[PDF] GB/T 42582-2023 - 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 42582-2023 | 1599 | GB/T 42582-2023 | <=9 | 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 42582-2023 (GB/T42582-2023) |
| 中文名称 | 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范 |
| 英文名称 | Information security technology - Personal information security testing and evaluation specification in mobile internet applications(App) |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.030 |
| 字数估计 | 79,744 |
| 发布日期 | 2023-05-23 |
| 实施日期 | 2023-12-01 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 42582-2023: 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范
ICS 35.030
CCSL80
中华人民共和国国家标准
信息安全技术 移动互联网应用程序
(App)个人信息安全测评规范
2023-05-23发布
2023-12-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 测评流程与方式 3
5.1 概述 3
5.2 测评流程 3
5.3 测评方式 4
5.4 测评环境和工具 5
6 测评实施内容 5
6.1 个人信息收集的测评 5
6.2 个人信息存储的测评 18
6.3 个人信息使用的测评 22
6.4 个人信息主体权利的测评 30
6.5 个人信息的委托处理、共享、转让、公开披露的测评 39
6.6 个人信息安全事件处置的测评 53
6.7 组织个人信息安全管理要求的测评 56
7 结果判定 67
8 报告编制 67
附录A(资料性) App运营者基本信息采集表 68
附录B(资料性) 测评单元编号说明 69
附录C(资料性) App欺诈、诱骗、误导方式收集个人信息行为举例 70
附录D(资料性) 不同场景下App收集个人信息的频率参考 71
附录E(资料性) App申请特定类型系统权限或收集特定类型系统信息时的额外告知参考 72
附录F(资料性) 仅针对App进行测评时适用的测评单元 73
参考文献 75
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国电子技术标准化研究院、中国网络安全审查技术与认证中心、公安部第一研
究所、北京信息安全测评中心、中国电子科技集团公司第十五研究所、国家计算机网络应急技术处理协
调中心、北京百度网讯科技有限公司、北京梆梆安全科技有限公司、中国信息通信研究院、北京指掌易科
技有限公司、中国人民银行数字货币研究所、中国移动通信集团有限公司、奇安信网神信息技术(北京)
股份有限公司、北京汉华飞天信安科技有限公司、北京奇虎科技有限公司、陕西省网络与信息安全测评
中心、中国科学院信息工程研究所、国家信息技术安全研究中心、北京银联金卡科技有限公司、北京交通
大学、西安交通大学、中国汽车工程研究院股份有限公司、北京抖音信息服务有限公司、每日互动股份有
限公司、启明星辰信息技术集团股份有限公司、OPPO广东移动通信有限公司、深圳市腾讯计算机系统
有限公司、北京智游网安科技有限公司、全知科技(杭州)有限责任公司、江苏通付盾信息安全技术有限
公司、中科锐眼(天津)科技有限公司。
本文件主要起草人:胡影、刘行、范博、姚相振、高超、严妍、辛建峰、韩煜、范红、李媛、刘健、董晶晶、
林星辰、王一宇、李晓雪、王海棠、邓婷、方宁、王丹辉、李彪、宋玲娓、邱勤、赵帅、彭根、姚一楠、杨京、
杜丹、吴冬宇、李宇、王伟、范铭、李光平、杨骁涵、董霖、史景、李腾、徐永太、韩云、王勰思、汪德嘉、
赵洪宇。
信息安全技术 移动互联网应用程序
(App)个人信息安全测评规范
1 范围
本文件规定了依据GB/T 35273-2020开展移动互联网应用程序个人信息安全测评的测评流程以
及对各项安全要求进行测评的方法。
本文件适用于指导第三方测评机构对移动互联网应用程序个人信息安全进行测评,以及主管监管
部门对移动互联网应用程序个人信息安全进行监督管理,移动互联网应用程序运营者开展个人信息安
全自评时参照执行。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069-2022 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求
3 术语和定义
GB/T 25069-2022、GB/T 35273-2020和GB/T 41391-2022界定的以及下列术语和定义适用
于本文件。
3.1
运行在移动智能终端上的应用程序。
注:包括移......