信息安全技術(shù) 移動智能終端的移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息處理活動管理指南-編制說明

一、工作簡況

1、任務(wù)來源

根據(jù)國家標(biāo)準化管理委員會2021年下達的國家標(biāo)準制修訂計劃，《信息安全

技術(shù)移動智能終端的移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息處理活動管理指南》

由華為技術(shù)有限公司承辦，計劃號：XXXXXXXX-T-469。該標(biāo)準由全國信息安全標(biāo)

準化技術(shù)委員會歸口管理。

2、標(biāo)準編制的主要成員單位

華為技術(shù)有限公司負責(zé)起草，中國電子技術(shù)標(biāo)準化研究院、中國網(wǎng)絡(luò)安全審

查技術(shù)與認證中心、OPPO廣東移動通信有限公司、維沃移動通信有限公司、北

京小米移動軟件有限公司、榮耀終端有限公司、北京三星通信技術(shù)研究有限公司

等單位共同參與了該標(biāo)準的起草工作。

3、主要工作過程

2020年12月，撰寫組成立，召開第一次小組討論會，明確本規(guī)范對象和主

要內(nèi)容，確定了以移動終端操作系統(tǒng)為對象，以操作系統(tǒng)上涉及的APP收集使用

個人信息相關(guān)管控為主要內(nèi)容，并分配了相關(guān)工作。

2021年1月，編制組在“四部委APP治理小組”的工作基礎(chǔ)上，分析APP

在個人信息保護方面常見問題，梳理出可通過操作系統(tǒng)增強的問題點；分析、梳

理近年來主流操作系統(tǒng)在個人信息保護方面的增強點。

2021年3月，起草標(biāo)準草案。

2021年8月15日，華為技術(shù)有限公司、中國電子技術(shù)標(biāo)準化研究院、中國

網(wǎng)絡(luò)安全審查技術(shù)與認證中心等共同組成標(biāo)準編制組，召開該標(biāo)準編制啟動工作

會議。會上討論了對標(biāo)準撰寫思路的想法和意見；

2021年9月至11月，標(biāo)準編制組討論并修改國家標(biāo)準《信息安全技術(shù)移

動智能終端的移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息處理活動管理指南》（草案）；

1

2021年11月11日，TC260SWG-BDS工作組在北京組織召開了組內(nèi)專家評

審會。專家組聽取了標(biāo)準編制組的工作匯報，審閱了相關(guān)文檔，質(zhì)詢了有關(guān)問題。

2021年12月至2022年3月，根據(jù)2021年第二次會議討論意見、以及編制

組成員線下反饋意見形成征求意見稿，并組織編制組成員討論征求意見稿。

2022年4月14日，TC260組織專家進行了標(biāo)準征求意見稿評審，根據(jù)專家

意見對用戶展示app個人信息處理等內(nèi)容進一步細化，有利于用戶進行查看與管

理。

2022年5月，根據(jù)專家以及編制組成員會議討論意見進行修改完善，形成

最終征求意見稿。

二、標(biāo)準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標(biāo)準的編制原則是：

1）通用性

按照本標(biāo)準實現(xiàn)的移動智能終端的App個人信息處理活動管理指南，可實現(xiàn)

基本技術(shù)規(guī)格一致，便于用戶使用和管理。

2）實用性

根據(jù)我國國情、實際運用環(huán)境和國家有關(guān)政策編制本標(biāo)準，使其在指導(dǎo)移動

智能終端的App個人信息處理活動管理，保障個人信息安全方面具有很強的實用

性。

3）安全性與隱私

在本標(biāo)準中對移動智能終端的App個人信息處理活動的數(shù)據(jù)安全與隱私做

了實施指南，從而確保個人信息處理活動管理過程中的安全性。

4）符合性

符合國家有關(guān)法律法規(guī)和已有標(biāo)準規(guī)范的相關(guān)要求。

2、確定主要內(nèi)容的依據(jù)

標(biāo)準制定的依據(jù)為：

a）標(biāo)準格式按照GB/T1.1—2020標(biāo)準要求編寫。

b）本標(biāo)準制定參考以下國家、行業(yè)標(biāo)準：

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

GB/T39335—2020信息安全技術(shù)個人信息安全影響評估指南

2

GB/T40660—2021信息安全技術(shù)生物特征識別信息保護基本要求

3、解決的主要問題

本標(biāo)準應(yīng)用在移動終端操作系統(tǒng)在APP收集、使用個人信息時提供管理、

提示、控制等功能，例如針對敏感個人信息或移動終端敏感能力，提供更強的提

醒機制，為用戶提供應(yīng)用軟件調(diào)用行為記錄，針對系統(tǒng)提供的存儲能力給出優(yōu)化

的管控機制，避免應(yīng)用軟件生成的信息被其它應(yīng)用軟件獲取，針對權(quán)限管理，給

出優(yōu)化的授權(quán)范圍、授權(quán)方式，以控制應(yīng)用軟件獲得個人信息的內(nèi)容或頻率。

本標(biāo)準適用于移動終端生產(chǎn)、制造企業(yè)在實踐中提高個人信息保護能力，本

標(biāo)準將首先在牽頭公司中進行應(yīng)用試點，并逐漸推廣到其它終端廠家。

目前，由于相關(guān)標(biāo)準規(guī)范缺失，移動智能終端的App個人信息處理活動在

數(shù)據(jù)濫采、存儲、使用方面沒有明確的安全要求，造成安全防護措施薄弱，未經(jīng)

用戶明確授權(quán)或超范圍使用個人信息的情況普遍存在挑戰(zhàn)。

本標(biāo)準擬提出移動智能終端的App個人信息處理活動要求，標(biāo)準主要框架

基于APP在移動智能終端的生命周期各節(jié)點中用戶個人信息風(fēng)險，給出APP各生

命周期移動終端的管理措施，具體包括：安裝階段措施、啟動階段措施、運行階

段措施、更新階段措施、退出、卸載階段措施，其中APP運行涉及到個人信息處

理的場景最多，因此此階段又包括了APP使用個人信息提示、APP調(diào)用個人信息

行為記錄、設(shè)備識別碼訪問控制、敏感數(shù)據(jù)訪問控制、存儲空間使用、系統(tǒng)權(quán)限

能力增強幾個方面措施。

三、主要試驗情況分析

對行業(yè)標(biāo)準進行調(diào)研分析，對國內(nèi)廠商的主流產(chǎn)品進行充分調(diào)研，在盡量廣泛

的生產(chǎn)廠家范圍內(nèi)提高征求意見，為試驗驗證作基礎(chǔ)。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準不涉及專利及知識產(chǎn)權(quán)問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

移動智能終端的App個人信息處理活動標(biāo)準化對于增強我國各相關(guān)行業(yè)信息

安全，尤其是個人信息安全具有重要意義。移動智能終端的App個人信息可能被

檢索或分析，如數(shù)據(jù)主體的財務(wù)狀況或推斷健康信息、位置信息等。App個人信息

可能被濫用于其他目的，并被數(shù)據(jù)收集者所濫用。

3

六、采用國際標(biāo)準和國外先進標(biāo)準情況

本標(biāo)準為自主制定，結(jié)合我國針對App個人信息保護的要求，能夠為我國App

個人信息處理活動提供管理指南。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準的協(xié)調(diào)性

本標(biāo)準與現(xiàn)行法律、法規(guī)協(xié)調(diào)一致，《個人信息保護法》第七條要求“處理個

人信息應(yīng)當(dāng)遵循公開、透明原則”，本標(biāo)準面向移動互聯(lián)網(wǎng)APP，以移動智能終端，

主要是智能手機為對象，為APP實現(xiàn)公開、透明原則提供終端系統(tǒng)層面的技術(shù)保障。

本標(biāo)準與現(xiàn)行強制性國家標(biāo)準及相關(guān)標(biāo)準協(xié)調(diào)一致。本標(biāo)準在同GB/T35273—

2020《信息安全技術(shù)個人信息安全規(guī)范》、GB/T39335—2020《信息安全技術(shù)個

人信息安全影響評估指南》、GB/T40660—2021《信息安全技術(shù)生物特征識別信

息保護基本要求》協(xié)調(diào)一致基礎(chǔ)上，針對App個人信息處理活動的細化與補充，并

提出針對性的具體安全要求。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準性質(zhì)的建議

建議作為國家推薦性標(biāo)準發(fā)布。

十、貫徹標(biāo)準的要求和措施建議

本標(biāo)準主要用于通過標(biāo)準化的形式來將移動智能終端的App個人信息處理活

動等進行規(guī)范，有助于促進和規(guī)范當(dāng)前移動智能終端的App個人信息保護工作的

推進和管理。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準的建議

無。

十二、其它應(yīng)予說明的事項

無

《信息安全技術(shù)移動智能終端的移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人

信息處理活動管理指南》編制工作組

2022-6

4

一、工作簡況

1、任務(wù)來源

根據(jù)國家標(biāo)準化管理委員會2021年下達的國家標(biāo)準制修訂計劃，《信息安全

技術(shù)移動智能終端的移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息處理活動管理指南》

由華為技術(shù)有限公司承辦，計劃號：XXXXXXXX-T-469。該標(biāo)準由全國信息安全標(biāo)

準化技術(shù)委員會歸口管理。

2、標(biāo)準編制的主要成員單位

華為技術(shù)有限公司負責(zé)起草，中國電子技術(shù)標(biāo)準化研究院、中國網(wǎng)絡(luò)安全審

查技術(shù)與認證中心、OPPO廣東移動通信有限公司、維沃移動通信有限公司、北

京小米移動軟件有限公司、榮耀終端有限公司、北京三星通信技術(shù)研究有限公司

等單位共同參與了該標(biāo)準的起草工作。

3、主要工作過程

2020年12月，撰寫組成立，召開第一次小組討論會，明確本規(guī)范對象和主

要內(nèi)容，確定了以移動終端操作系統(tǒng)為對象，以操作系統(tǒng)上涉及的APP收集使用

個人信息相關(guān)管控為主要內(nèi)容，并分配了相關(guān)工作。

2021年1月，編制組在“四部委APP治理小組”的工作基礎(chǔ)上，分析APP

在個人信息保護方面常見問題，梳理出可通過操作系統(tǒng)增強的問題點；分析、梳

理近年來主流操作系統(tǒng)在個人信息保護方面的增強點。

2021年3月，起草標(biāo)準草案。

2021年8月15日，華為技術(shù)有限公司、中國電子技術(shù)標(biāo)準化研究院、中國

網(wǎng)絡(luò)安全審查技術(shù)與認證中心等共同組成標(biāo)準編制組，召開該標(biāo)準編制啟動工作

會議。會上討論了對標(biāo)準撰寫思路的想法和意見；

2021年9月至11月，標(biāo)準編制組討論并修改國家標(biāo)準《信息安全技術(shù)移

動智能終端的移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息處理活動管理指南》（草案）；

1

2021年11月11日，TC260SWG-BDS工作組在北京組織召開了組內(nèi)專家評

審會。專家組聽取了標(biāo)準編制組的工作匯報，審閱了相關(guān)文檔，質(zhì)詢了有關(guān)問題。

2021年12月至2022年3月，根據(jù)2021年第二次會議討論意見、以及編制

組成員線下反饋意見形成征求意見稿，并組織編制組成員討論征求意見稿。

2022年4月14日，TC260組織專家進行了標(biāo)準征求意見稿評審，根據(jù)專家

意見對用戶展示app個人信息處理等內(nèi)容進一步細化，有利于用戶進行查看與管

理。

2022年5月，根據(jù)專家以及編制組成員會議討論意見進行修改完善，形成

最終征求意見稿。

二、標(biāo)準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標(biāo)準的編制原則是：

1）通用性

按照本標(biāo)準實現(xiàn)的移動智能終端的App個人信息處理活動管理指南，可實現(xiàn)

基本技術(shù)規(guī)格一致，便于用戶使用和管理。

2）實用性

根據(jù)我國國情、實際運用環(huán)境和國家有關(guān)政策編制本標(biāo)準，使其在指導(dǎo)移動

智能終端的App個人信息處理活動管理，保障個人信息安全方面具有很強的實用

性。

3）安全性與隱私

在本標(biāo)準中對移動智能終端的App個人信息處理活動的數(shù)據(jù)安全與隱私做

了實施指南，