ICS 03.120.20 CCS A 00 RB 中华人民共和国认证认可行业标准 RB/T 182-2023 移动智能终端应用软件个人信息安全 评价规范 Evaluation specifications for personal information security of application software in smart mobile terminals 2024-05-20发布 2024-07-01实施 国家认证认可监督管理委员会 发布 中国标准出版社 出版
RB/T 182-2023 目次 前言 1范围 ... 2规范性引用文件 3术语和定义 4评价流程 4.1概述 4.2评价主要环节 5评价要求 5.1组建团队 5.2制定方案 5.3实施评价 5.4结果记录 6评价内容及方法 6.1个人信息的收集 6.2个人信息的存储 10 6.3个人信息的使用 13 6.4 个人信息主体的权利 17 6 5 个人信息的委托处理共享 转让、公开披露 22 6.6个人信息安全事性处置 31 6.7 组织的个人息安全管理要求 32 评价结果判定 88 7.1 文档审核结果 7.2 技本验证结果判定 7.3 现场审核结果判定 7.4 认证决定 39 附录A(规范性)移动智能终编应用软件个人信息安全评价内容 附录B(资料性)评价项编码规则说明 45 参考文献 47
RB/T 182-2023 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文的发布机构不承担识别专利的责任.
本文件由国家认证认可监督管理委员会提出并归口.
本文件起草单位:中国网络安全审查认证和市场监管大数据中心、北京软件产品频量检测检验中 心、上海市信息安全测评认证中心、中国电子科技集团公司第十五研究所、中国信息通信研究院、公安部 第一研究所、北京邮电大学、中国科学院软件研究所.
郝伟博、王艳红、任风丽、韩煜、冀乃杰、苏璞睿、张森、严妍、王也.
RB/T 182-2023 移动智能终端应用软件个人信息安全 评价规范 1范围 本文件规定了移动智能终端应用软件个人信息安全的评价流程、评价要求、评价内容及存法和评价 结果判定.
本文件适用于认证机构和技术验证机构对移动智能终端应用软件个人信盘安金进行检测、评估和 认证等活动.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必东可少的条款.
其中,注日期的引用文 员会内部 件,仅该日期对应的版本适用于本文件;不注日期的引用交件其最新版本(包括的修改单)适用于 本文件.
GB/T35273-2020信息安全技术 个人信息金全规范 3术语和定义 GB/T35273-2020界定的以及卡列术语和定义适用于本文件.
3.1 移动智能终端应用软件pplication softwareinsmartmobile terminal 注:简称 [来源:GB34975-2017.3.3.有警改] 3.2 AS. K 认证机构 certification body 从事与产品、服务、过程、体系或人员有关的第三方证明活动的机构.
注:认证机构可以自己进行测试和检验活动,或者委托其他机构代表其进行这些活动.
[来源:RB/T072-2021.4.6] 3.3 运营机构operatingorganization 通过移动智能终端应用软件向用户提供信息服务的网络运营者,负责移动智能终端应用软件的运 营,承担移动智能终端应用软件个人信息安全的法律责任.
3.4 技术验证technicalverification 专业技术人员采用测试、检查和文档核查等方法进行符合性验证的过程.
RB/T 182-2023 3.5 技术验证机构technicalverificationorganization 通过测试、检查和文档核查等方法对技术性要求的符合性开展验证活动的机构.
3.6 个人信息personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息.
[来源:GB/T35273-2020.3.1] 3.7 个人敏感信息personal sensitive information 受到损害或歧 视性待遇等的个人信息.
[来源;GB/T35273-2020 3.2] 3.8 个人信息主体personal information subject 个人信息所标识或者关联的自然人.
[来源;GB/T 35273-2020.3.3] 3.9 [来源:GB/T35273-2020.3.4] 4评价流程 4.1概述 移动智能终端应用软件个人信息安全认证评价流程主要分为四个阶段: 认证认可监 a)申请受理阶镀认证机构接收到运营机构提交的申请资料并初步审核通过后受理认证申请: b)技术验证阶段:认证机构安非技术验证机构开展技术验证环节: c)现场事核阶段:认证机构收到技术验证报告并审查合格后,在规定时间内组织审核人员进行现 场审核: d认证决定阶段:认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价,做出 认证决定.
认证决定通过后,由认证机构向运营机构额发认证证书.
图1给出了具体的评价流程.
2
