手机信息安全的防护方案（智能手机预装应用程序基本安全要求）

近日，全国信息安全标准化技术委员会发布了《信息安全技术 智能手机预装应用程序基本安全要求（征求意见稿）》（以下简称《安全要求》）。

《安全要求》给出了智能手机预装应用程序的基本安全要求，适用于智能手机生产企业的生产活动，也可为相关监管、第三方评估工作提供参考。

《安全要求》明确了可卸载范围，指出除系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器、应用商店等直接支撑操作系统运行或实现智能手机基本功能所必须的基本功能应用程序外，智能手机中其他预装应用程序均应可卸载。实现同一基本功能的预装应用程序，至多有一款可设置为不可卸载。不可卸载应用程序内含有直接支撑操作系统运行或实现智能手机基本功能之外的其他功能时，应提供禁用或卸载这些功能的方式。

《安全要求》对预装应用程序的卸载安全要求包括：

• 预装应用程序卸载后不应影响智能手机的正常使用，包括但不限于：不应造成系统安全环境破坏，不应导致系统崩溃等；
• 可卸载预装应用程序应提供便捷的卸载功能，例如通过长按桌面图标方式卸载等；
• 在不影响智能手机安全使用的情况下，卸载预装应用程序应将相关程序文件及数据完全删除，用户选择保留的用户数据、配置文件除外；
• 应确保已被卸载的预装应用程序在智能手机操作系统升级时不被恢复，同时应保证升级后的预装应用程序仍满足本文件 4.1.1 要求。

在个人信息安全要求方面，对预装应用程序的要求包括：

• 预装应用程序收集个人信息应符合 GB/T 41391—2022 要求；
• 预装应用程序应仅在用户开始对该应用程序进行交互操作后向用户申请相关系统以及个人信息权限，不应在用户未进行交互操作前获取相关权限；
• 不可卸载应用程序宜提供停止使用功能，用户选择停止使用后，不可卸载应用程序不应再对用户个人信息进行处理；
• 预装应用程序将敏感个人信息传出智能手机的，应取得用户单独同意。智能手机生产企业应确保用户选择不同意时不影响智能手机基本功能的使用，并在征求同意时将该情况明确告知用户。

《安全要求》“第三方预装应用程序个人信息安全审核”提出，智能手机生产企业应在预装第三方应用程序前，对第三方预装应用程序的个人信息处理规则进行审核，包括但不限于审核以下内容的真实性和合理性：

• 应用程序基本信息，包括应用程序名称、包名、版本号、更新日期、安装文件；
• 应用程序提供者信息，包括应用程序提供者名称、联系方式；
• 个人信息保护政策，包括生效日期、全文文本、可查看全文的有效链接；
• 收集的个人信息范围，包括提供的服务类型、收集的个人信息类型以及通过收集的个人信息所实现的业务功能或使用目的；
• 申请的可收集个人信息权限列表，包括权限名称、相关业务功能/使用目的、用户能否拒绝权；
• 涉及到收集个人信息的第三方 SDK 信息，包括名称、包名、提供者名称、嵌入目的、SDK 收集的个人信息类型、SDK 使用的可收集个人信息权限；
• 第三方预装应用程序提供者关于收集个人信息的工具或手段的声明。

更多内容请点击链接→“ https://www.tc260.org.cn/file/2022-10-09/c1d95445-a64b-45fa-a78e-25ba321e0385.pdf ”查看《信息安全技术 智能手机预装应用程序基本安全要求（征求意见稿）》全文。

来源：全国信息安全标准化技术委员会、FreeBuf