ICS 33.050 CCS M 30 团体标 准 T/TAF 149—2023 移动应用分发平台 个人信息保护 保障能 力评估规范 Mobile application distribution platform — Evaluation specification of personal information protection and guarantee ability 2023-02-08发布 2023-02-08实施 电信终端产业协会 发布 T/TAF 149—2023 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 2 5 个人信息保护保障能力评估概述 ................................ ......................... 2 5.1 评估原则 ................................ ................................ ......... 2 6 个人信息保护保障能力评估指标 ................................ ......................... 2 6.1 保障功能要求 ................................ ................................ .....2 6.2 保障管理要求 ................................ ................................ .....2 7 个人信息保 护保障能力评估流程 ................................ ......................... 5 7.1 总体要求 ................................ ................................ ......... 5 7.2 确定评估对象 ................................ ................................ .....5 7.3 调研评估对象 ................................ ................................ .....6 7.4 制定评估计划 ................................ ................................ .....6 7.5 实施评估 ................................ ................................ ......... 6 7.6 出具评估结论 ................................ ................................ .....6 8 个人信息保护保障能力评估方法 ................................ ......................... 6 T/TAF 149—2023 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、泰尔认证中心有限公司 、OPPO 广东移动通信有限公司 、北京快手科技有限公司、南昌黑鲨科技有限公司、荣耀终端有限公司、小米通 讯技术有限公司、北京奇虎科技有限公司、蚂蚁科技集团股份有限公司、阿里巴巴（中国）有限公司、 北京三星通信技术研究有限公司、华为技术有限公司、 上海兆言网络科技有限公司、北京抖音信息服务 有限公司、广州视源电子科技股份有限公司、联想（北京）有限公司、北京微梦创科网络技术有限公司 、 北京三快在线科技有限公司 、珠海市魅族科技有限公司。 本文件主要起草人： 王嘉义、陈鑫爱、魏凡星、姜慧格、傅山、刘陶、王艳红、杜云、杨萌科、王 宇晓、贾科、张玮、宁华、常琳、付艳艳、李越、落红卫、王昕、沈彭军、赵之成、赵晓娜、顾泽宇、 杜文博、姚一楠、彭晋、林冠辰、黄天宁、吴越、衣强、李实、张海燕、钱雷、杨骁涵、肖洋、李洁、 李汝鑫、刘俊、高龙、王天、刘瑾、祖岩岩、沈玲、毕烽。 T/TAF 149—2023 III 引 言 随着《网络安全法》、《个人信息保护法》的落地和实施，个人信息保护已经成为广大人民群众最 关心最直接最现实的利益问题之一， 《个人信息保护法》中明确规定个人信息处理者应当对其个人信息 处理活动负责，并采取必要措施保障所处理的个人信息的安全。移动应用分发平台成为移动应用下载和 使用的主要来源， 也是各方关注的焦点， 更是保障移动互联网用户合法权益、 保障用户个人信息的重点。 本标准将落实法律法规的要求，提出移动应用分发平台个人信息保护保障能力评估规范，指导行业进行 系统性的保障能力建设、规程建设、技术建设，落实个人信息 保护工作。 T/TAF 149—2023 1 移动应用分发平台 个人信息保护保障能力评估规范 1 范围 本文件规定了移动应用分发平台个人信息保护保障能力评估规范， 主要包含对个人信息的全生命周 期保障能力和安全能力，保障用户合法权益。 本文件适用于第三方评估机构开展评估工作，同时也适用于个人信息处理者进行自评估。 2 规范性引用文件 本文件没有规范性引用文件 。 3 术语和定义 下列术语和定义适用于本文件。 3.1 移动应用分发平台 application software distribution platform 是指通过应用商店、应用市场、网站等方式提 供App下载、升级服务的软件服务平台。 3.2 移动应用软件 mobile application 移动智能终端系统之上安装、运行的，向用户提供服务功能的应用软件，包括集成的 SDK 等第三 方产品或服务，包含快应用、小程序等多种形态。 3.3 移动应用软件开发者 mobile application software developer 移动应用开发者是指为移动应用提供软件开发、应用部署等服务的主体 (单位或个人 )。 3.4 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合 识别特定自然人身份或者反映特定自然 人活动情况的各种信息 ，本文件中数据指个人信息 。 注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内 容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2:个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如用户画像或特征标签，能够单独或者与 其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。 T/TAF 149—2023 2 4 缩略语 下列缩略语适用于本文件。 APP：移动应用软件（ Application ） SDK：软件开发工具包（ Software Development Kit ） H5：第五代超文本标记语言（ HTML5） 5 个人信息保护保障能力评估概述 5.1 评估原则 开展移动应用分发平台个人信息保护保障能力评估应遵循以下原则： a) 目的性原则：评估目的应明确具体，评估范围应与评估目的相适应。 b) 可用性原则 ：应确保保障能力措施实施情况可被准确评测， 并能和具体评估指标对应进行评估。 c) 全面性原则：评估应当贯穿个人信息全周期，实现对个人信息保护流程的全面控制。 d) 可调性原则：评