应用商店的App个人信息处理规范性审核与管理指南

ICS35.030CCSL80中华人民共和国国家标准GB/TXXXXX—XXXXXXXX-XX-XX发布XXXX-XX-XX实施信息安全技术应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南Informationsecuritytechnology—AuditandmanagementguideforpersonalinformationprocessingnormativenessofmobileinternetapplicationsinAppstores（征求意见稿）（本稿完成时间：2022年6月15日）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 GB/TXXXXX—XXXX GB/TXXXXX-XXXXI目 次前言................................................................................III1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14缩略语..............................................................................25应用商店运营者的审核管理流程........................................................26App进入应用商店前的个人信息处理活动审核.............................................36.1App个人信息处理活动审核规则公示.................................................36.2App运营者提交待审核信息.........................................................36.3App个人信息处理活动审核验证.....................................................46.4审核结果反馈与申诉处理..........................................................56.5存量App与版本更新审核..........................................................57App进入应用商店后的个人信息安全管理.................................................57.1个人信息处理情况的展示..........................................................57.2个人信息安全相关标识............................................................67.3App运营者管理...................................................................67.4日常监督与问题处置..............................................................7附录A（资料性）App审核材料参考模板..............................................8附录B（资料性）App下载页面展示内容示例.........................................17附录C（资料性）个人信息安全问题投诉举报渠道示例................................20参考文献.............................................................................21 GB/TXXXXX—XXXXII GB/TXXXXX-XXXXIII前 言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：中国移动通信集团有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京邮电大学、华为技术有限公司、OPPO广东移动通信有限公司、北京小米移动软件有限公司、北京百度网讯科技有限公司、北京字节跳动科技有限公司、中国网络空间研究院、深圳市腾讯计算机系统有限公司、北京快手科技有限公司、北京三快在线科技有限公司、维沃移动通信有限公司、公安部第三研究所、中国网络安全审查技术与认证中心。本文件主要起草人：张滨、邱勤、何延哲、廖建新、袁捷、张峰、徐思嘉、杜雪涛、刘胜兰、赵蓓、张晨、金涛、胡影、江为强、于乐、刘畅、李文琦、白雪、周晨炜、郝春亮、邵冰、刘昊鑫、窦禹、王文磊、衣强、李实、付艳艳、杨明慧、路晓明、汪定、李瑞卿、邓婷、郭建领、王宇晓、戴卓恒、黄厚瑞、张欢、姜伟、徐永太、李克鹏、王昕、落红卫、祖岩岩、刘瑾、赵盈洁、贾科、张艳、申永波、鲁青、樊华、张磊、王海棠、徐天妮、易立。 GB/TXXXXX—XXXXIV GB/TXXXXX-XXXX1信息安全技术应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南1范围本文件给出了应用商店运营者对App个人信息处理活动的审核与管理指南。本文件适用于指导应用商店运营者审核管理App个人信息处理活动，也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求3术语和定义GB/T25069—2022、GB/T35273—2020和GB/T41391—2022界定的以及下列术语和定义适用于本文件。3.1移动互联网应用程序mobileinternetapplication运行在移动智能终端上的应用程序。注：包括移动智能终端预置、下载安装的应用程序和小程序，简称App。3.2移动互联网应用程序运营者mobileinternetapplicationoperator移动互联网应用程序的所有者、管理者或提供者。注：简称App运营者。3.3应用商店Appstore提供移动互联网应用程序下载、安装、升级等分发服务的各类平台。注：也称移动应用分发平台，包括应用市场、分发网站、具有分发能力的移动互联网应用程序等常规分发平台，以及小程序、快应用、H5页面等新形态分发平台。 GB/TXXXXX—XXXX23.4个人信息处理活动personalinformationprocessingactivity个人信息的收集、存储、使用、加工、传输、提供、公开、删除、销毁等行为。3.5敏感系统权限sensitivesystempermission移动智能终端向移动互联网应用程序开放的，调用个人信息或系统敏感资源的能力。注：包括但不限于涉及通讯录、本机号码、短信、日历、打电话、发短信、存储等相关的权限，也称“可收集个人信息权限”。常见敏感系统权限示例见附录A中A.5。3.6必要个人信息necessarypersonalinformation保障移动互联网应用程序基本业务功能正常运行所必需的个人信息，缺少该信息移动互联网应用程序即无法实现基本业务功能。4缩略语下列缩略语适用于本文件。APK：安卓应用程序包（AndroidApplicationPackage）IMEI：国际移动设备识别码（InternationalMobileEquipmentIdentity）IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentity）SDK：软件开发工具包（SoftwareDevelopmentKit）5应用商店运营者的审核管理流程应用商店运营者审核管理App个人信息处理活动的流程见图1，主要包括App进入应用商店前的个人信息处理活动审核和App进入应用商店后的个人信息安全管理。针对新申请上架的App、存量App以及发生版本更新的App，应用商店运营者需对App个人信息处理活动进行审核，并在App通过审核后对其进行上架；在App进入应用商店后，应用商店运营者需对App个人信息处理活动进行安全管理，并在App存在主管、监管部门通报的违法违规个人信息处理活动问题时对其采取督促整改、下架等措施。 GB/TXXXXX-XXXX3图1应用商店运营者的审核管理流程6App进入应用商店前的个人信息处理活动审核6.1App个人信息处理活动审核规则公示应用商店运营者需制定App个人信息处理活动审核规则并公开发布，保证App运营者和社会公众可便捷获取。6.2App运营者提交待审核信息应用商店运营者需在受理App进入应用商店的申请时，对App运营者所提交的App相关信息进行审核。对于未完整提交以下信息的，应用商店运营者宜拒绝App上架。a)App运营者信息，包括App运营者主体名称、App运营者联系方式（如联系电话、联系邮箱等，至少提供一种）（模板见附录A中A.1）。b)App基本信息，包括名称、包名、版本号、更新日期、基本服务类型、安装文件（如APK文件）（模板见附录A中A.1，基本服务类型从附录A中A.2根据实际情况选择）。 GB/TXXXXX—XXXX4c)个人信息保护政策（即隐私政策），包括生效日期、全文文本、可查看全文的有效链接，面向不满14周岁的未成年人提供服务的提交单独的未成年人个人信息保护政策（模板见附录A中A.1）。d)收集的个人信息范围，包括提供的服务类型、收集的个人信息类型（区分必要和可选个人信息，个人信息类型表述见附录A中A.3）以及通过收集的个人信息所实现的业务功能或使用目的（模板见附录A中A.4）。注1：可选个人信息，也称非必要但有关联个人信息，是与App所提供服务直接相关但可选收集的个人信息。该类信息可由用户拒绝或撤回同意收集。注2：除为用户直接提供业务功能外，使用目的还包括履行法律法规义务（适用于必要个人信息）、其他使用目的（适用于可选个人信息，例如改善服务质量、提升用户体验、定向推送信息、研发新产品、增强安全性等）。e)申请的敏感系统权限列表，包括申请的敏感系统权限名称、相关业务功能/使用目的、用户可否拒绝授权（如不可拒绝则说明用户拒绝授权的影响）、是否仅本地化使用（模板见附录A中A.5）。f)涉及收集个人信息的第三方SDK信息：包括名称、包名、SDK运营者名称、嵌入目的、SDK收集的个人信息类型、SDK使用的敏感系统权限（模板见附录A中A.6）。6.3App个人信息处理活动审核验证6.3.1概述应用商店运营者需对App运营者提交的基本信息、个人信息处理规则进行审核，并对App个人信息处理活动进行验证。对于经审核发现提交信息不完整、不准确，且在应用商店运营者反馈询问后仍未在限定时间内（如5个工作日）给出反馈或合理理由的，或经验证发现存在个人信息处理活动问题的，宜拒绝App