ICS35.030 CCSL80 中华人民共和国国家标准 GB/T43739—2024 数据安全技术 应用商店的移动互联网 应用程序(App)个人信息处理规范性 审核与管理指南 Datasecuritytechnology—Auditandmanagementguideforpersonal informationprocessingnormativenessofmobileinternetapplicationsin Appstores 2024-04-25发布 2024-11-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 应用商店中App的审核与管理流程 2 …………………………………………………………………… 6 应用商店中App个人信息处理活动审核 3 ……………………………………………………………… 6.1 App个人信息处理活动审核规则公示 3 …………………………………………………………… 6.2 App上架申请信息受理 3 …………………………………………………………………………… 6.3 App个人信息处理活动审核验证 3 ………………………………………………………………… 6.4 审核结果反馈与申诉处理 4 ………………………………………………………………………… 6.5 存量App与版本更新审核 5 ………………………………………………………………………… 7 应用商店中App个人信息安全管理 5 …………………………………………………………………… 7.1 个人信息处理情况的展示 5 ………………………………………………………………………… 7.2 个人信息安全相关标识 5 …………………………………………………………………………… 7.3 App运营者管理 6 …………………………………………………………………………………… 7.4 日常监督与问题处置 6 ……………………………………………………………………………… 附录A(资料性) App个人信息处理活动审核材料参考模板 7 ………………………………………… 附录B(资料性) App下载页面展示内容示例 15 ………………………………………………………… 附录C(资料性) 个人信息安全问题投诉举报渠道示例 18 ……………………………………………… 参考文献 19 ……………………………………………………………………………………………………GB/T43739—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国移动通信集团有限公司、中国电子技术标准化研究院、国家计算机网络应急 技术处理协调中心、北京邮电大学、中国网络空间研究院、华为技术有限公司、OPPO广东移动通信有 限公司、北京小米移动软件有限公司、北京百度网讯科技有限公司、北京抖音信息服务有限公司、北京快 手科技有限公司、北京三快在线科技有限公司、维沃移动通信有限公司、公安部第三研究所、中国网络安 全审查技术与认证中心、中国电子科技集团公司第十五研究所、蚂蚁科技集团股份有限公司、长扬科技 (北京)股份有限公司、北京时代新威信息技术有限公司、郑州信大捷安信息技术股份有限公司、武汉安 天信息技术有限责任公司、北京指掌易科技有限公司。 本文件主要起草人:张滨、邱勤、何延哲、廖建新、袁捷、张峰、徐思嘉、杜雪涛、刘胜兰、赵蓓、张晨、 金涛、胡影、任彦、江为强、于乐、周莹、刘畅、李文琦、白雪、姜伟、薛晨、周晨炜、郝春亮、邵冰、刘昊鑫、 窦禹、王文磊、衣强、李实、路晓明、朱雪峰、付艳艳、杨明慧、汪定、李瑞卿、杜文博、郭建领、邓婷、王海棠、 杨骁涵、赵乃萱、戴卓恒、黄厚瑞、张欢、王普、王昕、落红卫、李超然、祖岩岩、刘瑾、赵盈洁、贾科、张艳、 申永波、鲁青、樊华、张磊、吴月升、徐天妮、易立、刘健、董晶晶、彭晋、林冠辰、白晓媛、赵华、王连强、杨玉忠、 俞政臣、于海洋、刘献伦、彭婧、余丽娜、柳扬、刘冬、王光涛、彭根、蔡旭、赵峰、马丹、王雅莉、王璞、桂艳峰、 王福海、张志远。 ⅠGB/T43739—2024 数据安全技术 应用商店的移动互联网 应用程序(App)个人信息处理规范性 审核与管理指南 1 范围 本文件给出了应用商店运营者对移动互联网应用程序(App)个人信息处理规范性审核与管理 指南。 本文件适用于指导应用商店运营者开展App个人信息安全审核与管理,也为监管部门及第三方机 构对应用商店运营者审核与管理App个人信息处理活动的能力开展评估提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T19011—2021 管理体系审核指南 GB/T25069—2022 信息安全技术 术语 GB/T35273—2020 信息安全技术 个人信息安全规范 GB/T41391—2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求 3 术语和定义 GB/T19011—2021、GB/T25069—2022、GB/T35273—2020和GB/T41391—2022界定的以及 下列术语和定义适用于本文件。 3.1 移动互联网应用程序 mobileinternetapplication;App 运行在移动智能终端上向用户提供信息服务的应用程序。 注:包括移动智能终端预置、下载安装的应用程序和小程序。 [来源:GB/T41391—2022,3.1,有修改] 3.2 移动互联网应用程序运营者 mobileinternetapplicationoperator 移动互联网应用程序的所有者、管理者或提供者。 注:简称App运营者。 [来源:GB/T41391—2022,3.2] 3.3 应用商店 Appstore 提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。 注:包括应用市场、分发网站、具有分发能力的移动互联网应用程序等。 1GB/T43739—2024 3.4 应用商店运营者 Appstoreoperator 应用商店的所有者、管理者或提供者。 3.5 审核 audit 为获得客观证据并对其进行客观的评价,以确定满足准则的程度所进行的系统的、独立的并形成文 件的过程。 [来源:GB/T19011—2021,3.1,有修改] 3.6 个人信息处理活动 personalinformationprocessingactivity 个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。 3.7 服务类型 servicetype 移动互联网应用程序提供的业务功能分类。 [来源:GB/T41391—2022,3.5,有修改] 3.8 系统敏感权限 systemsensitivepermission 移动智能终端操作系统向移动互联网应用程序开放的,具有收集个人信息功能的系统权限。 注:简称系统权限或权限。 [来源:GB/T41391—2022,3.10,有修改] 3.9 必要个人信息 necessarypersonalinformation 保障移动互联网应用程序基本业务功能正常运行所必需的个人信息,缺少该信息移动互联网应用 程序即无法实现基本业务功能。 [来源:GB/T41391—2022,3.8] 4 缩略语 下列缩略语适用于本文件。 APK:安卓系统软件安装包(AndroidPackage) IMEI:国际移动设备识别码(InternationalMobileEquipmentIdentity) IMSI:国际移动用户识别码(InternationalMobileSubscriberIdentity) SDK:软件开发工具包(SoftwareDevelopmentKit) 5 应用商店中App的审核与管理流程 应用商店运营者审核与管理App个人信息处理活动主要包括App进入应用商店前的个人信息处 理活动审核和App进入应用商店后的个人信息安全管理。 在App进入应用商店前,应用商店运营者对申请上架的App(含新申请上架的App、版本更新需重 新上架的App)以及存量App的个人信息处理活动进行审核,并在App通过审核后进行上架;在App 进入应用商店后,应用商店运营者对上架App进行安全管理,并在App存在用户投诉举报及有关主 管、监管部门通报的违法违规处理个人信息问题时督促其进行整改。 2GB/T43739—2024 6 应用商店中App个人信息处理活动审核 6.1 App个人信息处理活动审核规则公示 应用商店运营者制定简明、清晰、易于理解的App个人信息处理活动审核规则并公开发布,保证