YD_T 3082-2016移动智能终端上的个人信息保护技术要求.pdf

ICS 33.050M 30YD中华人民共和国通信行业标准YD/T3082-2016移动智能终端上的个人信息保护技术要求Technical requirements ofuser information protectiononsmartmobileterminal2016-04-05发布2016-07-01实施中华人民共和国工业和信息化部发布 YD/T3082-2016目電次前引1范围2术语、定义和缩略语3个人信息类型4个人信息安全目标5个人信息保护原则6个人信息处理环节.7个人信息安全要求.参考文献 YD/T3082-20167.6.1收集阶段金融支付类数据在收集阶段需要满足如下要求：一一移动应用软件只有在提供金融支付服务或调用第三方金融支付服务的情况下，才可收集用户的金融支付类数据。在执行收集前，移动应用软件应向用户明示即将进行的操作，并且仅在用户同意后方可继续。7.6.2加工阶段金融支付类数据在加工阶段需要满足如下要求：一移动应用软件如需在用户界面上显示银行卡主账号，则宜对部分数字进行隐藏处理。一移动应用软件仅当实现业务功能所必须时，才可在终端内部存储银行卡主账号。存储时应对账号进行加密，并为保存数据的文件设置适当的权限，以防止未授权的访问。一一移动应用软件在任何情况下都不应在终端内部以持久性的方式存储卡片验证码、个人标识代码和卡片有效期，包括但不限于数据库、数据文件和日志记录。7.6.3转移阶段金融支付类数据在转移阶段需要满足如下要求：一移动应用软件仅当执行用户支付指令时，才可将支付信息转移至终端外部。转移的目的地应为持有合法支付牌照的支付网关。若需通过公共网络传输支付信息，则应使用支付行业相关标准中规定的加密算法和密钥强度对数据进行加密，确保信息在网络传输过程中的安全。7.6.4删除阶段金融支付类数据在删除阶段需要满足如下要求：移动应用软件在完成支付交易、不再需要使用支付数据时，应使用“0”学节、“1”学节或随机字节对内存中保存相关信息的数据结构进行填充处理。一移动应用软件若在终端内部存储了银行卡主账号，则应提供选项，允许用户彻底删除其保存的账号信息。7.7设备信息类7.7.1转移阶段设备信息类数据在转移阶段需要满足如下要求：移动应用软件在将手机卡标识数据中的本机号码、应用软件列表数据转移出终端前，应向用户明示即将进行的操作，并且仅在用户同蕊后方可继续。一移动应用软件出于识别和区分用户的需要而收集设备标识信息或手机卡标识信息的，宜在将标识信息转移出终端前对其进行适当的变换，使得变换后的标识信息仅适用手该应用内部识别和区分用户。7 YD/T3082-2016参考文献GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南YD/T2407-2013移动智能终端安全能力技术要求YD/T2408-2013移动智能终端安全能力测试方法3GPP TR22.949Study on a generalized privacy capability8 YD/T3082-2016中华人民共和国通信行业标准移动智能终端上的个人信息保护技术要求YD/T3082-2016*人民邮电出版社出版发行北京市丰台区成寿寺路11号邮电出版大厦邮政编码：100164北京康利胶印厂印刷版权所有不得翻印*开本：880×12301/162016年8月第1版印张：12016年8月北京第1次印刷字数：23千字15115 · 1075定价：10元本书如有印装质量问题，请与本社联系电话：(010 YD/T3082-2016前言本标准按照GB/T1.1-2009给出的规则起草。本标准为移动智能终端安全系列标准之一，该系列标准的名称和结构如下：-YD/T1886-2009《移动终端芯片安全技术要求和测试方法》：YD/T2407-2013：《移动智能终端安全能力技术要求》；-YD/T2408-2013：《移动智能终端安全能力测试方法》：YD/T2674-2013：《移动智能终端安全能力设计导则》；—YD/T3082-20165《移动智能终端上的个人信息保护技术要求》。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、中国电信集团公司、大唐电信科技产业集团、深圳酷派技术有限公司、北京邮电大学、北京奇虎科技有限公司。本标准主要起草人：落红卫、潘娟、杨丁宁、金华敏。II YD/T3082-2016引言移动互联网的飞速发展推动了移动智能终端的快速普及。与传统终端相比，移动智能终端应用了移动通信技术、计算机技术和多媒体技术的最新成果，给人们带来了前所未有的丰富体验。在为用户提供各类业务应用的过程中，终端需生成并存储大量与用户有关的