《信息安全技術 智能手機預裝應用程序基本安全要求（征求意見稿）》發布

近日，全國信息安全標準化技術委員會發布了《信息安全技術 智能手機預裝應用程序基本安全要求（征求意見稿）》（以下簡稱《安全要求》）。

《安全要求》給出了智能手機預裝應用程序的基本安全要求，適用于智能手機生產企業的生產活動，也可為相關監管、第三方評估工作提供參考。

《安全要求》明確了可卸載范圍，指出除系統設置、文件管理、多媒體攝錄、接打電話、收發短信、通訊錄、瀏覽器、應用商店等直接支撐操作系統運行或實現智能手機基本功能所必須的基本功能應用程序外，智能手機中其他預裝應用程序均應可卸載。實現同一基本功能的預裝應用程序，至多有一款可設置為不可卸載。不可卸載應用程序內含有直接支撐操作系統運行或實現智能手機基本功能之外的其他功能時，應提供禁用或卸載這些功能的方式。

《安全要求》對預裝應用程序的卸載安全要求包括：

• 預裝應用程序卸載后不應影響智能手機的正常使用，包括但不限于：不應造成系統安全環境破壞，不應導致系統崩潰等；
• 可卸載預裝應用程序應提供便捷的卸載功能，例如通過長按桌面圖標方式卸載等；
• 在不影響智能手機安全使用的情況下，卸載預裝應用程序應將相關程序文件及數據完全刪除，用戶選擇保留的用戶數據、配置文件除外；
• 應確保已被卸載的預裝應用程序在智能手機操作系統升級時不被恢復，同時應保證升級后的預裝應用程序仍滿足本文件 4.1.1 要求。

在個人信息安全要求方面，對預裝應用程序的要求包括：

• 預裝應用程序收集個人信息應符合 GB/T 41391—2022 要求；
• 預裝應用程序應僅在用戶開始對該應用程序進行交互操作后向用戶申請相關系統以及個人信息權限，不應在用戶未進行交互操作前獲取相關權限；
• 不可卸載應用程序宜提供停止使用功能，用戶選擇停止使用后，不可卸載應用程序不應再對用戶個人信息進行處理；
• 預裝應用程序將敏感個人信息傳出智能手機的，應取得用戶單獨同意。智能手機生產企業應確保用戶選擇不同意時不影響智能手機基本功能的使用，并在征求同意時將該情況明確告知用戶。

《安全要求》“第三方預裝應用程序個人信息安全審核”提出，智能手機生產企業應在預裝第三方應用程序前，對第三方預裝應用程序的個人信息處理規則進行審核，包括但不限于審核以下內容的真實性和合理性：

• 應用程序基本信息，包括應用程序名稱、包名、版本號、更新日期、安裝文件；
• 應用程序提供者信息，包括應用程序提供者名稱、聯系方式；
• 個人信息保護政策，包括生效日期、全文文本、可查看全文的有效鏈接；
• 收集的個人信息范圍，包括提供的服務類型、收集的個人信息類型以及通過收集的個人信息所實現的業務功能或使用目的；
• 申請的可收集個人信息權限列表，包括權限名稱、相關業務功能/使用目的、用戶能否拒絕權；
• 涉及到收集個人信息的第三方 SDK 信息，包括名稱、包名、提供者名稱、嵌入目的、SDK 收集的個人信息類型、SDK 使用的可收集個人信息權限；
• 第三方預裝應用程序提供者關于收集個人信息的工具或手段的聲明。