GB-T47469-2026《数据安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》

1数据安全技术移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南2规范性引用文件GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范3术语和定义移动智能终端smartmobileterminal接入移动通信网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。移动智能终端操作系统operatingsystemofsmartmobileterminal移动智能终端最基本的系统软件，控制和管理终端上的各种硬件和软件资源，并提供应用程序开发的接口。注1:一般包括移动智能终端图形交互系统[如图形用户界面(GUI]、核心功能库、应用框架、安全套件、业务模型组件、核心业务功能、基础应用软件等多层架构和软件实体。注2:基础应用软件一般包括移动智能终端操作系统基本功能及服务，如实现移动通信基本功能、系统管理功能、多媒体服务功能、用户交互入口、保障数据安全功能、安全管理功能等。移动互联网应用程序mobileinternetapplication运行在移动智能终端上的应用程序。注：包括移动智能终端预置、下载安装的应用程序和小程序，也称为应用软件，简称应用程序。2个人信息personalinformation以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。可收集个人信息权限systempermissiontoaccesspersonalinformation移动智能终端操作系统向移动互联网应用程序开放的，具有收集个人信息功能的系统权限。应用程序列表applicationlist下列缩略语适用于本文件。App:应用程序(Application)5.1移动智能终端个人信息范围5.2移动智能终端个人信息安全管理基本原则移动智能终端对移动智能终端个人信息的管理原则包括：b)用户可控：提供用户管理移动智能终端个人信息机制，用户能允许也能拒绝对其个人信息的处理；d)细致管理：对移动智能终端个人信息中较敏感的个人信息实施细粒度管理等措施；e)管理适度：移动智能终端采取合理手段管理移动智能终端个人信息，避免对用户造成干扰，影响App的正常运行；f)规则明确：移动智能终端个人信息管理的规则需清晰、明确。36移动智能终端个人信息安全风险a)用户不知情的情况下收集导致个人信息滥用风险：移动智能终端上运行的App可能在非合理业务场景或用户不知情的情况下收集移动智能终端个人信息，移动智能终端未对用户提供有效的提示或行为展示机制。b)用户对其个人信息掌控力弱导致损害用户权益风险：移动智能终端未对移动智能终端个人信息提供有效的控制措施，造成存在App超范围、超频率获取用户个人信息，或强迫、诱导、欺诈用户同意从移动智能终端收集个人信息的风险增高，损害用户个人信息权益。c)App生命周期关键环节引发的个人信息安全风险：运行在移动智能终端上的App,其安装、启动、更新、卸载等环节均可能对移动智能终端个人信息带来安全风险，包括但不限于：1)在安装阶段，未经用户授权，安装了存在窃取用户个人信息的风险App;2)在启动阶段，App在用户不知情的情况下自启动或被关联启动，可能存在启动后未经用3)在更新阶段，App引入漏洞、病毒导致非法收集使用个人信息的风险；7移动智能终端个人信息处理管理措施7.1移动智能终端个人信息处理管理措施分级根据对移动智能终端个人信息保护水平的不同，将移动智能终端个人信息处理管理措施划分为两个等级：基本级、增强级，增强级管理措施用加粗字体表示。7.2透明化展示7.2.1个人信息收集使用提示App持续或频繁调用可收集个人信息权限期间(如调用麦克风、相机、位置权限),移动智能终端通过展示标识等方式向用户提示，展示标识考虑如下要素：c)标识含义简介：向用户提供标识含义的简介信息；注：频繁调用指调用间隔小、呈现持续调用的效果。7.2.2个人信息收集使用行为记录a)记录的行为包括但不限于：1)读取位置信息，读取通讯录、读取媒体信息(如图片、音频和视频)、读取短信，读取生物特征数据，读取唯一设备识别码(如IMEI、WLANMAC地址),读取通话记录，调用麦克风、4b)记录信息的展示，包括但不限于：c)移动智能终端保存App收集使用移动智能终端个人信息行为的周期不少于7d,可根据终端7.2.3个人信息收集使用行为集中展示和管理a)移动智能终端在设置界面的二级目录中显著位置提供统一入口。b)展示和管理内容包括：2)提供可收集个人信息权限等与个人信息相关的管理界面。7.3个人信息处理行为管理7.3.1个人信息授权管理移动智能终端提供个人信息不同授权粒度管理措施，在可收集个人信息权限的权限申请目的等方面提供相应机制，包括：a)单次使用的授权方式：在App申请获取位置、调用相机、麦克风时，为用户提供本次使用授权的机制，当用户再次启动App并使用位置、相机、麦克风相关功能时，需要重新获取用户的授权；注1:前台运行状态指应用或应用的进程是用户当前知晓的任务。c)权限申请目的可编辑：支持App开发阶段编辑可收集个人信息权限申请目的说明，在App申请可收集个人信息权限的弹窗中予以展示；d)权限自动重置机制：当用户长期(如3个月)未使用某App,为用户提供自动将该App已授权的可收集个人信息权限重置为未授权状态的能力，App再次使用可收集个人信息权限时，需重新获得用户授权。注2:用户能通过交互式界面选择手动开启或关闭权限自动重置功能。7.3.2终端敏感行为管理移动智能终端提供对终端上敏感行为的提示、访问控制等管理机制，具体包括以下机制，敏感行为管理措施示例见附录A。a)应用程序列表访问控制：移动智能终端对App获取移动智能终端上的应用程序列表进行管理，App在用户授权的前提下获取应用程序列表，向用户提供的授权方式包括始终允许、拒绝。52)移动智能终端对剪切板信息进行管理，App在用户授权的前提下访问剪切板信息。c)屏幕截图控制机制：移动智能终端提供屏幕截图管理机制，App在用户授权的前提下可调用屏幕截图功能。d)位置信息访问控制机制：1)移动智能终端对App获取移动智能终端上的位置信息进行管理，App在用户授权的前提2)移动智能终端为用户提供授予App访问精准位置信息的选项，用户不允许App获取精准f)移动智能终端限制App在后台启动相机的能力。g)媒体信息的访问控制可采取以下机制：1)移动智能终端提供App访问媒体信息(图片、视频、音频等文件)的用户授权能力；2)当用户主动选择指定图片、视频时，移动智能终端支持在无需用户授权“相册”“媒体”或“存储”等权限的情况下，App仅可访问用户指定的图片、视频信息。h)图片附加信息访问控制机制：当用户通过系统相册/图库功能分享图片时，移动智能终端为用户提供去除图片附加信息的选项。i)通讯录访问控制，可采取以下机制：1)移动智能终端对App获取、修改移动智能终端上的通讯录信息进行管理，App在用户授2)当用户主动选择指定联系人，支持在无需用户授权“通讯录”权限的情况下，App仅可访问指定联系人信息；3)移动智能终端限制App申请读取、修改通讯录，App功能包括通讯录相关功能的除外。通讯录相关功能指基于通讯录信息进行拨打电话/收发短信、通讯录管理和备份、骚扰拦截等功能。j)文件访问控制机制：当用户主动选择指定文件时，支持在无需用户授权“存储”等权限的情况下，App仅可访问用户指定文件信息。k)短信访问控制，可采取以下机制：2)移动智能终端限制App申请读、接收、发送短信，App功能包括短信相关功能的除外。短信相关功能指编辑/收发短信、短信管理和备份、骚扰拦截等功能。1)通话记录访问控制，可采取以下机制：1)移动智能终端对App获取、修改移动智能终端上的通话记录信息进行管理，App在用户授权的前提下获取、修改通话记录信息；2)限制App申请读取、修改通话记录，App功能包括通话相关功能的除外。通话相关功能m)无需权限的拨打电话与发送短信机制：提供拨打电话与发送短信的公共接口，App调用后跳转到系统提供的拨打电话、发送短信人机交互界面，实现用户主动操作完成拨打电话、发送短信功能。注：移动智能终端通过技术或管理手段实现敏感行为管理机制，防止终端个人信息被滥用。67.3.3唯一设备识别码访问控制移动智能终端针对不可变更、可变更唯一设备识别码建立访问控制机制，包括：c)为用户提供可重置可变唯一设备识别码的机制，可变唯一设备识别码通常指由移动智能终端向第三方提供的用于跟踪的可变标识；e)为用户提供可变唯一设备识别码向每个App单独开放的配置机制。7.3.4存储空间使用控制移动智能终端对存储空间使用进行控制，包括：7.4App生命周期管理7.4.1App安装管理b)不对App请求的可收集个人信息权限进行一次性授权；7.4.2App自启动与关联