ICS35.030 CCS L80 GE 中华人民共和国国家标准 GB/T42582-2023 信息安全技术移动互联网应用程序 (App)个人信息安全测评规范 Information security technology-Personal information security testing and evaluation specification in mobile internet applications (App) 2023-05-23发布 2023-12-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42582-2023 目 次 前言 I 1范围 1 2规范性引用文件 1 3术语和定义 1 4缩略语 2 5测评流程与方式 3 5.1概述 3 5.2测评流程 3 5.3测评方式 4 5.4测评环境和工具 5 6测评实施内容 5 6.1个人信息收集的测评 5 6.2个人信息存储的测评18 6.3个人信息使用的测评 22 6.4个人信息主体权利的测评30 6.5个人信息的委托处理、共享、转让、公开披露的测评39 6.6个人信息安全事件处置的测评 53 6.7组织个人信息安全管理要求的测评56 7结果判定 67 8报告编制 67 附录A(资料性)App运营者基本信息采集表 “68 附录B(资料性)测评单元编号说明 69 附录C(资料性)App欺诈、诱骗、误导方式收集个人信息行为举例 70 附录D(资料性)不同场景下ApP收集个人信息的频率参考 71 附录E(资料性)AP申请特定类型系统权限或收集特定类型系统信息时的额外告知参考72 附录F(资料性)仅针对App进行测评时适用的测评单元 73 参考文献 75 GB/T42582-2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本文件起草单位:中国电子技术标准化研究院、中国网络安全审查技术与认证中心、公安部第一研 究所、北京信息安全测评中心、中国电子科技集团公司第十五研究所、国家计算机网络应急技术处理协 调中心、北京百度网讯科技有限公司、北京梆榔安全科技有限公司、中国信息通信研究院、北京指掌易科 技有限公司、中国人民银行数字货币研究所、中国移动通信集团有限公司...