您當前位置:首頁>公告通知

市場監管總局 中央網信辦關于開展App安全認證工作的公告

2019-03-22國家市場監督管理總局

為規范移動互聯網應用程序(以下稱App)收集、使用用戶信息特別是個人信息的行為,加強個人信息安全保護,根據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》,市場監管總局、中央網信辦決定開展App安全認證工作。現將有關事項公告如下: 

一、App安全認證活動依據《移動互聯網應用程序(App)安全認證實施規則》(見附件)開展。 

二、從事App安全認證的認證機構為中國網絡安全審查技術與認證中心,檢測機構由認證機構根據認證業務需要和技術能力確定。 

三、認證機構和檢測機構應按有關規定,客觀、公正地開展認證和檢測活動,并對認證和檢測結果負責。 

四、國家鼓勵App運營者自愿通過App安全認證,鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的App。 

附件:移動互聯網應用程序(App)安全認證實施規則 

  市場監管總局 中央網信辦

  2019年3月13日 

  (此件公開發布) 



附件

編號:CNCA-App-001

移動互聯網應用程序(App)安全認證實施規則

2019-03-13發布 2019-03-15實施

國家認證認可監督管理委員會發布

?

目錄

1適用范圍

2認證依據

3認證模式

4認證程序

4.1認證申請

4.2 認證受理

4.3 技術驗證

4.4 現場審核

4.5 認證決定

4.6 對認證決定的申訴

4.7 獲證后監督

5認證時限

6認證證書

6.1證書的保持

6.2證書的變更

6.3認證的暫停、撤銷和注銷

7認證證書和認證標志的使用和管理

7.1認證證書的使用

7.2認證標志及其使用

8認證責任

 

1適用范圍

本規則適用于對移動互聯網應用程序(以下稱“App”)的數據安全認證。

2認證依據

App安全認證的認證依據為 GB/T 35273《信息安全技術個人信息安全規范》及相關標準、規范。

上述標準原則上應執行國家標準化行政主管部門發布的最新版本。

3認證模式

App安全認證的認證模式為:技術驗證+現場核查+獲證后監督。

4認證程序

4.1認證申請

4.1.1申請方

認證申請主體為通過App向用戶提供服務的網絡運營者(以下簡稱“App運營者”),且取得市場監督管理部門或有關機構注冊登記的法人資格。

App運營者有下列情形之一的,不得申請認證:

(1)違反相關法律法規;

(2)在12個月內發生重大信息安全事件;

(3)所持同類證書在撤銷認證影響期內;

(4)認證機構規定的其他情況。

4.1.2 申請單元的確定

原則上按App版本申請認證。同一名稱的App,版本號、操作系統平臺等不同時,一般應分為不同申請單元,具體由認證機構依據本規則制定的認證實施細則予以規定。

4.1.3申請方應提交的文件和資料

認證申請方在申請認證時,提交的文檔資料應至少包含以下內容:

(1)認證申請書;

(2)法人資格證明材料;

(3)App版本控制說明;

(4)對認證要求符合性的自評價結果及相關證明文檔;

(5)對App符合相關安全技術標準的證明文件;

(6)不同發布渠道的版本差異性聲明;

(7)其他需要的文件。

4.2 認證受理

認證機構對申請資料進行審核后做出受理決定,并向認證申請方反饋受理決定。

4.3技術驗證

4.3.1 樣品獲取

認證申請方按照申請書填寫的送樣方式提交樣本。

送樣副本應反映所有發布渠道App副本與認證相關的技術特性;不能反映時,還應選送申請單元內其他App副本。

4.3.2 技術驗證依據的標準

技術驗證的依據為 GB/T 35273《信息安全技術個人信息安全規范》。

認證機構應根據GB/T 35273制定技術驗證規范,確定針對標準要求的技術驗證內容、方法和評價準則。

4.3.3技術驗證方式

技術驗證采用實驗室檢測和現場核查等方式進行。

4.3.4 技術驗證實施

檢測機構按照技術驗證規范實施技術驗證,并按照認證機構有關規定出具技術驗證報告。

發現不符合時,檢測機構向認證申請方出具不符合報告,并要求限期整改;逾期未完成整改的,中止認證過程。

4.4現場審核

技術驗證通過后,認證機構對App運營者進行現場審核。

4.4.1現場審核依據的標準

現場審核的依據為 GB/T 35273《信息安全技術個人信息安全規范》。

認證機構應根據GB/T 35273制定現場審核規范,確定針對標準要求的現場審核內容、方法和評價準則。

4.4.2現場審核實施

認證機構按照現場審核規范實施現場審核,并按認證機構有關規定出具現場審核報告。

發現不符合時,認證機構向認證申請方出具不符合報告,并要求限期整改;逾期未完成整改的,中止認證過程。

4.5認證決定

認證機構根據申請資料、技術驗證結論和現場審核結論等進行綜合評價,做出認證決定。認證決定通過后,由認證機構向認證申請方頒發認證證書,并授權獲證App運營者使用規定的認證標志。認證決定不通過的,終止認證。

4.6對認證決定的申訴

認證申請方如對認證決定結果有異議,可在收到認證結果通知后10個工作日內通過認證機構指定的申訴渠道進行申訴。認證機構自收到申訴之日起,應在5個工作日決定是否予以受理;對于受理的申訴,一般應在30個工作日給出處理結果,并將處理結果書面通知認證申請方。

4.7獲證后監督

獲證App運營者應持續進行獲證后自評價,并配合認證機構的監督活動。

認證機構應對獲證App和App運營者實施持續監督,監督方式包括日常監督和專項監督。

4.7.1獲證后自評價

獲證App運營者應對獲證App持續符合認證要求的情況進行自評價。當出現如下情形時,獲證App運營者應向認證機構提交自評價報告:

(1)獲證App的分發渠道發生變化;

(2)認證標志使用情況發生變化;

(3)獲證App發生變更,以及所引起的收集、處理和使用個人信息的目的、類型、方式發生變化;

(4)獲證App運營者對所收集個人信息的共享、轉讓、公開披露的對象、方式和目的發生變化;

(5)獲證App運營者收到獲證App個人信息保護相關的投訴舉報。

4.7.2 日常監督

認證機構應對獲證App和App運營者持續實施日常監督,日常監督的內容至少包括以下方面:

(1)獲證App一致性檢查;

(2)獲證App的更新情況;

(3)認證證書和認證標志的使用情況;

(4)企業開展自評價的情況;

(5)獲證App被網民舉報投訴和社會媒體曝光情況;

(6)其他影響獲證App在個人信息收集、處理和使用方面持續符合認證要求的情況。

認證機構應定期對日常監督情況進行評價,形成日常監督報告。

4.7.3專項監督

當出現如下情形,認證機構應啟動專項監督:

(1)網民舉報投訴、媒體曝光、行業通報等涉及獲證App存在個人信息安全方面的問題,并經查實獲證App運營者負有責任時;

(2)獲證App運營者因組織架構、服務模式等發生重大變更,或發生破產并購等可能影響App認證特性符合性時;

(3)認證機構根據日常監督結果,對獲證App與本規則中規定的標準要求的符合性提出具體質疑時。

專項監督應對上述情形進行深入調查,并對獲證App持續符合性全面審核,必要時還可進行技術驗證。

認證機構可采取事先不通知的方式對獲證App運營者實施專項監督。

4.7.4監督結果的處理

獲證后監督中發現不符合時,認證機構應要求獲證App運營者在限期內進行整改,并對整改結果進行驗證。未在規定期限內完成整改或整改結果未通過驗證的,按照6.3規定處置。

5認證時限

認證時限是指自作出受理決定之日起至作出認證決定所實際發生的工作日,一般為90個工作日(不包含整改時間)。

6認證證書

6.1證書的保持

認證機構應對認證證書的有效期做出規定,超過有效期的認證證書自行失效。當認證規則要求(如標準)發生變化時,應在認證機構確定的轉換期限內完成換證。

6.2證書的變更

6.2.1變更申請與通知

出現下列情況之一時,獲證App運營者應向認證機構提出變更申請:

(1)獲證App名稱、版本發生變更;

(2)認證范圍擴大或縮小;

(3)獲證App運營者名稱、注冊地址發生變更;

(4)認證機構規定的其它事項發生變更時。

6.2.2 變更評價和批準

認證機構根據變更的內容,對提供的資料進行評價,確定是否可以批準變更。如需重新技術驗證和現場審核,應在技術驗證和/或現場審核通過后方能批準變更。

6.3認證的暫停、撤銷和注銷

6.3.1暫停認證

有下列情形之一的,認證機構應暫停認證,并予以公布:

(1)國家有關主管部門發現獲證App存在安全問題;

(2)在監督中發現獲證App不能持續符合認證要求;

(3)獲證App運營者在App發生重大變更后,未及時向認證機構報告變更情況;

(4)獲證App運營者違規使用認證證書、認證標志;

(5)認證標準或認證規則發生變化,獲證App運營者未按認證機構規定完成過渡轉換;

(6)獲證App運營者主動申請暫停認證;

(7)其他依法應當暫停的情形。

暫停期限一般為180天。暫停期限內,獲證App運營者可提出恢復認證的申請,認證機構經審核、批準后,方可使用該證書。在暫停認證期間,獲證App運營者不得繼續使用證書和認證標志。

6.3.2 撤銷認證

有下列情形之一的,認證機構應撤銷認證,并予以公布:

(1)獲證App運營者存在個人信息安全有關的違規違法行為;

(2)暫停認證期間,獲證App運營者未采取有效整改措施;

(3)發現獲證App運營者在認證過程中存在欺騙、隱瞞、違反承諾等不當行為,影響認證有效性;

(4)獲證App運營者拒絕接受獲證后監督;

(5)超過暫停期限;

(6)其他依法應當撤銷的情形。

撤銷認證后,獲證App運營者應交回認證證書,停止使用認證標志。

6.3.3注銷認證

有下列情形之一的,認證機構應注銷認證,并予以公布:

(1)獲證App不再向用戶提供服務;

(2)獲證App運營者申請注銷;

(3)其他依法應當注銷的情形。

注銷認證后,獲證App運營者應交回認證證書,停止使用認證標志。

7認證證書和認證標志的使用和管理

7.1認證證書的使用和管理

在認證證書有效期內,獲證App運營者可將證書在網站、工作場所和宣傳資料中展示,但不應進行誤導性宣傳。

7.2認證標志及其使用和管理

7.2.1 認證標志的式樣

認證標志的式樣由基本圖案、認證機構識別信息組成。

 “ABCD”代表認證機構識別信息。

7.2.2 認證標志的使用和管理

認證機構應規定認證標志的使用和管理。

獲證App運營者應按照認證機構的規定使用和管理認證標志,不得進行誤導性宣傳。

8認證責任

認證機構應對其做出的認證結論負責。

檢測機構應對技術驗證結果和技術驗證報告負責。

認證機構及其所委派的審核員應對現場審核結論負責。

認證申請方(獲證App運營者)應對其所提交的申請資料及樣品的真實性、合法性負責,并對獲證App持續符合認證要求負主體責任。

認證不能免除獲證App運營者對獲證App承擔的法律責任。


來源:國家市場監督管理總局http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html

澳洲幸运10计划推荐