信息安全技术移动智能终端个人信息保护技术要求

信息安全技术移动智能终端个人信息保护技术要求

国家标准 GB/T34978一2017 信息安全技术移动智能终端个人信息 保护技术要求 informationseeuritytechnology一Iechnoogyrequirementsforpersnal informmatioproteetionofsmartmobileterminal 2017-11-01发布 2018-05-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/34978一2017 前 言 本标准按照GB/T1.1一2009的规则起草 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位:浙江长天信息技术有限公司,浙江省经济和信息化委员会、成都网安科技发展有 限公司、软件评测中心、工业和信息化部电子工业标准化研究院、信息安全测评中心 本标准主要起草人:高洁原、高炽扬、罗锋盈、高子鹏、王坤、张华熊,刘法旺,刘陶、杨建军、郭颖
GB/T34978一2017 引 言 随着移动互联网的快速发展和移动智能终端的广泛应用,移动智能终端个人信息在人们的社会、经 济活动中的地位日益凸显,滥用个人信息的现象也随之出现,给社会秩序和个人切身利益带来了危害 为促进移动智能终端个人信息的合理利用,指导和规范利用移动智能终端处理个人信息的活动,制定本 标准 IN
GB/34978一2017 信息安全技术移动智能终端个人信息 保护技术要求 范围 本标准规定了移动智能终端的个人信息分类及个人信息的保护原则和技术要求 本标准适用于指导公共及商业用途的移动智能终端进行个人信息的处理,其他有关各方也可参照 使用 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/Z28828一2012信息安全技术公共及商用服务信息系统个人信息保护指南 3 术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件 3.1.1 移动智能终端smartmobileterminal 能够接人移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方 应用软件的手持或便携设备 3.1.2 plication 移动智能终端应用程序 smartmobileterminalapp 安装在移动智能终端设备上,能够利用移动智能终端设备上操作系统提供的开发接口,实现某项或 某几项特定任务的计算机程序 3.1.3 移动智能终端个人信息smarmobiletermimalpersonalinformation 可为移动智能终端中操作系统或应用软件所处理、与移动智能终端用户相关,且能够单独或通过与 其他信息相结合使用,从而识别该移动智能终端用户的数据信息 3.1.4 个人信息主体subjeetofpersonalinformatiom 个人信息指向的自然人 3.1.5 朋示同意expressedlconsent 个人信息主体明确授权同意,并保留证据 3.2缩略语 下列缩略语适用于本文件
GB/T34978一2017 API;应用程序编程接口(Applie cationProgramminglnterface) IMEI,国际移动设备身份码(IernmatiomalMobleEquipmenldentity) )evicelIdentifier UDID唯一设备识别符(Unique 移动智能终端个人信息分类 4.1概述 移动智能终端个人信息主要包含通信信息、日志信息,账户信息、金融支付信息、传感采集信息,设 备信息和文件信息共七大类别,涉及了包括移动智能终端设备系统固有,用户存储及应用程序生成等各 类个人信息数据 4.2个人信息分类 4.2.1通信信息是指移动智能终端用户用于发起或接受通信以及在通信过程中所产生的数据信息 包括通讯录、通讯记录、短信、彩信、邮件,即时通信消息等 4.2.2日志信息是指移动智能终端用户通过使用应用程序而记录的与时间相关的事件信息,或由应用 程序产生的以时间为检索条件的使用记录或缓存数据 4.2.3账户信息是指移动智能终端应用程序在注册或登录时需要填写的信息,以及移动智能终端中各 应用程序所存储的个人账号相关信息 4.2.4金融支付信息是指移动智能终端用户借助终端参与金融交易或支付活动而产生的数据信息 包括交易验证码、动态口令等 4.2.5传感采集信息是指利用移动智能终端传感器设备所采集到的、能反映移动智能终端设备用户的 周边环境和身份特征的数据信息 包括地理位置信息,指纹信息等 42.6设备信息是指可标识移动智能终端唯一性的数据信息 包括MEI.UDD等 4.2.7文件信息是指存储在移动智能终端设备存储介质中的数据信息 包括照片、音频,视频,文本等 各种类型文件数据 5 移动智能终端个人信息保护原则 一般应按GB/Z288282012中4.2的要求,遵循其目的 在对移动智能终端个人信息进行处理时， 明确、最少够用,公开告知、个人同意、质量保证,安全保障,诚信腿行和责任明确八项原则合理的利用个 人信息 6 移动智能终端个人信息保护技术要求 6. 概述 在移动智能终端个人信息的处理过程中可分为收集,加工、转移和删除四个主要环节 对个人信息 的保护贯穿于四个阶段中: a 收集阶段是指移动智能终端系统和应用程序对设备中个人信息的提取和记录 b)加工阶段是指移动智能终端系统和应用程序对收集到的个人信息进行的操作处理,如录人、存 储、修改、标注等 转移阶段是指移动智能终端系统和应用程序对收集和处理的个人信息进行发送和传输,从而 将个人信息转移复制到其他信息系统
GB/34978一2017 d 删除阶段指使移动智能终端个人信息在收集,加工处理和传输存储过程结束后,个人信息不再 可用时应删除相应数据 6.2个人信息收集阶段 6.2.1移动智能终端操作系统应对系统资源的调用进行监控、保护和提醒,确保涉及收集个人信息的 行为总是在受控的状态下,不会造成出现用户不可控的行为的执行 6.2.2移动智能终端系统和应用程序,在通过调用操作系统或其他安装的第三方软件系统提供的AP 接口收集个人信息时,应告知用户,让用户知晓当前操作会收集个人信息的种类,以及收集的个人信息 的用途 在收集个人信息过程中,移动智能终端系统和应用程序只应收集能够达到已告知目的的最少 6.2.3 信息 6.2.4持续收集个人信息时,应允许移动智能终端用户配置、调整或关闭个人信息收集功能 6.2.5移动智能终端系统和应用程序不应该采取隐蔽手段或以间接方式收集个人信息 6.2.6收集涉及个人敏感信息和身份特征的个人信息数据时应采用明示同意的告知许可方式 6.2.7 收集阶段的告知提醒,应明确一个时间有效朋,包括一段时间或长期等 6.2.8个人信息收集方在收集阶段进行告知提醒时,应提供对个人信息进行全过程安全保护的证据 6.3个人信息加工阶段 6.3.1移动智能终端系统和应用程序在对个人信息进行加工处理时,应告知加工目的,方法或手段 6.3.2不对收集阶段告知范围以外的个人信息数据进行加工处理 6.3.3保证个人信息在加工处理过程中的安全性,在整个过程中个人信息不应被三方无关人员或组织 获知,过程数据和结果数据都应加密处理,且加密处理方式和强度应符合公共或商用标准 6.3.4移动智能终端系统和应用程序对个人信息进行加工处理时,应保证系统稳定运行,不造成个人 信息的损毁、泄露和丢失等,加工过程完毕时应进行数据完整性和正确性检查 6.3.5移动智能终端中个人信息加工处理过程应可控,移动智能终端设备用户可配置,调整或关闭加 工过程 6.3.6 移动智能终猫系统和应用程序的设计者或开发着不应该在加工过醒巾采取隐散手段挖据和分 析归纳用户的身份特征数据 6.4个人信息转移阶段 6.4.1移动智能终端系统和应用程序在进行个人信息数据传输转移时,应告知移动智能终端设备用户 当前个人信息转移的目的、转移信息的获得者、转移数据的使用范围 6.4.2不对收集阶段告知范围以外的个人信息数据进行转移处理 6.4.3基于最少够用的原则,对于在本地加工处理能满足功能需求的个人信息数据,则不需要进行数 据的传输转移 6.4.4通讯数据和环境数据类等涉及个人敏感信息或身份特征的个人信息,经移动智能终端设备用户 同意授权后才可转移 6.4.5个人信息的数据转移过程应保证所转移数据的安全性、完整性及正确性,转移或转存的个人信 息数据其过程和结果都应进行加密处理，且加密处理方式和强度应符合公共或商用标准 6.4.6个人信息数据的转移过程应可控,移动智能终端设备用户可对当前转移操作进行配置、调憋或 关闭操作 6.5个人信息删除阶段 6.5.1移动智能终端系统和应用程序对收集,加工,转移阶段所使用的个人信息的缓存数据,应该提供
GB/T34978一2017 自动删除或者手动删除功能 6.5.2移动智能终端系统和应用程序提供的删除功能应该具备数据彻底删除能力,以保证被删除的个 人信息数据不可被恢复 6.5.3移动智能终端设备遗失或被盗时,移动智能终端系统和应用程序应确保原设备中的个人信息数 据可以被远程销毁
GB/34978一2017 参考文献 [1]YD/T2407一2013移动智能终端安全能力技术要求

信息安全技术移动智能终端个人信息保护技术要求GB/T34978-2017

前言

随着移动互联网的迅速发展和普及，移动智能终端已经成为人们工作、生活中不可或缺的一部分。同时，随着移动智能终端的使用场景越来越广泛，个人信息在移动智能终端上的存储、传输和处理也日益增多，这为信息安全带来了新的挑战。

因此，为了更好地保护个人信息安全，国家发布了《信息安全技术移动智能终端个人信息保护技术要求GB/T34978-2017》标准，该标准主要是为了规范移动智能终端的个人信息保护技术，以保障个人信息的安全。

标准要求

根据《信息安全技术移动智能终端个人信息保护技术要求GB/T34978-2017》标准的要求，移动智能终端应具备以下安全性能：

• 加密性能：移动智能终端应当具备对于存储、传输和处理的个人信息进行加密的能力。
• 认证性能：移动智能终端应当具备对于用户身份进行认证的能力。
• 访问控制：移动智能终端应当具备对于个人信息进行访问控制的能力。
• 完整性检查：移动智能终端应当具备对于存储、传输和处理的个人信息进行完整性检查的能力。
• 可信度验证：移动智能终端应当具备对于系统软件和硬件的可信度验证能力。
• 数据备份恢复：移动智能终端应当具备对于个人信息进行备份和恢复的能力。

应用实践

为了满足《信息安全技术移动智能终端个人信息保护技术要求GB/T34978-2017》标准的要求，企业可以从以下几个方面入手：

• 加强设备和软件的安全性测试，确保系统的稳定性和可靠性。
• 设置密码锁屏、定期修改密码、以及限制权限等多种访问控制方式。
• 对于存储于移动智能终端上的个人信息进行加密，以避免因意外丢失或盗窃而导致个人信息泄露。
• 定期备份个人信息，并建立恢复机制，以防 数据丢失或系统崩溃导致的信息损失。
• 定期更新移动智能终端的软件和硬件，确保其安全性能得以提高。

结语

个人信息泄露已经成为现代社会中的一大隐患，而移动智能终端作为信息存储、传输和处理的重要载体，其安全性显得尤为重要。因此，《信息安全技术移动智能终端个人信息保护技术要求GB/T34978-2017》标准的发布，不仅是对移动智能终端企业的一种规范，更是对于用户个人信息保护的一种保障。

信息安全技术移动智能终端个人信息保护技术要求的相关资料

和信息安全技术移动智能终端个人信息保护技术要求类似的标准

GB/T20008-2005

信息安全技术操作系统安全评估准则

2022/11/1 21:19:55 现行

GB/T20282-2006

信息安全技术信息系统安全工程管理要求

2022/11/4 23:34:29 现行

GB/T20274.1-2006

信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型

2022/11/4 22:58:45 现行

GB/T20271-2006

信息安全技术信息系统通用安全技术要求

2022/11/4 22:40:21 现行

GB/T20270-2006

信息安全技术网络基础安全技术要求

2022/11/4 22:21:58 现行

GB/T20269-2006

信息安全技术信息系统安全管理要求

2022/11/4 22:03:36 现行

GB/T20984-2007

信息安全技术信息安全风险评估规范

2022/11/3 3:32:13 现行

GB/T21054-2007

信息安全技术公钥基础设施PKI系统安全等级保护评估准则

2022/11/2 14:25:19 现行

GB/T21053-2007

信息安全技术公钥基础设施PKI系统安全等级保护技术要求

2022/11/2 14:06:56 现行

GB/T21052-2007

信息安全技术信息系统物理安全技术要求

2022/11/2 13:48:21 现行

GB/T20274.4-2008

信息安全技术信息系统安全保障评估框架第4部分：工程保障

2022/10/31 23:03:47 现行

GB/T20274.3-2008

信息安全技术信息系统安全保障评估框架第3部分：管理保障

2022/10/31 22:45:02 现行

GB/T24363-2009

信息安全技术信息安全应急响应计划规范

2022/10/24 20:35:57 现行

GB/T25062-2010

信息安全技术鉴别与授权基于角色的访问控制模型与管理规范

2022/10/30 3:45:32 现行

GB/T25069-2010

信息安全技术术语

2022/10/30 1:33:47 现行