ICS03.120.20 CCSA00 中华人民共和国认证认可行业标准 RB/T182—2023 移动智能终端应用软件个人信息安全 评价规范 Evaluationspecificationsforpersonalinformationsecurityofapplicationsoftware insmartmobileterminals 2024-05-20发布 2024-07-01实施 国家认证认可监督管理委员会发布 中国标准出版社出版目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 评价流程 2 ………………………………………………………………………………………………… 4.1 概述 2 ………………………………………………………………………………………………… 4.2 评价主要环节 3 ……………………………………………………………………………………… 5 评价要求 4 ………………………………………………………………………………………………… 5.1 组建团队 4 …………………………………………………………………………………………… 5.2 制定方案 4 …………………………………………………………………………………………… 5.3 实施评价 5 …………………………………………………………………………………………… 5.4 结果记录 5 …………………………………………………………………………………………… 6 评价内容及方法 5 ………………………………………………………………………………………… 6.1 个人信息的收集 5 …………………………………………………………………………………… 6.2 个人信息的存储 10 …………………………………………………………………………………… 6.3 个人信息的使用 13 …………………………………………………………………………………… 6.4 个人信息主体的权利 17 ……………………………………………………………………………… 6.5 个人信息的委托处理、共享、转让、公开披露 22 …………………………………………………… 6.6 个人信息安全事件处置 31 …………………………………………………………………………… 6.7 组织的个人信息安全管理要求 32 …………………………………………………………………… 7 评价结果判定 38 …………………………………………………………………………………………… 7.1 文档审核结果 38 ……………………………………………………………………………………… 7.2 技术验证结果判定 38 ………………………………………………………………………………… 7.3 现场审核结果判定 38 ………………………………………………………………………………… 7.4 认证决定 39 …………………………………………………………………………………………… 附录A(规范性) 移动智能终端应用软件个人信息安全评价内容 40 …………………………………… 附录B(资料性) 评价项编码规则说明 45 ………………………………………………………………… 参考文献 47 …………………………………………………………………………………………………… ⅠRB/T182—2023 仅供国家认证认可监督管理委员会内部使用 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文的发布机构不承担识别专利的责任。 本文件由国家认证认可监督管理委员会提出并归口。 本文件起草单位:中国网络安全审查认证和市场监管大数据中心、北京软件产品质量检测检验中 心、上海市信息安全测评认证中心、中国电子科技集团公司第十五研究所、中国信息通信研究院、公安部 第一研究所、北京邮电大学、中国科学院软件研究所。 本文件主要起草人:张晓梅、许静慧、辛建峰、王威、顾敏、胡石、袁翠红、陈淑娟、田晴云、何静、温岩莉、 郝伟博、王艳红、任凤丽、韩煜、冀乃杰、苏璞睿、张淼、严妍、王也。 ⅢRB/T182—2023 仅供国家认证认可监督管理委员会内部使用 移动智能终端应用软件个人信息安全 评价规范 1 范围 本文件规定了移动智能终端应用软件个人信息安全的评价流程、评价要求、评价内容及方法和评价 结果判定。 本文件适用于认证机构和技术验证机构对移动智能终端应用软件个人信息安全进行检测、评估和 认证等活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T35273—2020 信息安全技术 个人信息安全规范 3 术语和定义 GB/T35273—2020界定的以及下列术语和定义适用于本文件。 3.1 移动智能终端应用软件 applicationsoftwareinsmartmobileterminal 针对移动智能终端开发的应用软件,包括移动智能终端预置的第三方应用软件,以及互联网服务提 供者提供的通过网站、应用商店等移动应用分发平台下载、安装和升级的应用软件。 注:简称“App”。 [来源:GB/T34975—2017,3.3,有修改] 3.2 认证机构 certificationbody 从事与产品、服务、过程、体系或人员有关的第三方证明活动的机构。 注:认证机构可以自己进行测试和检验活动,或者委托其他机构代表其进行这些活动。 [来源:RB/T072—2021,4.6] 3.3 运营机构 operatingorganization 通过移动智能终端应用软件向用户提供信息服务的网络运营者,负责移动智能终端应用软件的运 营,承担移动智能终端应用软件个人信息安全的法律责任。 3.4 技术验证 technicalverification 专业技术人员采用测试、检查和文档核查等方法进行符合性验证的过程。 1RB/T182—2023 仅供国家认证认可监督管理委员会内部使用 3.5 技术验证机构 technicalverificationorganization 通过测试、检查和文档核查等方法对技术性要求的符合性开展验证活动的机构。 3.6 个人信息 personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 [来源:GB/T35273—2020,3.1] 3.7 个人敏感信息 personalsensitiveinformation 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧 视性待遇等的个人信息。 [来源:GB/T35273—2020,3.2] 3.8 个人信息主体 personalinformationsubject 个人信息所标识或者关联的自然人。 [来源:GB/T35273—2020,3.3] 3.9 个人信息控制者 personalinformationcontroller 有能力决定个人信息处理目的、方式等的组织或个人。 [来源:GB/T35273—2020,3.4] 4 评价流程 4.1 概述 移动智能终端应用软件个人信息安全认证评价流程主要分为四个阶段: a) 申请受理阶段:认证机构接收到运营机构提交的申请资料并初步审核通过后受理认证申请; b) 技术验证阶段:认证机构安排技术验证机构开展技术验证环节; c) 现场审核阶段:认证机构收到技术验证报告并审查合格后,在规定时间内组织审核人员进行现 场审核; d) 认证决定阶段:认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出 认证决定。认证决定通过后,由认证机构向运营机构颁发认证证书。 图1给出了具体的评价流程。 2RB/T182—2023 仅供国家认证认可监督管理委员会内部使用 图1 认证评价流程图 4.2 评价主要环节 4.2.1 文档审核 认证机构接收运营机构提交的申请材料。申请材料应能够证明当前业务情况满足或符合认证相关 安全要求。包括但不限于: a) 认证申请书; b) 认证申请方资质证明; c) 认证授权书; d) 认证申请方承诺; e) 相关管理制度; f) 自评价报告等其他可证明标准符合性文件; g) 其他需要的文件。 认证机构应对运营机构提交的资料和文档进行初步审核,确认文档是否完备。 4.2.2 技术验证 技术验证机构应依据6.1~6.5的要求对运营机构申请认证的App进行技术验证。技术验证通过 后,应向运营机构出具经签字并盖章的技术验证报告,并向认证机构提供技术验证结果。技术验证报告 应包括以下内容: 3RB/T182—2023 仅供国家认证认可监督管理委员会内部使用 a) App名称、版本及运行环境; b) App运营机构、开发机构及相关联系人信息; c) 技术验证工具及环境说明; d) 技术验证机构名称、测试人员、时间、地点; e) 技术验证内容、方法及依据;