市場監(jiān)管總局 中央網(wǎng)信辦關(guān)于開展App安全認證工作的公告
為規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序(以下稱App)收集、使用用戶信息特別是個人信息的行為,加強個人信息安全保護,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國認證認可條例》,市場監(jiān)管總局、中央網(wǎng)信辦決定開展App安全認證工作?,F(xiàn)將有關(guān)事項公告如下:
一、App安全認證活動依據(jù)《移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則》(見附件)開展。
二、從事App安全認證的認證機構(gòu)為中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心,檢測機構(gòu)由認證機構(gòu)根據(jù)認證業(yè)務(wù)需要和技術(shù)能力確定。
三、認證機構(gòu)和檢測機構(gòu)應(yīng)按有關(guān)規(guī)定,客觀、公正地開展認證和檢測活動,并對認證和檢測結(jié)果負責。
四、國家鼓勵A(yù)pp運營者自愿通過App安全認證,鼓勵搜索引擎、應(yīng)用商店等明確標識并優(yōu)先推薦通過認證的App。
附件:移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則
市場監(jiān)管總局 中央網(wǎng)信辦
2019年3月13日
(此件公開發(fā)布)
附件
編號:CNCA-App-001
移動互聯(lián)網(wǎng)應(yīng)用程序(App)安全認證實施規(guī)則
2019-03-13發(fā)布 2019-03-15實施
國家認證認可監(jiān)督管理委員會發(fā)布
?
目錄
1適用范圍
2認證依據(jù)
3認證模式
4認證程序
4.1認證申請
4.2 認證受理
4.3 技術(shù)驗證
4.4 現(xiàn)場審核
4.5 認證決定
4.6 對認證決定的申訴
4.7 獲證后監(jiān)督
5認證時限
6認證證書
6.1證書的保持
6.2證書的變更
6.3認證的暫停、撤銷和注銷
7認證證書和認證標志的使用和管理
7.1認證證書的使用
7.2認證標志及其使用
8認證責任
1適用范圍
本規(guī)則適用于對移動互聯(lián)網(wǎng)應(yīng)用程序(以下稱“App”)的數(shù)據(jù)安全認證。
2認證依據(jù)
App安全認證的認證依據(jù)為 GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》及相關(guān)標準、規(guī)范。
上述標準原則上應(yīng)執(zhí)行國家標準化行政主管部門發(fā)布的最新版本。
3認證模式
App安全認證的認證模式為:技術(shù)驗證+現(xiàn)場核查+獲證后監(jiān)督。
4認證程序
4.1認證申請
4.1.1申請方
認證申請主體為通過App向用戶提供服務(wù)的網(wǎng)絡(luò)運營者(以下簡稱“App運營者”),且取得市場監(jiān)督管理部門或有關(guān)機構(gòu)注冊登記的法人資格。
App運營者有下列情形之一的,不得申請認證:
(1)違反相關(guān)法律法規(guī);
(2)在12個月內(nèi)發(fā)生重大信息安全事件;
(3)所持同類證書在撤銷認證影響期內(nèi);
(4)認證機構(gòu)規(guī)定的其他情況。
4.1.2 申請單元的確定
原則上按App版本申請認證。同一名稱的App,版本號、操作系統(tǒng)平臺等不同時,一般應(yīng)分為不同申請單元,具體由認證機構(gòu)依據(jù)本規(guī)則制定的認證實施細則予以規(guī)定。
4.1.3申請方應(yīng)提交的文件和資料
認證申請方在申請認證時,提交的文檔資料應(yīng)至少包含以下內(nèi)容:
(1)認證申請書;
(2)法人資格證明材料;
(3)App版本控制說明;
(4)對認證要求符合性的自評價結(jié)果及相關(guān)證明文檔;
(5)對App符合相關(guān)安全技術(shù)標準的證明文件;
(6)不同發(fā)布渠道的版本差異性聲明;
(7)其他需要的文件。
4.2 認證受理
認證機構(gòu)對申請資料進行審核后做出受理決定,并向認證申請方反饋受理決定。
4.3技術(shù)驗證
4.3.1 樣品獲取
認證申請方按照申請書填寫的送樣方式提交樣本。
送樣副本應(yīng)反映所有發(fā)布渠道App副本與認證相關(guān)的技術(shù)特性;不能反映時,還應(yīng)選送申請單元內(nèi)其他App副本。
4.3.2 技術(shù)驗證依據(jù)的標準
技術(shù)驗證的依據(jù)為 GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》。
認證機構(gòu)應(yīng)根據(jù)GB/T 35273制定技術(shù)驗證規(guī)范,確定針對標準要求的技術(shù)驗證內(nèi)容、方法和評價準則。
4.3.3技術(shù)驗證方式
技術(shù)驗證采用實驗室檢測和現(xiàn)場核查等方式進行。
4.3.4 技術(shù)驗證實施
檢測機構(gòu)按照技術(shù)驗證規(guī)范實施技術(shù)驗證,并按照認證機構(gòu)有關(guān)規(guī)定出具技術(shù)驗證報告。
發(fā)現(xiàn)不符合時,檢測機構(gòu)向認證申請方出具不符合報告,并要求限期整改;逾期未完成整改的,中止認證過程。
4.4現(xiàn)場審核
技術(shù)驗證通過后,認證機構(gòu)對App運營者進行現(xiàn)場審核。
4.4.1現(xiàn)場審核依據(jù)的標準
現(xiàn)場審核的依據(jù)為 GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》。
認證機構(gòu)應(yīng)根據(jù)GB/T 35273制定現(xiàn)場審核規(guī)范,確定針對標準要求的現(xiàn)場審核內(nèi)容、方法和評價準則。
4.4.2現(xiàn)場審核實施
認證機構(gòu)按照現(xiàn)場審核規(guī)范實施現(xiàn)場審核,并按認證機構(gòu)有關(guān)規(guī)定出具現(xiàn)場審核報告。
發(fā)現(xiàn)不符合時,認證機構(gòu)向認證申請方出具不符合報告,并要求限期整改;逾期未完成整改的,中止認證過程。
4.5認證決定
認證機構(gòu)根據(jù)申請資料、技術(shù)驗證結(jié)論和現(xiàn)場審核結(jié)論等進行綜合評價,做出認證決定。認證決定通過后,由認證機構(gòu)向認證申請方頒發(fā)認證證書,并授權(quán)獲證App運營者使用規(guī)定的認證標志。認證決定不通過的,終止認證。
4.6對認證決定的申訴
認證申請方如對認證決定結(jié)果有異議,可在收到認證結(jié)果通知后10個工作日內(nèi)通過認證機構(gòu)指定的申訴渠道進行申訴。認證機構(gòu)自收到申訴之日起,應(yīng)在5個工作日決定是否予以受理;對于受理的申訴,一般應(yīng)在30個工作日給出處理結(jié)果,并將處理結(jié)果書面通知認證申請方。
4.7獲證后監(jiān)督
獲證App運營者應(yīng)持續(xù)進行獲證后自評價,并配合認證機構(gòu)的監(jiān)督活動。
認證機構(gòu)應(yīng)對獲證App和App運營者實施持續(xù)監(jiān)督,監(jiān)督方式包括日常監(jiān)督和專項監(jiān)督。
4.7.1獲證后自評價
獲證App運營者應(yīng)對獲證App持續(xù)符合認證要求的情況進行自評價。當出現(xiàn)如下情形時,獲證App運營者應(yīng)向認證機構(gòu)提交自評價報告:
(1)獲證App的分發(fā)渠道發(fā)生變化;
(2)認證標志使用情況發(fā)生變化;
(3)獲證App發(fā)生變更,以及所引起的收集、處理和使用個人信息的目的、類型、方式發(fā)生變化;
(4)獲證App運營者對所收集個人信息的共享、轉(zhuǎn)讓、公開披露的對象、方式和目的發(fā)生變化;
(5)獲證App運營者收到獲證App個人信息保護相關(guān)的投訴舉報。
4.7.2 日常監(jiān)督
認證機構(gòu)應(yīng)對獲證App和App運營者持續(xù)實施日常監(jiān)督,日常監(jiān)督的內(nèi)容至少包括以下方面:
(1)獲證App一致性檢查;
(2)獲證App的更新情況;
(3)認證證書和認證標志的使用情況;
(4)企業(yè)開展自評價的情況;
(5)獲證App被網(wǎng)民舉報投訴和社會媒體曝光情況;
(6)其他影響獲證App在個人信息收集、處理和使用方面持續(xù)符合認證要求的情況。
認證機構(gòu)應(yīng)定期對日常監(jiān)督情況進行評價,形成日常監(jiān)督報告。
4.7.3專項監(jiān)督
當出現(xiàn)如下情形,認證機構(gòu)應(yīng)啟動專項監(jiān)督:
(1)網(wǎng)民舉報投訴、媒體曝光、行業(yè)通報等涉及獲證App存在個人信息安全方面的問題,并經(jīng)查實獲證App運營者負有責任時;
(2)獲證App運營者因組織架構(gòu)、服務(wù)模式等發(fā)生重大變更,或發(fā)生破產(chǎn)并購等可能影響App認證特性符合性時;
(3)認證機構(gòu)根據(jù)日常監(jiān)督結(jié)果,對獲證App與本規(guī)則中規(guī)定的標準要求的符合性提出具體質(zhì)疑時。
專項監(jiān)督應(yīng)對上述情形進行深入調(diào)查,并對獲證App持續(xù)符合性全面審核,必要時還可進行技術(shù)驗證。
認證機構(gòu)可采取事先不通知的方式對獲證App運營者實施專項監(jiān)督。
4.7.4監(jiān)督結(jié)果的處理
獲證后監(jiān)督中發(fā)現(xiàn)不符合時,認證機構(gòu)應(yīng)要求獲證App運營者在限期內(nèi)進行整改,并對整改結(jié)果進行驗證。未在規(guī)定期限內(nèi)完成整改或整改結(jié)果未通過驗證的,按照6.3規(guī)定處置。
5認證時限
認證時限是指自作出受理決定之日起至作出認證決定所實際發(fā)生的工作日,一般為90個工作日(不包含整改時間)。
6認證證書
6.1證書的保持
認證機構(gòu)應(yīng)對認證證書的有效期做出規(guī)定,超過有效期的認證證書自行失效。當認證規(guī)則要求(如標準)發(fā)生變化時,應(yīng)在認證機構(gòu)確定的轉(zhuǎn)換期限內(nèi)完成換證。
6.2證書的變更
6.2.1變更申請與通知
出現(xiàn)下列情況之一時,獲證App運營者應(yīng)向認證機構(gòu)提出變更申請:
(1)獲證App名稱、版本發(fā)生變更;
(2)認證范圍擴大或縮??;
(3)獲證App運營者名稱、注冊地址發(fā)生變更;
(4)認證機構(gòu)規(guī)定的其它事項發(fā)生變更時。
6.2.2 變更評價和批準
認證機構(gòu)根據(jù)變更的內(nèi)容,對提供的資料進行評價,確定是否可以批準變更。如需重新技術(shù)驗證和現(xiàn)場審核,應(yīng)在技術(shù)驗證和/或現(xiàn)場審核通過后方能批準變更。
6.3認證的暫停、撤銷和注銷
6.3.1暫停認證
有下列情形之一的,認證機構(gòu)應(yīng)暫停認證,并予以公布:
(1)國家有關(guān)主管部門發(fā)現(xiàn)獲證App存在安全問題;
(2)在監(jiān)督中發(fā)現(xiàn)獲證App不能持續(xù)符合認證要求;
(3)獲證App運營者在App發(fā)生重大變更后,未及時向認證機構(gòu)報告變更情況;
(4)獲證App運營者違規(guī)使用認證證書、認證標志;
(5)認證標準或認證規(guī)則發(fā)生變化,獲證App運營者未按認證機構(gòu)規(guī)定完成過渡轉(zhuǎn)換;
(6)獲證App運營者主動申請暫停認證;
(7)其他依法應(yīng)當暫停的情形。
暫停期限一般為180天。暫停期限內(nèi),獲證App運營者可提出恢復(fù)認證的申請,認證機構(gòu)經(jīng)審核、批準后,方可使用該證書。在暫停認證期間,獲證App運營者不得繼續(xù)使用證書和認證標志。
6.3.2 撤銷認證
有下列情形之一的,認證機構(gòu)應(yīng)撤銷認證,并予以公布:
(1)獲證App運營者存在個人信息安全有關(guān)的違規(guī)違法行為;
(2)暫停認證期間,獲證App運營者未采取有效整改措施;
(3)發(fā)現(xiàn)獲證App運營者在認證過程中存在欺騙、隱瞞、違反承諾等不當行為,影響認證有效性;
(4)獲證App運營者拒絕接受獲證后監(jiān)督;
(5)超過暫停期限;
(6)其他依法應(yīng)當撤銷的情形。
撤銷認證后,獲證App運營者應(yīng)交回認證證書,停止使用認證標志。
6.3.3注銷認證
有下列情形之一的,認證機構(gòu)應(yīng)注銷認證,并予以公布:
(1)獲證App不再向用戶提供服務(wù);
(2)獲證App運營者申請注銷;
(3)其他依法應(yīng)當注銷的情形。
注銷認證后,獲證App運營者應(yīng)交回認證證書,停止使用認證標志。
7認證證書和認證標志的使用和管理
7.1認證證書的使用和管理
在認證證書有效期內(nèi),獲證App運營者可將證書在網(wǎng)站、工作場所和宣傳資料中展示,但不應(yīng)進行誤導(dǎo)性宣傳。
7.2認證標志及其使用和管理
7.2.1 認證標志的式樣
認證標志的式樣由基本圖案、認證機構(gòu)識別信息組成。
“ABCD”代表認證機構(gòu)識別信息。
7.2.2 認證標志的使用和管理
認證機構(gòu)應(yīng)規(guī)定認證標志的使用和管理。
獲證App運營者應(yīng)按照認證機構(gòu)的規(guī)定使用和管理認證標志,不得進行誤導(dǎo)性宣傳。
8認證責任
認證機構(gòu)應(yīng)對其做出的認證結(jié)論負責。
檢測機構(gòu)應(yīng)對技術(shù)驗證結(jié)果和技術(shù)驗證報告負責。
認證機構(gòu)及其所委派的審核員應(yīng)對現(xiàn)場審核結(jié)論負責。
認證申請方(獲證App運營者)應(yīng)對其所提交的申請資料及樣品的真實性、合法性負責,并對獲證App持續(xù)符合認證要求負主體責任。
認證不能免除獲證App運營者對獲證App承擔的法律責任。
來源:國家市場監(jiān)督管理總局http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html