YDT 3437-2019 移动智能终端恶意推送信息判定技术要求.docx

ICS 33.040 M21YD/T 3437—2019移动智能终端隐私窃取恶意行为判定技术要求Technical requirements of privacy theft malicious behavior determination on mobile intelligent terminal2019-01-25 发布2019-07-01 实施目次前言II引言III范围1规范性引用文件1术语、定义和缩略语1术语和定义1隐私信息划分类型2隐私信息处理行为2收集行为2加工行为2转移行为2删除行为2隐私窃取恶意行为判定原则2最少必要信息原则2用户可知可控原则2隐私数据保护原则2用户主动触发原则3隐私窃取恶意行为等级3等级确定3判定准则3隐私窃取恶意行为判定方法3信息通信类3使用记录类6账户设置类8媒体影音类9传感采集类11金融支付类14设备信息类16隐私窃取恶意行为命名格式17隐私信息分类编码17隐私信息处理行为分类编码18命名原则18参考文献19前言本标准按照 GB/T 1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、国家计算机网络应急技术处理协调中心。本标准主要起草人：陈婉莹、潘娟、落红卫、杨正军、李媛、董霁、焦四辈、何能强。引言随着移动互联网日益成熟、业务应用蓬勃发展和移动智能终端成本持续下降，移动智能终端已经成 为人们日常生活必不可少的组成部分，用户真切体会到了移动智能终端带来的好处。但是，伴随业务应 用在移动智能终端上广泛使用，越来越多的用户数据在移动智能终端上存储、处理和传输，其中既包括 用户主动存储的个人信息，也包括业务应用在使用过程中生成的隐私数据。但是，由于移动智能终端本 身的开放性和面临的严峻安全形势，这些用户数据不可避免要面临来自设备内部弱点和来自移动互联网 外部攻击的双重威胁，敏感隐私用户数据泄漏以及重要个人信息丢失和损毁的事件时有发生，给用户的生活、工作和经济等多个方面带来严重影响，并最终制约了移动智能终端的健康发展。为保护移动智能终端上的隐私信息，本标准在 YD/T 2439-2012 《移动互联网恶意程序描述格式》、YD/T 3082-2016 《移动智能终端上的个人信息保护技术要求》等标准的基础上对移动智能终端隐私窃取行为进行界定，对行为的恶意程度进行分级和评定，确保终端个人信息的机密性、完整性和可用性等安全属性。移动智能终端隐私窃取恶意行为判定技术要求范围本标准规范了移动智能终端上的隐私信息的类型，隐私窃取恶意行为的等级，判定的原则和方法。 本标准适用于移动智能终端及其安装的移动应用软件，可穿戴设备等其它类型的终端可参考使用。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T 2439-2012移动互联网恶意程序描述格式YD/T 3082-2016移动智能终端上的个人信息保护技术要求术语、定义和缩略语术语和定义下列术语和定义适用于本文件。3.1.1移动智能终端smart mobile terminal能够接入移动通信网，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方应用软件的移动终端。3.1.2隐私信息privacy information可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的数据。3.1.3移动应用软件mobile application针对移动智能终端所开发的应用程序，包括移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过移动智能终端下载、安装、升级、卸载的应用软件。3.1.4移动智能终端预置应用软件 pre-installed application用户使用移动智能终端之前，已经预先装入移动智能终端的应用软件。3.1.5健康数据health data为实现疾病管理、健康健身和老龄服务等功能而需采集的人体生理指征数据。隐私信息划分类型移动智能终端隐私信息可划分为信息通信类、使用记录类、账户设置类、媒体影音类、传感采集类、金融支付类和设备信息类七种类型，具体定义见YD/T 3082-2016第4章中对移动智能终端上的个人信息类型的定义。隐私信息处理行为收集行为收集行为指移动智能终端对终端使用者的隐私信息进行获取并记录的过程，或移动应用软件对移动智能终端记录的隐私信息进行获取的过程，如录入通讯录、读取短信等。加工行为加工行为指移动智能终端或移动应用软件对终端上的隐私信息进行存储、修改、使用等过程，如存储账户密码、修改通讯录、在界面