信安标委发布《APP个人信息处理活动管理指南》征求意见稿

随着移动互联网的迅速发展,移动互联网应用程序给人们生活带来便利的同时,越来越多地处理人们的个人信息,但也存在个人信息不合理收集、使用的问题,移动终端作为移动互联网应用程序的载体,通过移动终端及其上操作系统的相应机制可在一定程度上管理个人信息的收集使用,帮助移动互联网应用程序合理的收集使用个人信息。

近日,全国信息安全标准化技术委员会发布了《信息安全技术 移动智能终端的移动互联网应用程序 (App) 个人信息处理活动管理指南(征求意见稿)》(以下简称《征求意见稿》)。

《征求意见稿》按照移动互联网应用程序在移动智能终端上的生命周期节点,提出移动智能终端的个人信息安全管理措施,增强 App 处理个人信息行为明示程度,为 App 用户提供更多个人信息保护控制机制,以加强移动终端操作系统上运行的移动互联网应用程序的个人信息安全。

《征求意见稿》针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南,以增强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制,适用于指导移动智能终端提供者进行系统设计、开发活动,主要适用于智能手机。

《征求意见稿》指出,移动智能终端对App个人信息处理活动的管理宜遵循以下原则:

1、公开透明:以合理方式记录、提示 App 处理个人信息情况,确保用户对 App 个人信息处理行为可感知;

2、方便管理:向用户提供 App 个人信息管理入口,确保用户能方便地允许或拒绝 App 对个人信息的处理;

3、确保安全:确保用户安装安全的 App,以及 App 以安全的方式处理个人信息;

4、细致管控:对于移动智能终端上敏感度较高的个人信息,实施限制处理、细粒度管理等措施;

5、合理适度:采取合理的手段管理其上个人信息,实现用户对个人信息管控的同时,避免对用户造成干扰(如频率过高的弹框提示等),影响 App 的正常运行。

《征求意见稿》还指出,App应管理安装风险,用户通过网站、应用商店等移动应用分发平台下载、安装App时,移动智能终端宜:

1、在执行 App 安装前明确提示用户并取得用户授权;

2、判断所安装的 App 是否存在病毒、漏洞等安全风险,对于明确存在安全风险的 App 提示用户相应的安全风险,并提供阻止继续安装的选项;

3、判断 App 是否存在可能的安全风险,若存在可能的安全风险提示用户,并提供其它渠道下载、安装、升级选项;

4、判断 App 所声明权限是否包括敏感系统权限,不在安装阶段要求用户对敏感系统权限进行授权。

附:《信息安全技术 移动智能终端的移动互联网应用程序 (App) 个人信息处理活动管理指南(征求意见稿)》全文

本文作者:FreeBuf政策发布, 转载请注明来自FreeBuf.COM

© 版权声明
THE END
喜欢就支持一下吧
点赞15赏点小钱 分享