GB/T 42582-2023信息安全技术移动互联网应用程序(App)个人信息安全测评规范

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T42582—2023

信息安全技术移动互联网应用程序

A个人信息安全测评规范

(pp)

Informationsecuritytechnology—Personalinformationsecuritytestingand

evaluationsecificationinmobileinternetalicationsA

ppp(pp)

2023-05-23发布2023-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T42582—2023

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

测评流程与方式

5…………………………3

概述

5.1…………………3

测评流程

5.2……………3

测评方式

5.3……………4

测评环境和工具

5.4……………………5

测评实施内容

6……………5

个人信息收集的测评

6.1………………5

个人信息存储的测评

6.2………………18

个人信息使用的测评

6.3………………22

个人信息主体权利的测评

6.4…………30

个人信息的委托处理共享转让公开披露的测评

6.5、、、……………39

个人信息安全事件处置的测评

6.6……………………53

组织个人信息安全管理要求的测评

6.7………………56

结果判定

7…………………67

报告编制

8…………………67

附录资料性运营者基本信息采集表

A()App…………68

附录资料性测评单元编号说明

B()……………………69

附录资料性欺诈诱骗误导方式收集个人信息行为举例

C()App、、…………………70

附录资料性不同场景下收集个人信息的频率参考

D()App………71

附录资料性申请特定类型系统权限或收集特定类型系统信息时的额外告知参考

E()App………72

附录资料性仅针对进行测评时适用的测评单元

F()App…………73

参考文献

……………………75

GB/T42582—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国网络安全审查技术与认证中心公安部第一研

:、、

究所北京信息安全测评中心中国电子科技集团公司第十五研究所国家计算机网络应急技术处理协

、、、

调中心北京百度网讯科技有限公司北京梆梆安全科技有限公司中国信息通信研究院北京指掌易科

、、、、

技有限公司中国人民银行数字货币研究所中国移动通信集团有限公司奇安信网神信息技术北京

、、、()

股份有限公司北京汉华飞天信安科技有限公司北京奇虎科技有限公司陕西省网络与信息安全测评

、、、

中心中国科学院信息工程研究所国家信息技术安全研究中心北京银联金卡科技有限公司北京交通

、、、、

大学西安交通大学中国汽车工程研究院股份有限公司北京抖音信息服务有限公司每日互动股份有

、、、、

限公司启明星辰信息技术集团股份有限公司广东移动通信有限公司深圳市腾讯计算机系统

、、OPPO、

有限公司北京智游网安科技有限公司全知科技杭州有限责任公司江苏通付盾信息安全技术有限

、、()、

公司中科锐眼天津科技有限公司

、()。

本文件主要起草人胡影刘行范博姚相振高超严妍辛建峰韩煜范红李媛刘健董晶晶

:、、、、、、、、、、、、

林星辰王一宇李晓雪王海棠邓婷方宁王丹辉李彪宋玲娓邱勤赵帅彭根姚一楠杨京

、、、、、、、、、、、、、、

杜丹吴冬宇李宇王伟范铭李光平杨骁涵董霖史景李腾徐永太韩云王勰思汪德嘉

、、、、、、、、、、、、、、

赵洪宇

。

Ⅰ

GB/T42582—2023

信息安全技术移动互联网应用程序

A个人信息安全测评规范

(pp)

1范围

本文件规定了依据开展移动互联网应用程序个人信息安全测评的测评流程以

GB/T35273—2020

及对各项安全要求进行测评的方法

。

本文件适用于指导第三方测评机构对移动互联网应用程序个人信息安全进行测评以及主管监管

,

部门对移动互联网应用程序个人信息安全进行监督管理移动互联网应用程序运营者开展个人信息安

,

全自评时参照执行

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391—2022(App)

3术语和定义

和界定的以及下列术语和定义适用

GB/T25069—2022、GB/T35273—2020GB/T41391—2022

于本文件

。

31

.

移动互联网应用程序mobileinternetapplicationApp

;

运行在移动智能终端上的应用程序