移动互联网应用程序(App)安全认证实施规则最终版0313发布.docx

市场监管总局中央网信办关于开展App安全认证工作的公告为规范移动互联网应用程序（以下称App）收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》，市场监管总局、中央网信办决定开展App安全认证工作现将有关事项公告如下：一、App安全认证活动依据《移动互联网应用程序（App）安全认证实施规则》（见附件）开展二、从事App安全认证的认证机构为中国网络安全审查技术与认证中心，检测机构由认证机构根据认证业务需要和技术能力确定三、认证机构和检测机构应按有关规定，客观、公正地开展认证和检测活动，并对认证和检测结果负责四、国家鼓励App运营者自愿通过App安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App附件编号:CNCA-App-001移动互联网应用程序（App）安全认证实施规则2019-03-15实施2019-03-13发布国家认证认可监督管理委员会发布目录1适用范围12认证依据13认证模式14认证程序14.1认证申请14.2认证受理14.3技术验证24.4现场审核24.5认证决定24.6对认证决定的申诉24.7获证后监督35认证时限46认证证书46.1证书的保持46.2证书的变更46.3认证的暂停、撤销和注销47认证证书和认证标志的使用和管理57.1认证证书的使用57.2认证标志及其使用58认证责任61适用范围本规则适用于对移动互联网应用程序(以下称“App”)的数据安全认证。

2认证依据Ap陂全认证的认证依据为GB/T35273〈〈信息安全技术个人信息安全规范》及相关标准、规范上述标准原则上应执行国家标准化行政主管部门发布的最新版本3认证模式Ap陂全认证的认证模式为：技术验证+现场核查+获证后监督4认证程序4.1认证申请4.1.1申请方认证申请主体为通过App向用户提供服务的网络运营者(以下简称“Appiit营者”)，且取得市场监督管理部门或有关机构注册登记的法人资格AppS营者有下列情形之一的，不得申请认证：(1) 违反相关法律法规；在12个月内发生重大信息安全事件；所持同类证书在撤销认证影响期内；认证机构规定的其他情况4.1.2申请单元的确定原则上按App＞本申请认证同一名称的App,版本号、操作系统平台等不同时，一般应分为不同申请单元，具体由认证机构依据本规则制定的认证实施细则予以规定4.1.3申请方应提交的文件和资料认证申请方在申请认证时，提交的文档资料应至少包含以下内容：(1) 认证申请书；法人资格证明材料；App＞本控制说明；对认证要求符合性的白评价结果及相关证明文档；对App#合相关安全技术标准的证明文件；不同发布渠道的版本差异性声明；其他需要的文件。

4.2认证受理认证机构对申请资料进行审核后做出受理决定，并向认证申请方反馈受理决定4.3技术验证4.3.1样品获取认证申请方按照申请书填写的送样方式提交样本送样副本应反映所有发布渠道Appg'J本与认证相关的技术特性；不能反映时，还应选送申请单元内其他Appg'J本4.3.2技术验证依据的标准技术验证的依据为GB/T35273«信息安全技术个人信息安全规范》认证机构应根据GB/T35273制定技术验证规范，确定针对标准要求的技术验证内容、方法和评价准则4.3.3技术验证方式技术验证采用实验室检测和现场核查等方式进行4.3.4技术验证实施检测机构按照技术验证规范实施技术验证，并按照认证机构有关规定出具技术验证报告发现不符合时，检测机构向认证申请方出具不符合报告，并要求限期整改；逾期未完成整改的，中止认证过程4.4现场审核技术验证通过后，认证机构对Appg营者进行现场审核4.4.1现场审核依据的标准现场审核的依据为GB/T35273«信息安全技术个人信息安全规范》认证机构应根据GB/T35273制定现场审核规范，确定针对标准要求的现场审核内容、方法和评价准则4.4.2现场审核实施认证机构按照现场审核规范实施现场审核，并按认证机构有关规定出具现场审核报告。

发现不符合时，认证机构向认证申请方出具不符合报告，并要求限期整改；逾期未完成整改的，中止认证过程4.5认证决定认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价，做出认证决定认证决定通过后，由认证机构向认证申请方颁发认证证书，并授权获证App®营者使用规定的认证标志认证决定不通过的，终止认证4.6对认证决定的申诉认证申请方如对认证决定结果有异议，可在收到认证结果通知后10个工作日内通过认证机构指定的申诉渠道进行申诉认证机构白收到申诉之日起，应在5个工作日决定是否予以受理；对于受理的申诉,一般应在30个工作日给出处理结果，并将处理结果书面通知认证申请方4.7获证后监督获证AppH营者应持续进行获证后白评价，并配合认证机构的监督活动认证机构应对获证Ap砰日ApfpS营者实施持续监督，监督方式包括日常监督和专项监督4.7.1获证后白评价获证App运营者应对获证App持续符合认证要求的情况进行白评价当出现如下情形时，获证App运营者应向认证机构提交白评价报告：(1) 获证App勺分发渠道发生变化；认证标志使用情况发生变化；(2) 获证Ap殴生变更，以及所引起的收集、处理和使用个人信息的目的、类型、方式发生变化；获证AppH营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化；获证Ap疟营者收到获证Ap砰人信息保护相关的投诉举报。

4.7.2日常监督认证机构应对获证App和App运营者持续实施日常监督，日常监督的内容至少包括以下方面：(1) 获证App-致性检查；获证App勺更新情况；认证证书和认证标志的使用情况；企业开展白评价的情况；获证Appt网民举报投诉和社会媒体曝光情况；(2) 其他影响获证Ap谁个人信息收集、处理和使用方面持续符合认证要求的情况认证机构应定期对日常监督情况进行评价，形成日常监督报告4.7.3专项监督当出现如下情形，认证机构应启动专项监督：(1) 网民举报投诉、媒体曝光、行业通报等涉及获证App^在个人信息安全方面的问题，并经查实获证App®营者负有责任时；(2) 获证App^营者因组织架构、服务模式等发生重大变更，或发生破产并购等可能影响AppA证特性符合性时；认证机构根据日常监督结果，对获证AppW本规则中规定的标准要求的符合性提出具体质疑时专项监督应对上述情形进行深入调查，并对获证App持续符合性全面审核，必要时还可进行技术验证认证机构可采取事先不通知的方式对获证App运营者实施专项监督4.7.4监督结果的处理获证后监督中发现不符合时，认证机构应要求获证Appg营者在限期内进行整改，并对整改结果进行验证。

未在规定期限内完成整改或整改结果未通过验证的，按照6.3规定处置5认证时限认证时限是指白作出受理决定之日起至作出认证决定所实际发生的工作日，一般为90个工作日(不包含整改时间)6认证证书6.1证书的保持认证机构应对认证证书的有效期做出规定，超过有效期的认证证书白行失效当认证规则要求(如标准)发生变化时，应在认证机构确定的转换期限内完成换证6.2证书的变更6.2.1变更申请与通知出现下列情况之一时，获证App运营者应向认证机构提出变更申请：(1) 获证Appg称、版本发生变更；认证范围扩大或缩小；获证AppH营者名称、注册地址发生变更；认证机构规定的其它事项发生变更时6.2.2变更评价和批准认证机构根据变更的内容，对提供的资料进行评价，确定是否可以批准变更如需重新技术验证和现场审核，应在技术验证和/或现场审核通过后方能批准变更6.3认证的暂停、撤销和注销6.3.1暂停认证有下列情形之一的，认证机构应暂停认证，并予以公布：(1) 国家有关主管部门发现获证App^在安全问题；在监督中发现获证App^能持续符合认证要求；获证App^营者在Ap戒生重大变更后，未及时向认证机构报告变更情况；获证Appg营者违规使用认证证书、认证标志；(2) 认证标准或认证规则发生变化，获证ApfiH营者未按认证机构规定完成过渡转换；获证ApppS营者主动申请暂停认证；其他依法应当暂停的情形。

暂停期限一般为180天暂停期限内，获证Appg营者可提出恢复认证的申请，认证机构经审核、批准后，方可使用该证书在暂停认证期间，获证Appg营者不得继续使用证书和认证标志6.3.2撤销认证有下列情形之一的，认证机构应撤销认证，并予以公布：(1) 获证AppH营者存在个人信息安全有关的违规违法行为；暂停认证期间，获证Appg营者未采取有效整改措施；(2) 发现获证Appiit营者在认证过程中存在欺骗、隐瞒、违反承诺等不当行为，影响认证有效性；获证AppH营者拒绝接受获证后监督；超过暂停期限；其他依法应当撤销的情形撤销认证后，获证App^营者应交回认证证书，停止使用认证标志6.3.3注销认证有下列情形之一的，认证机构应注销认证，并予以公布：(1) 获证App^再向用户提供服务；获证AppH营者申请注销；其他依法应当注销的情形注销认证后，获证App^营者应交回认证证书，停止使用认证标志7认证证书和认证标志的使用和管理7.1认证证书的使用和管理在认证证书有效期内，获证App运营者可将证书在网站、工作场所和宣传资料中展示，但不应进行误导性宣传7.2认证标志及其使用和管理7.2.1认证标志的式样认证标志的式样由基本图案、认证机构识别信息组成。

ABCD“abcd代表认证机构识别信息7.2.2认证标志的使用和管理认证机构应规定认证标志的使用和管理获证Ap疟营者应按照认证机构的规定使用和管理认证标志，不得进行误导性宣传8认证责任认证机构应对其做出的认证结论负责检测机构应对技术验证结果和技术验证报告负责认证机构及其所委派的审核员应对现场审核结论负责认证申请方（获证ApfpS营者）应对其所提交的申请资料及样品的真实性、合法性负责，并对获证App寺续符合认证要求负主体责任认证不能免除获证App运营者对获证App承担的法律责任。