1.2采集个人信息时，应明确告知用户采集的目的、范围、方式及使用期限，获得用户的明示同意，不得强制或变相强制用户授权。