新浪篮彩预测
您现在的位置: 首 页 >> 行业资讯

市场监管总局、中央网信办|关于开展App安全?#29616;?#24037;作的公告

2019-03-19 18:13:40  作者:广东省网商协会  来源:广东省网商协会

 

 

 

 

3月15日,市场监管总局、中央网信办关于开展App安全?#29616;?#24037;作的公告对外发布。

 

 

 

 

 

市场监管总局 中央网信办关于开展App安全?#29616;?#24037;作的公告

 

  为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,根据《中华人民共和国网络安全法》《中华人民共和国?#29616;?#35748;?#21830;?#20363;》,市场监管总局、中央网信办决定开展App安全?#29616;?#24037;作。现将有关事项公告如下: 

  一、App安全?#29616;?#27963;动依据《移动互联网应用程序(App)安全?#29616;?#23454;施规则》(见附件)开展。 

  二、从事App安全?#29616;?#30340;?#29616;?#26426;构为中国网络安全审查?#38469;?#19982;?#29616;ぶ行模?#26816;测机构由?#29616;?#26426;构根据?#29616;?#19994;务需要和?#38469;?#33021;力?#33539;ā?nbsp;

  三、?#29616;?#26426;构和检测机构应按有关规定,客观、公正地开展?#29616;?#21644;检测活动,并对?#29616;?#21644;检测结果负责。 

  四、国家鼓励App运营者自愿通过App安全?#29616;ぃ?#40723;励搜索引擎、应用商店等明确标识并优先推荐通过?#29616;?#30340;App。 

  附件:移动互联网应用程序(App)安全?#29616;?#23454;施规则 

  市场监管总局 中央网信办

  2019年3月13日 

  (此件公开发布) 

 

  附件

  编号:CNCA-App-001

  移动互联网应用程序(App)安全?#29616;?#23454;施规则

  2019-03-13发布 2019-03-15实施

  国家?#29616;?#35748;可监督管理委员会发布

  目录

  1适用范围

  2?#29616;?#20381;据

  3?#29616;?#27169;式

  4?#29616;?#31243;序

  4.1?#29616;?#30003;请

  4.2 ?#29616;?#21463;理

  4.3 ?#38469;?#39564;证

  4.4 现场审核

  4.5 ?#29616;?#20915;定

  4.6 对?#29616;?#20915;定的申诉

  4.7 获证后监督

  5?#29616;?#26102;限

  6?#29616;?#35777;书

  6.1证书的保持

  6.2证书的变更

  6.3?#29616;?#30340;暂停、撤销和注销

  7?#29616;?#35777;书和?#29616;?#26631;志的使用和管理

  7.1?#29616;?#35777;书的使用

  7.2?#29616;?#26631;志及其使用

  8?#29616;?#36131;任

 

  1适用范围

  本规则适用于对移动互联网应用程序(以下称“App”)的数据安全?#29616;ぁ?/span>

  2?#29616;?#20381;据

  App安全?#29616;?#30340;?#29616;?#20381;据为 GB/T 35273《信息安全?#38469;?#20010;人信息安全规范》及相关标准、规范。

  上述标准原则上应执行国家标准化行政主管部门发布的最新版本。

  3?#29616;?#27169;式

  App安全?#29616;?#30340;?#29616;?#27169;式为:?#38469;?#39564;证+现场核查+获证后监督。

  4?#29616;?#31243;序

  4.1?#29616;?#30003;请

  4.1.1申请方

  ?#29616;?#30003;请主体为通过App向用户提供服务的网络运营者(以?#24405;?#31216;“App运营者”),且取得市场监督管理部门或有关机构注册登记的法人资格。

  App运营者有下列情形之一的,不得申请?#29616;ぃ?/span>

  (1)违反相关法律法规;

  (2)在12个月内发生重大信息安全?#24405;?/span>

  (3)所持同类证书在撤销?#29616;?#24433;响期内;

  (4)?#29616;?#26426;构规定的其他情况。

  4.1.2 申请单元的?#33539;?/span>

  原则上按App版本申请?#29616;ぁ?#21516;一名称的App,版本号、操作系统平台等不同时,一般应分为不同申请单元,具体由?#29616;?#26426;构依据本规则制定的?#29616;?#23454;施细则予以规定。

  4.1.3申请方应提交的文件和资料

  ?#29616;?#30003;请方在申请?#29616;?#26102;,提交的文档资料应至少包含以下内容:

  (1)?#29616;?#30003;请书;

  (2)法人资格证明材料;

  (3)App版本控制说明;

  (4)对?#29616;?#35201;求符合性的自评价结果及相关证明文档;

  (5)对App符合相关安全?#38469;?#26631;准的证明文件;

  (6)不同发布渠道的版本差异性声明;

  (7)其他需要的文件。

  4.2 ?#29616;?#21463;理

  ?#29616;?#26426;构对申请资料进行审核后做出受理决定,并向?#29616;?#30003;请方反馈受理决定。

  4.3?#38469;?#39564;证

  4.3.1 样品获取

  ?#29616;?#30003;请方按照申请书填写的送样方式提交样本。

  送样副?#23621;Ψ从?#25152;有发布渠道App副?#23621;肴现?#30456;关的?#38469;?#29305;性;不能?#20174;?#26102;,还应选送申请单元内其他App副本。

  4.3.2 ?#38469;?#39564;证依据的标准

  ?#38469;?#39564;证的依据为 GB/T 35273《信息安全?#38469;?#20010;人信息安全规范》。

  ?#29616;?#26426;构应根据GB/T 35273制定?#38469;?#39564;证规范,?#33539;?#38024;?#21592;曜家?#27714;的?#38469;?#39564;证内容、方法?#25512;?#20215;准则。

  4.3.3?#38469;?#39564;证方式

  ?#38469;?#39564;证采用实验室检测和现场核查?#30830;?#24335;进行。

  4.3.4 ?#38469;?#39564;证实施

  检测机构按照?#38469;?#39564;证规范实施?#38469;?#39564;证,并按照?#29616;?#26426;构有关规定出具?#38469;?#39564;证报告。

  发现不符合时,检测机构向?#29616;?#30003;请方出具不符合报告,并要求限期整?#27169;?#36926;期未完成整改的,中止?#29616;?#36807;程。

  4.4现场审核

  ?#38469;?#39564;证通过后,?#29616;?#26426;构对App运营者进行现场审核。

  4.4.1现场审核依据的标准

  现场审核的依据为 GB/T 35273《信息安全?#38469;?#20010;人信息安全规范》。

  ?#29616;?#26426;构应根据GB/T 35273制定现场审核规范,?#33539;?#38024;?#21592;曜家?#27714;的现场审核内容、方法?#25512;?#20215;准则。

  4.4.2现场审核实施

  ?#29616;?#26426;构按照现场审核规范实施现场审核,并按?#29616;?#26426;构有关规定出具现场审核报告。

  发现不符合时,?#29616;?#26426;构向?#29616;?#30003;请方出具不符合报告,并要求限期整?#27169;?#36926;期未完成整改的,中止?#29616;?#36807;程。

  4.5?#29616;?#20915;定

  ?#29616;?#26426;构根据申请资料、?#38469;?#39564;证结论和现场审核结论等进行综合评价,做出?#29616;?#20915;定。?#29616;?#20915;定通过后,由?#29616;?#26426;构向?#29616;?#30003;请方颁发?#29616;?#35777;书,并授权获证App运营者使用规定的?#29616;?#26631;志。?#29616;?#20915;定不通过的,终止?#29616;ぁ?/span>

  4.6对?#29616;?#20915;定的申诉

  ?#29616;?#30003;请方如对?#29616;?#20915;定结果有异议,可在收到?#29616;?#32467;果通知后10个工作日内通过?#29616;?#26426;构指定的申诉渠道进行申诉。?#29616;?#26426;构自收到申诉之日起,应在5个工作日决定是否予以受理;对于受理的申诉,一般应在30个工作日给出处理结果,并将处理结果书面通知?#29616;?#30003;请方。

  4.7获证后监督

  获证App运营者应持续进行获证后自评价,并配合?#29616;?#26426;构的监督活动。

  ?#29616;?#26426;构应对获证App和App运营者实施持续监督,监督方式包括日常监督和专项监督。

  4.7.1获证后自评价

  获证App运营者应对获证App持续符合?#29616;?#35201;求的情况进行自评价。当出现如下情形时,获证App运营者应向?#29616;?#26426;构提交自评价报告:

  (1)获证App的分发渠道发生变化;

  (2)?#29616;?#26631;志使?#20204;?#20917;发生变化;

  (3)获证App发生变更,以及所引起的收集、处理和使用个人信息的目的、类型、方式发生变化;

  (4)获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化;

  (5)获证App运营者收?#20132;?#35777;App个人信息保护相关的投诉举报。

  4.7.2 日常监督

  ?#29616;?#26426;构应对获证App和App运营者持续实施日常监督,日常监督的内容至少包括以下方面:

  (1)获证App一致性检查;

  (2)获证App的更新情况;

  (3)?#29616;?#35777;书和?#29616;?#26631;志的使?#20204;?#20917;;

  (4)企业开展自评价的情况;

  (5)获证App被网民举报投诉和社会媒体曝光情况;

  (6)其他影响获证App在个人信息收集、处理和使用方面持续符合?#29616;?#35201;求的情况。

  ?#29616;?#26426;构应定期对日常监督情况进行评价,形成日常监督报告。

  4.7.3专项监督

  当出现如下情形,?#29616;?#26426;构应启动专项监督:

  (1)网民举报投诉、媒体曝光、行业通报等涉及获证App存在个人信息安全方面的问题,并经查实获证App运营者负有责任时;

  (2)获证App运营者因组织架构、服务模式等发生重大变更,或发生破产并购等可能影响App?#29616;?#29305;性符合性时;

  (3)?#29616;?#26426;构根据日常监督结果,对获证App与本规则中规定的标?#23478;?#27714;的符合性提出具体?#23460;?#26102;。

  专项监督应对上述情形进行深入调查,并对获证App持续符合性全面审核,必要时还可进行?#38469;?#39564;证。

  ?#29616;?#26426;构可采取事先不通知的方式对获证App运营者实施专项监督。

  4.7.4监督结果的处理

  获证后监督中发现不符合时,?#29616;?#26426;构应要求获证App运营者在限期内进行整?#27169;?#24182;对整改结果进行验证。未在规定期限内完成整改或整改结果未通过验证的,按照6.3规定处置。

  5?#29616;?#26102;限

  ?#29616;?#26102;限是指自作出受理决定之日起至作出?#29616;?#20915;定所实际发生的工作日,一般为90个工作日(不包含整改时间)。

  6?#29616;?#35777;书

  6.1证书的保持

  ?#29616;?#26426;构应对?#29616;?#35777;书的?#34892;?#26399;做出规定,超过?#34892;?#26399;的?#29616;?#35777;书自行失效。当?#29616;?#35268;则要求(如标准)发生变化时,应在?#29616;?#26426;构?#33539;?#30340;转换期限内完成换证。

  6.2证书的变更

  6.2.1变更申请与通知

  出现下列情况之一时,获证App运营者应向?#29616;?#26426;构提出变更申请:

  (1)获证App名称、版本发生变更;

  (2)?#29616;?#33539;围扩大或缩小;

  (3)获证App运营者名称、注册地址发生变更;

  (4)?#29616;?#26426;构规定的其它事项发生变更时。

  6.2.2 变更评价和批准

  ?#29616;?#26426;构根据变更的内容,对提供的资料进行评价,?#33539;?#26159;否可以批准变更。如需重新?#38469;?#39564;证和现场审核,应在?#38469;?#39564;证和/或现场审核通过后方能批准变更。

  6.3?#29616;?#30340;暂停、撤销和注销

  6.3.1暂停?#29616;?/span>

  有下列情形之一的,?#29616;?#26426;构应暂停?#29616;ぃ?#24182;予以公布:

  (1)国家有关主管部门发现获证App存在安全问题;

  (2)在监督中发现获证App不能持续符合?#29616;?#35201;求;

  (3)获证App运营者在App发生重大变更后,未及时向?#29616;?#26426;构报告变更情况;

  (4)获证App运营者违规使用?#29616;?#35777;书、?#29616;?#26631;志;

  (5)?#29616;?#26631;准或?#29616;?#35268;则发生变化,获证App运营者未按?#29616;?#26426;构规定完成过渡转换;

  (6)获证App运营者主动申请暂停?#29616;ぃ?/span>

  (7)其他依法应当暂停的情形。

  暂停期限一般为180天。暂停期限内,获证App运营者?#21830;?#20986;?#25351;慈现?#30340;申请,?#29616;?#26426;构经审核、批准后,方可使用该证书。在暂停?#29616;?#26399;间,获证App运营者不得继续使用证书和?#29616;?#26631;志。

  6.3.2 撤销?#29616;?/span>

  有下列情形之一的,?#29616;?#26426;构应撤销?#29616;ぃ?#24182;予以公布:

  (1)获证App运营者存在个人信息安全有关的违规违法行为;

  (2)暂停?#29616;?#26399;间,获证App运营者未采取?#34892;?#25972;改措施;

  (3)发现获证App运营者在?#29616;?#36807;程中存在欺骗、隐瞒、违反承诺等不当行为,影响?#29616;び行?#24615;;

  (4)获证App运营者拒绝接受获证后监督;

  (5)超过暂停期限;

  (6)其他依法应当撤销的情形。

  撤销?#29616;?#21518;,获证App运营者应交回?#29616;?#35777;书,停止使用?#29616;?#26631;志。

  6.3.3注销?#29616;?/span>

  有下列情形之一的,?#29616;?#26426;构应注销?#29616;ぃ?#24182;予以公布:

  (1)获证App不再向用户提供服务;

  (2)获证App运营者申请注销;

  (3)其他依法应当注销的情形。

  注销?#29616;?#21518;,获证App运营者应交回?#29616;?#35777;书,停止使用?#29616;?#26631;志。

  7?#29616;?#35777;书和?#29616;?#26631;志的使用和管理

  7.1?#29616;?#35777;书的使用和管理

  在?#29616;?#35777;书?#34892;?#26399;内,获证App运营者?#23665;?#35777;书在网站、工作场所和宣传资料中展示,但不应进行误导性宣传。

  7.2?#29616;?#26631;志及其使用和管理

  7.2.1 ?#29616;?#26631;志的式样

  ?#29616;?#26631;志的式样由基本?#21450;浮⑷现?#26426;构识别信息组成。

A  B  C  D

  “ABCD”代表?#29616;?#26426;构识别信息。

  7.2.2 ?#29616;?#26631;志的使用和管理

  ?#29616;?#26426;构应规定?#29616;?#26631;志的使用和管理。

  获证App运营者应按照?#29616;?#26426;构的规定使用和管理?#29616;?#26631;志,不得进行误导性宣传。

  8?#29616;?#36131;任

  ?#29616;?#26426;构应对其做出的?#29616;?#32467;论负责。

  检测机构应对?#38469;?#39564;证结果和?#38469;?#39564;证报告负责。

  ?#29616;?#26426;构及其所委派的审核员应对现场审核结论负责。

  ?#29616;?#30003;请方(获证App运营者)应对其所提交的申请资料及样品的真实性、合法?#24895;?#36131;,并对获证App持续符合?#29616;?#35201;求负主体责任。

  ?#29616;?#19981;能免除获证App运营者对获证App承担的法律责任。

新浪篮彩预测