夜雨聆风
GB/T 47469-2026《数据安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》
GB/T 47469-2026《数据安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》于2026年4月30日正式发布,将于2026年11月1日起实施,归口单位为全国网络安全标准化技术委员会(TC 260)。
新国标文件
标准来源:全国标准信息公共服务平台
核心内容/亮点
1、新国标主要管什么?
针对移动智能终端提供了移动智能终端个人信息保护管理措施的建议,指导移动智能终端提供者进行个人信息保护功能设计、开发活动。
2:新国标对APP有哪些指导?
a) 个人信息收集使用提示
App持续或频繁调用麦克风、相机、位置等敏感权限时,终端必须在屏幕显著位置展示标识(状态栏图标、下拉栏提示等),前台和后台运行期间均需展示。用户可点击查询哪个App正在使用权限,并可直接调整授权。
b) 个人信息收集使用行为记录
指APP用户权益保护评估团队在评估对象完成整改或达到整改期限后,对评估对象的整改复核评估。APP用户权益保护团队应根据初步评估结果及整改建议,检查评估对象整改措施的有效性、合规性,确定评估对象是否完成整改,给出评估对象复评结论。参考:如何做好APP用户权益保护自评估及常见问题梳理(附报告模板)
c) 个人信息收集使用行为集中展示和管理
在设置界面的二级目录中显著位置提供统一入口,用户可一站式查看所有App的个人信息调用记录,并进行权限管理。
d) 个人信息授权管理
新国标强调了“单次使用的授权方式”,再次启动并使用相关功能时,需要重新获取用户授权;仅在使用期间允许授权:在 App申请获取某些权限时,为用户提供仅当 App处于前台运行状态时允许访问的授权机制。
e) 终端敏感行为管理
覆盖20余项高风险行为,重点包括:
应用程序列表访问:需用户授权(始终允许/拒绝)
剪切板读取:非用户主动触发时须提示或授权
位置信息:支持精准/粗略位置选择,限制后台读取
麦克风/相机:禁止后台启动
媒体信息:支持用户单次指定图片/视频访问,无需授权整个相册
图片分享去隐私:分享时可去除拍摄地点、设备等附加信息
通讯录/短信/通话记录:严格授权,非必要功能限制申请
无需权限拨打电话/发短信:调用系统公共接口,由用户主动操作
f) 唯一设备识别码访问控制
限制App获取不可变更设备标识(如IMEI)
WLAN MAC地址发送时随机化
可变标识(如OAID)支持重置、关闭、按App单独开放
g) 存储空间使用控制
App拥有私有存储目录,其他App无法访问
提供存储加密机制,保障个人信息安全
h) App安装管理
须用户同意,禁止静默安装
不对可收集个人信息权限进行一次性授权
i) App自启动与关联启动管理
为用户提供关闭自启动和关联启动的功能,防范App在用户无感知下被唤醒
j) App卸载管理
卸载时彻底删除:App卸载时,移动智能终端必须提供彻底删除App私有存储目录下所有个人信息的机制,防止残留数据被其他应用恶意利用。
对App运营者的合规启示
关注终端变化,提前适配
主流手机厂商将按照新国标升级有关个人信息功能。App应跟踪这些变化,确保自身在不同终端上的权限调用行为能被正确记录和展示,避免因“行为异常”被系统标记。
APP相关标准(部分)
关于映涵
inham
映涵安全是映涵科技旗下专注于数据和网络安全的品牌,致力于为全球客户提供一站式的安全解决方案。映涵安全通过创新的自研技术,为客户提供卓越的个人信息保护、数据治理和网络安全防御服务。
在个人信息保护领域,映涵安全凭借行业领先的检测技术,为安卓、ios和鸿蒙等终端提供全自动化或人机结合的隐私合规检测报告,帮助客户精准识别并解决隐私合规风险。
在数据治理领域,映涵安全基于自主研发的数据治理大模型,提供涵盖数据全生命周期的完整服务,有效防范数据泄露风险,提升数据价值。
在网络安全防御领域,映涵安全依托先进的威胁检测引擎及技术,提供专业的安全防护服务,并通过轻量级垂直响应机制,帮助客户有效提升网络威胁对抗能力。作为中国国际进口博览会、上海市委网信办和上海市通信管理局等重大活动和监管部门的技术支撑机构,映涵安全积极协助政府监管工作并参与制定行业规范,参与编写了《上海市移动互联网应用程序个人信息和用户权益保护合规指南》等指导性文件。
联系电话:
021-52769952
