YD/T 3082-2016
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3082-2016.Technical requirements of user information protection on smart mobile terminal.
1范围
YD/T 3082规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。
YD/T 3082适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。
2.1.1.
移动智能终端 Smart Mobile Terminal
能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端。
2.1.2
个人信息 Personal Information
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。
2.1.3
健康数据 Health Data
为实现疾病管理、健康健身和老龄服务等功能而需采集的人体生理指征数据。
2.1.4
单向散列函数 One-Way Hash Function
把任意长的输入消息串转化为固定长度的输出串,且难以由输出串还原得到输入串的一-种函数。
2.1.5
支付网关 Payment Gateway
银行或指派的第三方金融网络系统与Internet网络之间的接口,用于将Internet上传输的数据转换为金融机构内部数据的一组服务器设备。
2.2缩略语
下列缩略语适用于本文件。
IMEI International Mobile Equipment Identity 国际移动设备识别码
IMSI International Mobile Subscriber Identity 国际移动用户识别码
PIN Personal Identification Number 个人识别码
SIM Subscriber Identity Module 客户识别模块
1范围
YD/T 3082规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点,对相应类型的个人信息保护提出具体的技术要求。
YD/T 3082适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。
2.1.1.
移动智能终端 Smart Mobile Terminal
能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端。
2.1.2
个人信息 Personal Information
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。
2.1.3
健康数据 Health Data
为实现疾病管理、健康健身和老龄服务等功能而需采集的人体生理指征数据。
2.1.4
单向散列函数 One-Way Hash Function
把任意长的输入消息串转化为固定长度的输出串,且难以由输出串还原得到输入串的一-种函数。
2.1.5
支付网关 Payment Gateway
银行或指派的第三方金融网络系统与Internet网络之间的接口,用于将Internet上传输的数据转换为金融机构内部数据的一组服务器设备。
2.2缩略语
下列缩略语适用于本文件。
IMEI International Mobile Equipment Identity 国际移动设备识别码
IMSI International Mobile Subscriber Identity 国际移动用户识别码
PIN Personal Identification Number 个人识别码
SIM Subscriber Identity Module 客户识别模块
标准图片预览
标准内容
ICS33.050
中华人民共和国通信行业标准
YD/T3082-2016
移动智能终端上的个人信息保护技术要求Technical requirements of user information protectiononsmartmobileterminal
2016-04-05发布
2016-07-01实施
中华人民共和国工业和信息化部发布前
2术语、定义和缩略语
3个人信息类型…
4个人信息安全目标
5个人信息保护原则
6个人信息处理环节
个人信息安全要求·
参考文献·
YD/T3082-2016
YD/T3082-2016
本标准按照GB/T1.1-2009给出的规则起草,本标准为移动智能终端安全系列标准之一,该系列标准的名称和结构如下:-YD/T1886-2009
《移动终端芯片安全技术要求和测试方法》:3《移动智能终端安全能力技术要求》:YD/T2407-2013
YD/T2408-2013
3《移动智能终端安全能力测试方法》:-YD/T2674-2013
《移动智能终端安全能力设计导则》:5《移动智能终端上的个人信息保护技术要求》YD/T3082-2016
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、中国电信集团公司、大唐电信科技产业集团、深圳酷派技术有限公司、北京邮电大学、北京奇虎科技有限公司。本标准主要起草人:落红卫、潘娟、杨丁宁、金华敏,I
iiikAoNiAca
YD/T3082-2016
移动互联网的飞速发展推动了移动智能终端的快速普及。与传统终端相比,移动智能终端应用了移动通信技术、计算机技术和多媒体技术的最新成果,给人们带来了前所未有的丰富体验。在为用户提供各类业务应用的过程中,终端需生成并存储大量与用户有关的个人信息,但这些信息面临来自设备内部弱点和外部攻击的双重威胁,往往无法得到有效的安全保护,敏感数据泄漏的事件时有发生,给用户带来了极大的不便。
本标准主要对移动智能终端上个人信息的安全保护提出技术要求,强化保护力度,完善保护体系,确保终端上个人信息的机密性、完整性和可用性等安全属性。HiiKAoNiKAca
1范围
移动智能终端上的个人信息保护技术要求YD/T3082-2016
本标准规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
移动智能终端SmartMobileTermina能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端。
个人信息Personal Information可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。
健康数据HealthData
为实现疾病管理、健康健身和老龄服务等功能而需采集的人体生理指征数据2.1.4
单向散列函数One-WayHashFunction把任意长的输入消息串转化为固定长度的输出串,且难以由输出串还原得到输入串的一种函数。2.1.5
支付网关PaymentGateway
银行或指派的第三方金融网络系统与Internet网络之间的接口,用于将Internet上传输的数据转换为金融机构内部数据的一组服务器设备。2.2缩略语
下列缩略语适用于本文件。
International MobileEquipmentIdentityInternational Mobile Subscriber IdentityPersonal Identification NumberSubscriber Identity Module
国际移动设备识别码
国际移动用户识别码
个人识别码
客户识别模块
HiiKAoNi KAca
YD/T3082-2016
3个人信息类型
3.1总体分类
移动智能终端上的个人信息可划分为信息通信类、使用记录类、账户设置类、媒体影音类、传感采集类、金融支付类和设备信息类共7种类型,3.2信息通信类
信息通信类数据是指用户用于发起或接受通信以及在通信过程中产生的个人数据,包括但不限于以下4类。
a)通信录:用户保存的联系人信息;b)短信/彩信:用户收发的短信和彩信c)电子邮件:用户与其他联系人的来往邮件:d)即时通信消息:用户通过即时通信软件收发的文本、音频、图片和视频信息3.3使用记录类
使用记录类数据是指用户在使用终端的过程中间接产生的、反映用户操作记录的数据,包括但不限于以下3类。
a)浏览记录数据:用户最近使用网络浏览器访问的网址列表:b)通话记录数据:终端呼出或呼入的语音通话的记录;c)日志数据:终端记录的、有关操作系统和应用软件运行状况的数据,如日志消息和日志文件等。3.4账户设置类
账户设置类数据是指与特定用户相关联的登录信息,以及仅限于该用户访问或适用于该用户的账户配置,包括但不限于以下两类。a)认证数据:用于标识用户个人身份和提供认证凭据的数据,如用户名、口令和解锁图案等:b)配置数据:用户在账户中设置的、体现其个性化要求的数据,如各种偏好选项等。3.5媒体影音类
媒体影音类数据是指用户借助终端创作产生,或者在终端外部生成并通过存储卡、网络传输、无线外围接口传输或计算机同步等方式进入终端的各类多媒体数据,包括但不限于以下3类。a)照片数据:用户拍摄的照片;b)音频数据:用户录制的音频流;c)视频数据:用户录制的视频流。3.6传感采集类
传感采集类数据是指终端集成的传感功能采集到的,反映终端周边环境和使用者体征状况的数据包括但不限于以下3类。
a)位置数据:与用户的空间位置有关的数据,如经纬度等;b)生物特征数据:与用户身体的生物学特征有关、能够唯一识别个体的数据,如指纹数据和虹膜数据等;
c)健康数据:为实现疾病管理、健康健身和老龄服务等功能而采集的人体生理指征数据,如体温数据、心率数据和血压数据等。3.7金融支付类免费标准下载网bzxz
HiiKAoiKAca
YD/T3082-2016
金融支付类数据是指用户借助终端参与金融交易或支付活动而产生的数据,包括但不限于以下两类,a)金融数据:用户使用在线金融服务时产生的数据,如交易账户和交易记录等:b)支付数据:用户参与支付活动时使用的数据,如银行卡主账号、卡片验证码、PIN和卡片有效期等。
3.8设备信息类
设备信息类数据是指可唯一识别特定终端的硬件标识信息,以及反映用户使用偏好的软件信息,包括但不限于以下3类
a)设备标识数据:移动智能终端硬件设备的标识信息,如终端的IMEI号等;b)手机卡标识数据:与终端配合使用的手机卡有关的标识信息,如本机号码和SIM卡的IMSI号等c)应用软件列表数据:终端上安装的应用软件的列表,如每款应用软件的名称等。4个人信息安全目标
移动智能终端上的个人信息保护目标至少包括机密性、完整性和可用性。机密性是指用户个人信息不能被非授权者,实体或进程利用或泄露的特性。移动智能终端上的个人信息以各类隐私信息为主,如通信录、通话记录、短信/彩信等。其高度敏感的特点要求终端确保相关信息的机密性不受损害。机密性是移动智能终端上个人信息保护的首要安全目标完整性是指在传输和存储个人信息的过程中,确保个人信息不被篡改或在篡改后能够被迅速发现。影响移动智能终端上个人信息完整性的主要因素包括移动恶意应用、软硬件故障及网络传输错误等。为了防止个人信息中的完整性错误被传播扩散或不当使用,要求终端能够对个人信息的完整性进行鉴别。可用性是指个人信息被妥善保存并在用户需要时能顺利得到使用的特性。对于移动智能终端来说,影响个人信息可用性的主要因素包括移动恶意应用、软硬件故障以及终端丢失或被盗。为了确保重要个人信息不被损毁并且随时可供使用,要求终端确保个人信息的可用性,为其提供可靠的存储及备份和恢复的手段。
5个人信息保护原则
5.1目的明确
处理个人信息应具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
5.2最少够用
只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。5.3公开告知
对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。5.4个人同意
处理个人信息前要征得个人信息主体的同意。5.5质量保证
保证处理过程中的个人信息保密、完整、可用,并处于最新状态。5.6安全保障
HiiKAoNi KAca
YD/T3082-2016
采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索,披露及丢失,露、损毁和纂改个人信息5.7诚信履行
按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。6个人信息处理环节
移动智能终端操作系统和移动应用软件对移动智能终端上的个人信息的处理涉及收集、加工、转移和删除四个环节。对移动智能终端上的个人信息保护的技术要求贯穿于四个环节中:a)收集环节:对移动智能终端上的个人信息进行获取的过程;b)加工环节:操作使用移动智能终端上的个人信息的过程;c)转移环节:向移动智能终端外部传输个人信息的过程:d)删除环节:使移动智能终端上的个人信息不再可用的过程。7个人信息安全要求
7.1信息通信类
7.1.1收集阶段
移动应用软件只有在提供以下服务的情况下,才可收集用户的通信录数据:a)通信录管理、检索、备份或同步:b)使用通信录数据发起通信:
c)使用通信录数据查找或推荐好友;d)使用通信录数据辅助快速输入。移动应用软件只有在提供以下服务的情况下,才可收集用户的短信/彩信数据a)短信/彩信管理、检索、备份或同步:b)垃圾短信拦截
c)通过短信进行业务订购或身份认证,移动应用软件对信息通信类数据的收集通常应在提供相应服务的同时进行。若出于业务需要而必须事先收集相关数据,应向用户明示事先收集的目的和范围,并且只有在用户同意的情况下方可继续。7.1.2转移阶段
移动应用软件只有在提供以下服务的情况下,才可将用户的通信录数据转移至终端外部:a)通信录备份或同步:
b)使用通信录数据查找或推荐好友,移动应用软件只有在提供以下服务的情况下,才可将用户的短信/彩信数据转移至终端外部:a)短信/彩信转发:
b)短信/彩信备份或同步:
c)基于云服务的垃圾短信举报或自动识别移动应用软件在执行信息通信类数据的转移前,应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
移动应用软件若通过公共网络转移信息通信类数据,则应对数据进行加密,确保信息在网络传输过程4
HiiKAoNiKAca
中的安全。
7.2使用记录类
7.2.1转移阶段
YD/T3082-2016
移动智能终端操作系统和移动应用软件出于改进用户体验、统计运营状况、故障报告和性能调优的需要,可将其记录的日志数据转移至终端外部。在执行转移前,操作系统和应用软件应向用户明示即将进行的操作,若日志数据中包含以下类型的个人信息:信息通信类,使用记录类中的通话记录数据,账户设置类中的认证数据(仅限认证凭据),传感采集类,金融支付类,还应向用户告知所包含个人信息的内容,并且仅在用户同意后方可继续。若操作系统和应用软件通过设置选项的方式控制日志数据的转移与否,相关选项的默认设置应为禁用日志数据转移7.2.2删除阶段
移动智能终端操作系统和移动应用软件若具备浏览记录和通话记录的功能,则应提供选项,允许用户彻底删除其保存的浏览记录数据和通话记录数据。7.3账户设置类
7.3.1加工阶段
移动智能终端操作系统和移动应用软件应避免将认证数据中的认证凭据以明文形式存储于本地,包括但不限于数据文件、缓存文件、数据库和系统日志。7.3.2转移阶段
移动智能终端操作系统和移动应用软件若通过公共网络转移认证数据中的认证凭据,则应对数据进行加密,确保信息在网络传输过程中的安全。7.4媒体影音类
7.4.1收集阶段
媒体影音类数据在收集阶段需要满足如下要求:一移动应用软件在通过终端配备的摄像头收集实时照片数据和视频数据前,应在用户界面的显著位置通过显示图像预览的方式向用户明示即将进行的操作,并且仅在用户同意后方可继续。对手视频数据的收集,移动应用软件应使用同样的方式向用户明示进行中的收集行为,并且允许用户随时关闭数据收集。
一对于手势识别、眼球跟踪、三维深度感知等需要通过摄像头收集数据、且由加工结果无法辨识原始视频图像的特殊应用,在收集视频数据前和收集过程中可使用显示图像预览之外的方式提示用户,且提示的方式应为明示或使用户能够随时主动查看。移动智能终端操作系统和移动应用软件若具备此类功能,则应提供选项,允许用户打开或关闭相应功能,且开关应默认处于关闭状态。移动应用软件在通过终端配备的麦克风收集实时音频数据前,应在用户界面的显著位置向用户明示即将进行的操作,并且仅在用户同意后方可继续。移动应用软件应通过界面向用户明示进行中的音频数据收集行为,并且充许用户随时关闭数据收集7.4.2转移阶段
媒体影音类数据在转移阶段需要满足如下要求一移动应用软件在将媒体影音类数据转移出终端前,应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
HiiKAoNi KAca
YD/T3082-2016
7.5传感采集类
7.5.1收集阶段
传感采集类数据在收集阶段需要满足如下要求:一移动应用软件只有在提供基于位置的服务或健康管理服务的情况下,才可收集相应的位置数据或健康数据。在执行收集前,移动应用软件应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
移动应用软件若需持续收集位置数据或健康数据,则应向用户明示进行中的收集行为,并且允许用户随时关闭数据收集。
移动智能终端操作系统和移动应用软件在执行生物特征数据的收集前,应在用户界面的显著位置向用户明示即将进行的操作,并且仅在用户同意后方可继续。7.5.2加工阶段
传感采集类数据在加工阶段需要满足如下要求:移动应用软件在将位置数据和健康数据存储在终端内部时,应为保存数据的文件设置适当的权限,以防止未授权的访问。
移动智能终端操作系统在存储生物特征数据时,应避免存储其原始数据,而是应对数据进行单向变换(通常使用单向散列函数)后再进行保存。在执行单向变换时,应增加盐值,以增强变换结果抵御查表攻击的能力。
移动智能终端操作系统应将生物特征数据存储在受保护的系统区域内,并且为其设置适当的权限,以防止未授权的访问。推荐使用专用硬件隔离区(例如集成在终端应用处理器内部的安全区域)来存储这类非常敏感的个人信息。7.5.3转移阶段
传感采集类数据在转移阶段需要满足如下要求:一移动应用软件只有在提供基于位置的服务、健康管理服务或其他合理的服务场景,且相关服务的有效实现需要联网支撑的情况下,才可通过网络将位置数据和健康数据转移至终端外部。数据的转移应按需进行,若服务的目的已达成,则应立即停止转移移动应用软件在通过公用网络将健康数据转移出终端时,应对数据进行加密,确保信息在网络传输过程中的安全。
移动智能终端操作系统在任何情况下都不应将原始的生物特征数据转移到终端外部,但由这些信息衍生得到的其他临时认证凭据(如临时密钥)则不受此要求的限制。7.5.4删除阶段
传感采集类数据在册删除阶段需要满足如下要求:一一移动智能终端操作系统应提供选项,允许用户修改操作系统中已录入的生物特征数据,或者关闭生物识别功能并彻底删除操作系统存储的相关数据。在执行此类操作前,操作系统应首先对用户的身份进行认证。
移动应用软件若将位置数据和健康数据存储在终端内部,则应提供选项,允许用户删除其保存的相关信息。
7.6金融支付类
7.6.1收集阶段
金融支付类数据在收集阶段需要满足如下要求:YD/T3082-2016
移动应用软件只有在提供金融支付服务或调用第三方金融支付服务的情况下,才可收集用户的金融支付类数据。在执行收集前,移动应用软件应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
7.6.2加工阶段
金融支付类数据在加工阶段需要满足如下要求:一移动应用软件如需在用户界面上显示银行卡主账号,则宜对部分数字进行隐藏处理。移动应用软件仅当实现业务功能所必须时,才可在终端内部存储银行卡主账号。存储时应对账号进行加密,并为保存数据的文件设置适当的权限,以防止未授权的访问。移动应用软件在任何情况下都不应在终端内部以持久性的方式存储卡片验证码、个人标识代码和卡片有效期,包括但不限于数据库、数据文件和日志记录。7.6.3转移阶段
金融支付类数据在转移阶段需要满足如下要求:移动应用软件仅当执行用户支付指令时,才可将支付信息转移至终端外部。转移的目的地应为持有合法支付牌照的支付网关。若需通过公共网络传输支付信息,则应使用支付行业相关标准中规定的加密算法和密钥强度对数据进行加密,确保信息在网络传输过程中的安全7.6.4删除阶段
金融支付类数据在删除阶段需要满足如下要求:移动应用软件在完成支付交易、不再需要使用支付数据时,应使用“0\字节、“1\字节或随机字节对内存中保存相关信息的数据结构进行填充处理。移动应用软件若在终端内部存储了银行卡主账号,则应提供选项,允许用户彻底删除其保存的账号信息。
7.7设备信息类
7.7.1转移阶段
设备信息类数据在转移阶段需要满足如下要求:-移动应用软件在将手机卡标识数据中的本机号码、应用软件列表数据转移出终端前,应向用户明示即将进行的操作,并且仅在用户同意后方可继续。移动应用软件出于识别和区分用户的需要而收集设备标识信息或手机卡标识信息的,宜在将标识信息转移出终端前对其进行适当的变换,使得变换后的标识信息仅适用于该应用内部识别和区分用户。YD/T3082-2016
GB/Z28828-2012
YD/T2407-2013
YD/T2408-2013
3GPPTR22.949
参考文献
信息安全技术公共及商用服务信息系统个人信息保护指南移动智能终端安全能力技术要求移动智能终端安全能力测试方法Study on ageneralized privacycapability
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T3082-2016
移动智能终端上的个人信息保护技术要求Technical requirements of user information protectiononsmartmobileterminal
2016-04-05发布
2016-07-01实施
中华人民共和国工业和信息化部发布前
2术语、定义和缩略语
3个人信息类型…
4个人信息安全目标
5个人信息保护原则
6个人信息处理环节
个人信息安全要求·
参考文献·
YD/T3082-2016
YD/T3082-2016
本标准按照GB/T1.1-2009给出的规则起草,本标准为移动智能终端安全系列标准之一,该系列标准的名称和结构如下:-YD/T1886-2009
《移动终端芯片安全技术要求和测试方法》:3《移动智能终端安全能力技术要求》:YD/T2407-2013
YD/T2408-2013
3《移动智能终端安全能力测试方法》:-YD/T2674-2013
《移动智能终端安全能力设计导则》:5《移动智能终端上的个人信息保护技术要求》YD/T3082-2016
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国信息通信研究院、中国电信集团公司、大唐电信科技产业集团、深圳酷派技术有限公司、北京邮电大学、北京奇虎科技有限公司。本标准主要起草人:落红卫、潘娟、杨丁宁、金华敏,I
iiikAoNiAca
YD/T3082-2016
移动互联网的飞速发展推动了移动智能终端的快速普及。与传统终端相比,移动智能终端应用了移动通信技术、计算机技术和多媒体技术的最新成果,给人们带来了前所未有的丰富体验。在为用户提供各类业务应用的过程中,终端需生成并存储大量与用户有关的个人信息,但这些信息面临来自设备内部弱点和外部攻击的双重威胁,往往无法得到有效的安全保护,敏感数据泄漏的事件时有发生,给用户带来了极大的不便。
本标准主要对移动智能终端上个人信息的安全保护提出技术要求,强化保护力度,完善保护体系,确保终端上个人信息的机密性、完整性和可用性等安全属性。HiiKAoNiKAca
1范围
移动智能终端上的个人信息保护技术要求YD/T3082-2016
本标准规定了移动智能终端上的个人信息的类型,根据其不同的处理环节,结合每类信息的特点对相应类型的个人信息保护提出具体的技术要求。本标准适用于移动智能终端和移动应用软件,可穿戴设备等其他类型的终端可参考使用。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
移动智能终端SmartMobileTermina能够接入移动通信网,具有能够提供应用程序开发接口的开放操作系统,并能够安装和运行第三方应用软件的移动终端。
个人信息Personal Information可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。
健康数据HealthData
为实现疾病管理、健康健身和老龄服务等功能而需采集的人体生理指征数据2.1.4
单向散列函数One-WayHashFunction把任意长的输入消息串转化为固定长度的输出串,且难以由输出串还原得到输入串的一种函数。2.1.5
支付网关PaymentGateway
银行或指派的第三方金融网络系统与Internet网络之间的接口,用于将Internet上传输的数据转换为金融机构内部数据的一组服务器设备。2.2缩略语
下列缩略语适用于本文件。
International MobileEquipmentIdentityInternational Mobile Subscriber IdentityPersonal Identification NumberSubscriber Identity Module
国际移动设备识别码
国际移动用户识别码
个人识别码
客户识别模块
HiiKAoNi KAca
YD/T3082-2016
3个人信息类型
3.1总体分类
移动智能终端上的个人信息可划分为信息通信类、使用记录类、账户设置类、媒体影音类、传感采集类、金融支付类和设备信息类共7种类型,3.2信息通信类
信息通信类数据是指用户用于发起或接受通信以及在通信过程中产生的个人数据,包括但不限于以下4类。
a)通信录:用户保存的联系人信息;b)短信/彩信:用户收发的短信和彩信c)电子邮件:用户与其他联系人的来往邮件:d)即时通信消息:用户通过即时通信软件收发的文本、音频、图片和视频信息3.3使用记录类
使用记录类数据是指用户在使用终端的过程中间接产生的、反映用户操作记录的数据,包括但不限于以下3类。
a)浏览记录数据:用户最近使用网络浏览器访问的网址列表:b)通话记录数据:终端呼出或呼入的语音通话的记录;c)日志数据:终端记录的、有关操作系统和应用软件运行状况的数据,如日志消息和日志文件等。3.4账户设置类
账户设置类数据是指与特定用户相关联的登录信息,以及仅限于该用户访问或适用于该用户的账户配置,包括但不限于以下两类。a)认证数据:用于标识用户个人身份和提供认证凭据的数据,如用户名、口令和解锁图案等:b)配置数据:用户在账户中设置的、体现其个性化要求的数据,如各种偏好选项等。3.5媒体影音类
媒体影音类数据是指用户借助终端创作产生,或者在终端外部生成并通过存储卡、网络传输、无线外围接口传输或计算机同步等方式进入终端的各类多媒体数据,包括但不限于以下3类。a)照片数据:用户拍摄的照片;b)音频数据:用户录制的音频流;c)视频数据:用户录制的视频流。3.6传感采集类
传感采集类数据是指终端集成的传感功能采集到的,反映终端周边环境和使用者体征状况的数据包括但不限于以下3类。
a)位置数据:与用户的空间位置有关的数据,如经纬度等;b)生物特征数据:与用户身体的生物学特征有关、能够唯一识别个体的数据,如指纹数据和虹膜数据等;
c)健康数据:为实现疾病管理、健康健身和老龄服务等功能而采集的人体生理指征数据,如体温数据、心率数据和血压数据等。3.7金融支付类免费标准下载网bzxz
HiiKAoiKAca
YD/T3082-2016
金融支付类数据是指用户借助终端参与金融交易或支付活动而产生的数据,包括但不限于以下两类,a)金融数据:用户使用在线金融服务时产生的数据,如交易账户和交易记录等:b)支付数据:用户参与支付活动时使用的数据,如银行卡主账号、卡片验证码、PIN和卡片有效期等。
3.8设备信息类
设备信息类数据是指可唯一识别特定终端的硬件标识信息,以及反映用户使用偏好的软件信息,包括但不限于以下3类
a)设备标识数据:移动智能终端硬件设备的标识信息,如终端的IMEI号等;b)手机卡标识数据:与终端配合使用的手机卡有关的标识信息,如本机号码和SIM卡的IMSI号等c)应用软件列表数据:终端上安装的应用软件的列表,如每款应用软件的名称等。4个人信息安全目标
移动智能终端上的个人信息保护目标至少包括机密性、完整性和可用性。机密性是指用户个人信息不能被非授权者,实体或进程利用或泄露的特性。移动智能终端上的个人信息以各类隐私信息为主,如通信录、通话记录、短信/彩信等。其高度敏感的特点要求终端确保相关信息的机密性不受损害。机密性是移动智能终端上个人信息保护的首要安全目标完整性是指在传输和存储个人信息的过程中,确保个人信息不被篡改或在篡改后能够被迅速发现。影响移动智能终端上个人信息完整性的主要因素包括移动恶意应用、软硬件故障及网络传输错误等。为了防止个人信息中的完整性错误被传播扩散或不当使用,要求终端能够对个人信息的完整性进行鉴别。可用性是指个人信息被妥善保存并在用户需要时能顺利得到使用的特性。对于移动智能终端来说,影响个人信息可用性的主要因素包括移动恶意应用、软硬件故障以及终端丢失或被盗。为了确保重要个人信息不被损毁并且随时可供使用,要求终端确保个人信息的可用性,为其提供可靠的存储及备份和恢复的手段。
5个人信息保护原则
5.1目的明确
处理个人信息应具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
5.2最少够用
只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。5.3公开告知
对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。5.4个人同意
处理个人信息前要征得个人信息主体的同意。5.5质量保证
保证处理过程中的个人信息保密、完整、可用,并处于最新状态。5.6安全保障
HiiKAoNi KAca
YD/T3082-2016
采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索,披露及丢失,露、损毁和纂改个人信息5.7诚信履行
按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。6个人信息处理环节
移动智能终端操作系统和移动应用软件对移动智能终端上的个人信息的处理涉及收集、加工、转移和删除四个环节。对移动智能终端上的个人信息保护的技术要求贯穿于四个环节中:a)收集环节:对移动智能终端上的个人信息进行获取的过程;b)加工环节:操作使用移动智能终端上的个人信息的过程;c)转移环节:向移动智能终端外部传输个人信息的过程:d)删除环节:使移动智能终端上的个人信息不再可用的过程。7个人信息安全要求
7.1信息通信类
7.1.1收集阶段
移动应用软件只有在提供以下服务的情况下,才可收集用户的通信录数据:a)通信录管理、检索、备份或同步:b)使用通信录数据发起通信:
c)使用通信录数据查找或推荐好友;d)使用通信录数据辅助快速输入。移动应用软件只有在提供以下服务的情况下,才可收集用户的短信/彩信数据a)短信/彩信管理、检索、备份或同步:b)垃圾短信拦截
c)通过短信进行业务订购或身份认证,移动应用软件对信息通信类数据的收集通常应在提供相应服务的同时进行。若出于业务需要而必须事先收集相关数据,应向用户明示事先收集的目的和范围,并且只有在用户同意的情况下方可继续。7.1.2转移阶段
移动应用软件只有在提供以下服务的情况下,才可将用户的通信录数据转移至终端外部:a)通信录备份或同步:
b)使用通信录数据查找或推荐好友,移动应用软件只有在提供以下服务的情况下,才可将用户的短信/彩信数据转移至终端外部:a)短信/彩信转发:
b)短信/彩信备份或同步:
c)基于云服务的垃圾短信举报或自动识别移动应用软件在执行信息通信类数据的转移前,应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
移动应用软件若通过公共网络转移信息通信类数据,则应对数据进行加密,确保信息在网络传输过程4
HiiKAoNiKAca
中的安全。
7.2使用记录类
7.2.1转移阶段
YD/T3082-2016
移动智能终端操作系统和移动应用软件出于改进用户体验、统计运营状况、故障报告和性能调优的需要,可将其记录的日志数据转移至终端外部。在执行转移前,操作系统和应用软件应向用户明示即将进行的操作,若日志数据中包含以下类型的个人信息:信息通信类,使用记录类中的通话记录数据,账户设置类中的认证数据(仅限认证凭据),传感采集类,金融支付类,还应向用户告知所包含个人信息的内容,并且仅在用户同意后方可继续。若操作系统和应用软件通过设置选项的方式控制日志数据的转移与否,相关选项的默认设置应为禁用日志数据转移7.2.2删除阶段
移动智能终端操作系统和移动应用软件若具备浏览记录和通话记录的功能,则应提供选项,允许用户彻底删除其保存的浏览记录数据和通话记录数据。7.3账户设置类
7.3.1加工阶段
移动智能终端操作系统和移动应用软件应避免将认证数据中的认证凭据以明文形式存储于本地,包括但不限于数据文件、缓存文件、数据库和系统日志。7.3.2转移阶段
移动智能终端操作系统和移动应用软件若通过公共网络转移认证数据中的认证凭据,则应对数据进行加密,确保信息在网络传输过程中的安全。7.4媒体影音类
7.4.1收集阶段
媒体影音类数据在收集阶段需要满足如下要求:一移动应用软件在通过终端配备的摄像头收集实时照片数据和视频数据前,应在用户界面的显著位置通过显示图像预览的方式向用户明示即将进行的操作,并且仅在用户同意后方可继续。对手视频数据的收集,移动应用软件应使用同样的方式向用户明示进行中的收集行为,并且允许用户随时关闭数据收集。
一对于手势识别、眼球跟踪、三维深度感知等需要通过摄像头收集数据、且由加工结果无法辨识原始视频图像的特殊应用,在收集视频数据前和收集过程中可使用显示图像预览之外的方式提示用户,且提示的方式应为明示或使用户能够随时主动查看。移动智能终端操作系统和移动应用软件若具备此类功能,则应提供选项,允许用户打开或关闭相应功能,且开关应默认处于关闭状态。移动应用软件在通过终端配备的麦克风收集实时音频数据前,应在用户界面的显著位置向用户明示即将进行的操作,并且仅在用户同意后方可继续。移动应用软件应通过界面向用户明示进行中的音频数据收集行为,并且充许用户随时关闭数据收集7.4.2转移阶段
媒体影音类数据在转移阶段需要满足如下要求一移动应用软件在将媒体影音类数据转移出终端前,应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
HiiKAoNi KAca
YD/T3082-2016
7.5传感采集类
7.5.1收集阶段
传感采集类数据在收集阶段需要满足如下要求:一移动应用软件只有在提供基于位置的服务或健康管理服务的情况下,才可收集相应的位置数据或健康数据。在执行收集前,移动应用软件应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
移动应用软件若需持续收集位置数据或健康数据,则应向用户明示进行中的收集行为,并且允许用户随时关闭数据收集。
移动智能终端操作系统和移动应用软件在执行生物特征数据的收集前,应在用户界面的显著位置向用户明示即将进行的操作,并且仅在用户同意后方可继续。7.5.2加工阶段
传感采集类数据在加工阶段需要满足如下要求:移动应用软件在将位置数据和健康数据存储在终端内部时,应为保存数据的文件设置适当的权限,以防止未授权的访问。
移动智能终端操作系统在存储生物特征数据时,应避免存储其原始数据,而是应对数据进行单向变换(通常使用单向散列函数)后再进行保存。在执行单向变换时,应增加盐值,以增强变换结果抵御查表攻击的能力。
移动智能终端操作系统应将生物特征数据存储在受保护的系统区域内,并且为其设置适当的权限,以防止未授权的访问。推荐使用专用硬件隔离区(例如集成在终端应用处理器内部的安全区域)来存储这类非常敏感的个人信息。7.5.3转移阶段
传感采集类数据在转移阶段需要满足如下要求:一移动应用软件只有在提供基于位置的服务、健康管理服务或其他合理的服务场景,且相关服务的有效实现需要联网支撑的情况下,才可通过网络将位置数据和健康数据转移至终端外部。数据的转移应按需进行,若服务的目的已达成,则应立即停止转移移动应用软件在通过公用网络将健康数据转移出终端时,应对数据进行加密,确保信息在网络传输过程中的安全。
移动智能终端操作系统在任何情况下都不应将原始的生物特征数据转移到终端外部,但由这些信息衍生得到的其他临时认证凭据(如临时密钥)则不受此要求的限制。7.5.4删除阶段
传感采集类数据在册删除阶段需要满足如下要求:一一移动智能终端操作系统应提供选项,允许用户修改操作系统中已录入的生物特征数据,或者关闭生物识别功能并彻底删除操作系统存储的相关数据。在执行此类操作前,操作系统应首先对用户的身份进行认证。
移动应用软件若将位置数据和健康数据存储在终端内部,则应提供选项,允许用户删除其保存的相关信息。
7.6金融支付类
7.6.1收集阶段
金融支付类数据在收集阶段需要满足如下要求:YD/T3082-2016
移动应用软件只有在提供金融支付服务或调用第三方金融支付服务的情况下,才可收集用户的金融支付类数据。在执行收集前,移动应用软件应向用户明示即将进行的操作,并且仅在用户同意后方可继续。
7.6.2加工阶段
金融支付类数据在加工阶段需要满足如下要求:一移动应用软件如需在用户界面上显示银行卡主账号,则宜对部分数字进行隐藏处理。移动应用软件仅当实现业务功能所必须时,才可在终端内部存储银行卡主账号。存储时应对账号进行加密,并为保存数据的文件设置适当的权限,以防止未授权的访问。移动应用软件在任何情况下都不应在终端内部以持久性的方式存储卡片验证码、个人标识代码和卡片有效期,包括但不限于数据库、数据文件和日志记录。7.6.3转移阶段
金融支付类数据在转移阶段需要满足如下要求:移动应用软件仅当执行用户支付指令时,才可将支付信息转移至终端外部。转移的目的地应为持有合法支付牌照的支付网关。若需通过公共网络传输支付信息,则应使用支付行业相关标准中规定的加密算法和密钥强度对数据进行加密,确保信息在网络传输过程中的安全7.6.4删除阶段
金融支付类数据在删除阶段需要满足如下要求:移动应用软件在完成支付交易、不再需要使用支付数据时,应使用“0\字节、“1\字节或随机字节对内存中保存相关信息的数据结构进行填充处理。移动应用软件若在终端内部存储了银行卡主账号,则应提供选项,允许用户彻底删除其保存的账号信息。
7.7设备信息类
7.7.1转移阶段
设备信息类数据在转移阶段需要满足如下要求:-移动应用软件在将手机卡标识数据中的本机号码、应用软件列表数据转移出终端前,应向用户明示即将进行的操作,并且仅在用户同意后方可继续。移动应用软件出于识别和区分用户的需要而收集设备标识信息或手机卡标识信息的,宜在将标识信息转移出终端前对其进行适当的变换,使得变换后的标识信息仅适用于该应用内部识别和区分用户。YD/T3082-2016
GB/Z28828-2012
YD/T2407-2013
YD/T2408-2013
3GPPTR22.949
参考文献
信息安全技术公共及商用服务信息系统个人信息保护指南移动智能终端安全能力技术要求移动智能终端安全能力测试方法Study on ageneralized privacycapability
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。