ICS35.030 CCS L 80 GE 中华人民共和国国家标准 GB/T 42582—2023 信息安全技术 移动互联网应用程序 (App）个人信息安全测评规范 Information security technologyPersonal information security testing and 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42582—2023 目 次 前言 范围 1 规范性引用文件 2 3 术语和定义 缩略语 测评流程与方式 5 5.1 概述 5.2 测评流程 5.3 测评方式 5.4 测评环境和工具 6测评实施内容 6.1 个人信息收集的测评 6.2 个人信息存储的测评 6.3 个人信息使用的测评· 6.4 个人信息主体权利的测评 30 个人信息的委托处理、共享、转让、公开披露的测评 6.5 39 6.6 个人信息安全事件处置的测评 53 6.7 组织个人信息安全管理要求的测评 7 结果判定 67 8 报告编制 67 附录A（资料性） App运营者基本信息采集表 68 附录B（资料性）测评单元编号说明 69 附录C（资料性） App欺诈、诱骗、误导方式收集个人信息行为举例 附录D（资料性） 不同场景下App收集个人信息的频率参考 :71 附录E（资料性）App申请特定类型系统权限或收集特定类型系统信息时的额外告知参考…..…72 附录F（资料性） 仅针对App进行测评时适用的测评单元 73 参考文献 75 GB/T 42582—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、中国网络安全审查技术与认证中心、公安部第一研 究所、北京信息安全测评中心、中国电子科技集团公司第十五研究所、国家计算机网络应急技术处理协 调中心、北京百度网讯科技有限公司、北京椰郴安全科技有限公司、中国信息通信研究院、北京指掌易科 技有限公司、中国人民银行数字货币研究所、中国移动通信集团有限公司、奇安信网神信息技术（北京） 股份有限公司、北京汉华飞天信安科技有限公司、北京奇虎科技有限公司、陕西省网络与信息安全测评 中心、中国科学院信息工程研究所、国家信息技术安全研究中心、北京银联金卡科技有限公司、北京交通 大学、西安交通大学、中国汽车工程研究院股份有限公司、北京抖音信息服务有限公司、每日互动股份有 限公司、启明星辰信息技术集团股份有限公司、OPPO广东移动通信有限公司、深圳市腾讯计算机系统 有限公司、北京智游网安科技有限公司、全知科技（杭州）有限责任公司、江苏通付盾信息安全技术有限 公司、中科锐眼（天津)科技有限公司。 本文件主要起草人：胡影、刘行、范博、姚相振、高超、严妍、辛建峰、韩煜、范红、李媛、刘健、董晶晶、 林星辰、王一宇、李晓雪、王海棠、邓婷、方宁、王丹辉、李彪、宋玲娓、邱勤、赵帅、彭根、姚一楠、杨京、 杜丹、吴冬宇、李宇、王伟、范铭、李光平、杨骁涵、董霖、史景、李腾、徐永太、韩云、王魏思、汪德嘉、 赵洪宇。 I GB/T42582—2023 信息安全技术移动互联网应用程序 （App）个人信息安全测评规范 1范围 本文件规定了依据GB/T35273一2020开展移动互联网应用程序个人信息安全测评的测评流程以 及对各项安全要求进行测评的方法。 本文件适用于指导第三方测评机构对移动互联网应用程序个人信息安全进行测评，以及主管监管 全自评时参照执行。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T25069—2022 信息安全技术术语 GB/T35273—2020 信息安全技术个人信息安全规范 GB/T41391—2022 信息安全技术移动互联网应用程序（App）收集个人信息基本要求 术语和定义 3 GB/T25069—2022、GB/T35273—2020和GB/T41391—2022界定的以及下列术语和定义适用 于本文件。 3.1 移动互联网应用程序mobileinternetapplication；App 运行在移动智能终端上的应用程序。 注：包括移动智能终端预置、下载安装的应用程序和小程序。 3.2 App运营者mobileinternet application operator 移动互联网应用程序所有者、管理者或提供者。 3.3 软件开发工具包 software development kit; SDK 协助软件开发的软件库。 注：软件开发工具包通常包括相关二进制文件、文档、范例和工具的集合。 3.4 个人信息保护政策 personalinformationprotectionpolicy 隐私政策privacypolicy 说明移动互联网应用程序处理个人信息规则的文本。 注：个人信息保护政策包含的内容见GB/T35273一2020中5.5。 1 GB/T42582—2023 3.5 测评对象targetoftestingandevaluation 移动互联网应用程序个人信息安全测评流程中不同测评方式作用的对象。 注：主要涉及App运营者、ApP、App服务端、相关文档资料等。 3.6 测评单元 testing and evaluation unit 对测评流程进行划分的最小独立单元。 注：每个测评单元包括指标要求、测评对象、测评方式、测评步骤、单元判定等5项内容，可独立验证符合性。 3.7 小程序miniprogram 基于应用程序开放接口实现的，用户无需安装即可使用的移动互联网应用程序。 注：应用程序通过公开其应用程序编程接口（API)或函数，使外部的程序可以增加该应用程序的功能或使用该应用 程序的资源，而不需要更改该应用程序的源代码。 3.8 用户user 使用移动互联网应用程序的个人信息主体 注：用户通常包括消费侧用户和服务供给侧用户，消费侧用户是使用移动互联网应用程序服务的个人消费者，服务 供给侧用户是通过移动互联网应用程序提供服务的用户，例如网络约车类移动互联网应用程序的消费侧用户 是乘客，服务供给侧用户是驾驶员。 3.9 第三方应用third-partyapplication 由移动互联网应用程序运营者之外的其他法人实体提供，通过移动互联网应用程序直接面向用户 提供服务的应用程序。 注1：第三方应用的提供形式，通常包括SDK、小程序、Web页面等。如果SDK没有直接向用户提供服务，则不属 于本文件所称的第三方应用。 注2：虽与App运营者属于不同法人实体，但与ApP运营者属于同一企业集团，且遵守同一套管理制度、统一进行 安全和运维管理的，不属于App运营者的第三方。关联公司通常属于App运营者的第三方。 3.10 服务端server 3.11 可收集个人信息权限 systempermissiontoaccesspersonalinformation 移动智能终端操作系统向移动互联网应用程序开放的，具有收集个人信息功能的系统权限。 注：简称系统权限或权限。 4缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） ICCID：集成电路卡识别码（IntegrateCircuitCardIDentity） IDFA：广告标识符（IDentifierForAdvertising) IMEI：国际移动设备识别码（InternationalMobileEquipmentIdentity） 2 GB/T42582—2023 IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentity） MAC:媒体访问控制(MediaAccessControl) SDK：软件开发工具包（SoftwareDevelopmentKit) 5测评流程与方式 5.1概述 App个人信息安全测评主要针对App运营者、App服务端、App和相关文档资料等测评对象开 展，测评流程包含测评准备、测评实施、测评结果判定和测评报告编写4个阶段，根据测评目标需要，也 可以包含被测对象的整改与复测阶段，见图1。 测评对象和测评单元确定 结果蹦认及资科山还 测 测详实施坏培准备 整体测评结果判定 工具和 评 输山测评继论 测评报 整 信总收策 (测评结束) （测评开始 浓单准备 告编写 测评准备 测评实施 测评结果判定 图14 App个人信息安全测评流程图 5.2测评流程 5.2.1测评准备 测评准备阶段的主要内容及要求如下。 a）App运营者基本信息的收集。测评人员应收集被测评App运营者提供的被测App样本、App 功能说明、App收集使用个人信息情况说明等材料（提交材料内容见附录A）。为提高测评结 果的准确性，对于有特殊登录需求的ApP，测评人员应要求被测App运营者提供对应登录 账号。 b) 测评对象和测评单元确定。测评人员应根据对ApP运营者基本信息的分析，确定测评工作的 具体测评对象和适用的测评单元，例如需验证的APP功能范围、查看的制度文档、核查的服务 端系统、访谈的人员岗位等。 c) 中所使用的测评工具和测评记录表。 d) 测评方案编制与确认。测评人员应编制App个人信息安全测评方案，方案内容应涵盖测评对 象、测评依据、测评内容、测评方法、测评