【YD通讯标准】 移动智能终端隐私窃取恶意行为判定技术要求

ICS33.040
备案号：
中华人民共和国通信行业标准
YD/T34372019
移动智能终端隐私窃取恶意行为判定技术要求
Technical requirements of privacy theft malicious behavior determination onmobileintelligentterminal
2019-01-25发布
中华人民共和国工业和信息化部2019-07-01实施
2规范性引用文件.
3术语、定义和缩略语
3.1术语和定义...
4隐私信息划分类型..
5隐私信息处理行为...
5..1收集行为..
5.2加工行为..
5.3转移行为.
5.4删除行为...
6隐私窃取恶意行为判定原则
6.1最少必要信息原则
6.2用户可知可控原则...
6.3隐私数据保护原则...
6.4用户主动触发原则..
7隐私窃取恶意行为等级.
7.1等级确定.
7.2判定准则..
8隐私窃取恶意行为判定方法.
8.1信息通信类
8.2使用记录类..
8.3账户设置类..
8.4媒体影音类..
8.5传感采集类..
8.6金融支付类.
8.7设备信息类.
9隐私窃取恶意行为命名格式
9.1隐私信息分类编码.
9.2隐私信息处理行为分类编码
9.3命名原则..
参考文献
YD/T3437—2019
....14
本标准按照GB/T1.1-2009给出的规则起草YD/T3437—2019
请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院、国家计算机网络应急技术处理协调中心本标准主要起草人：陈婉莹、潘娟、落红卫、杨正军、李媛、董雾、焦四辈、何能强，II
YD/T34372019
随着移动互联网日益成熟，业务应用蓬勃发展和移动智能终端成本持续下降，移动智能终端已经成为人们日常生活必不可少的组成部分，用户真切体会到了移动智能终端带来的好处。但是，伴随业务应用在移动智能终端上广泛使用，越来越多的用户数据在移动智能终端上存储、处理和传输，其中既包括用户主动存储的个人信息，也包括业务应用在使用过程中生成的隐私数据。但是，由于移动智能终端本身的开放性和面临的严峻安全形势，这些用户数据不可避免要面临来自设备内部弱点和来自移动互联网外部攻击的双重威胁，敏感隐私用户数据泄漏以及重要个人信息丢失和损毁的事件时有发生，给用户的生活、工作和经济等多个方面带来严重影响，并最终制约了移动智能终端的健康发展，为保护移动智能终端上的隐私信息，本标准在YD/T2439-2012《移动互联网恶意程序描述格式》YD/T3082-2016《移动智能终端上的个人信息保护技术要求》等标准的基础上对移动智能终端隐私窃取行为进行界定，对行为的恶意程度进行分级和评定，确保终端个人信息的机密性、完整性和可用性等安全属性。
1范围
YD/T3437—2019
移动智能终端隐私窃取恶意行为判定技术要求本标准规范了移动智能终端上的隐私信息的类型，隐私窃取恶意行为的等级，判定的原则和方法。本标准适用于移动智能终端及其安装的移动应用软件，可穿戴设备等其它类型的终端可参考使用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2439-2012
YD/T3082-2016
3术语、定义和缩略语
3.1术语和定义
移动互联网恶意程序描述格式
移动智能终端上的个人信息保护技术要求下列术语和定义适用于本文件。3.1.1
移动智能终端smartmobiletermina能够接入移动通信网，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方应用软件的移动终端。
隐私信息privacyinformation
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的数据。
移动应用软件
mobileapplication
针对移动智能终端所开发的应用程序，包括移动智能终端预置应用软件以及互联网信息服务提供者提供的可以通过移动智能终端下载、安装、升级、卸载的应用软件。3.1.4
移动智能终端预置应用软件pre-installedapplication用户使用移动智能终端之前，已经预先装入移动智能终端的应用软件。3.1.5
健康数据healthdata
为实现疾病管理、健康健身和老龄服务等功能而需采集的人体生理指征数据。4隐私信息划分类型
YD/T3437-—2019
移动智能终端隐私信息可划分为信息通信类、使用记录类、账户设置类、媒体影音类、传感采集类、金融支付类和设备信息类七种类型，具体定义见YD/T3082-2016第4章中对移动智能终端上的个人信息类型的定义。
5隐私信息处理行为
5.1收集行为
收集行为指移动智能终端对终端使用者的隐私信息进行获取并记录的过程，或移动应用软件对移动智能终端记录的隐私信息进行获取的过程，如录入通讯录、读取短信等。5.2加工行为
加工行为指移动智能终端或移动应用软件对终端上的隐私信息进行存储、修改、使用等过程，如存储账户密码、修改通讯录、在界面显示银行卡账号等。5.3转移行为
转移行为指移动智能终端或移动应用软件向终端外部传输隐私信息的过程，如向公众公开、复制到其它终端等。
5.4删除行为
删除行为指移动智能终端或移动应用软件使终端上的隐私信息不再可用的过程，如删除浏览器历史记录、删除账号信息等。
6隐私窃取恶意行为判定原则
6.1最少必要信息原则
移动智能终端收集和转移隐私信息时不得扩大隐私信息收集和转移的范围，只加工或转移与其目的有关的最少信息，达到目的后不再继续加工或转移隐私信息6.2用户可知可控原则
移动智能终端对使用者要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向使用者告知隐私信息的收集和使用范围、加工隐私信息的自的，隐私信息转移对象，隐私信息保护措施等信息。移动智能终端主动收集、加工、转移隐私信息前要征得使用者的同意。按照告知时的承诺，不得超出范围收集、加工、转移隐私信息。6.3隐私数据保护原则
YD/T3437—2019
移动智能终端应保证加工或转移过程中隐私信息的保密、完整、可用。应采取适当的、与隐私信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护隐私信息安全，防止未经使用者授权的检索、披露及丢失、泄露、损毁和算改隐私信息移动智能终端应允许用户删除终端上的隐私信息，并确保隐私信息删除的完整性和不可恢复性。6.4用户主动触发原则
移动智能终端收集、加工，转移、删除隐私信息应是在用户主动触发下进行，如移动智能终端需要主动收集、加工、转移隐私信息必须具有特定、明确、合理的目的，且要满足可知可控原则。移动智能终端不可在非用户主动触发情况下删除终端上的隐私信息。7隐私窃取恶意行为等级
7.1等级确定
按照隐私信息分类与每类信息可能出现的窃取行为，对移动智能终端隐私窃取行为进行判定，每种行为可从正常、风险、恶意三个级别中选择级别进行划分，如表1所示。表1移动智能终端隐私窃取恶意行为等级划分收集
信息通信类
使用记录类
账户设置类
媒体影音类
传感采集类
金融支付类
设备信息类
正常\\恶意
正常\\恶意
正常\\恶意
正常\\恶意
正常\\恶意
正常\\恶意
正常|恶意
注：“——”表示不做要求。
7.2判定准则
正常\\恶意
正常\\恶意
正常\\风险
正常\\风险
正常\\风险|恶意
正常\\风险\\恶意
正常\\风险\\恶意
正常\\风险
正常\\恶意
正常\\风险\\恶意
正常\\风险\\恶意
正常\\风险\\恶意
根据对移动智能终端行为情况的分析，隐私窃取行为等级判断准则如下：删除
正常\\风险\\恶意
正常\\风险
正常\\风险\\恶意
正常\\风险\\恶意
正常：移动智能终端不存在获取隐私信息的行为，或通过评测方法没有发现获取行为存在安全风险或恶意事件；
一风险：移动智能终端存在获取隐私信息的行为，且通过评测方法发现在加工、转移隐私数据时未采取保护措施或不能彻底删除隐私数据；恶意：移动智能终端存在窃取行为，且通过评测方法发现存在用户不可知可控或超出目的范围的窃取行为。
8隐私窃取恶意行为判定方法
8.1信息通信类
8.1.1收集行为
判定编号：8.1.1
判定项目：信息通信类数据的收集行为3
项目要求：见YD/TXXXX-XXXX移动智能终端上的个人信息保护技术要求第8.1.1节预制条件：被测移动智能终端处于正常工作状态判定步骤：
YD/T3437—2019
步骤1：检查移动智能终端是否存在可能收集用户通信息通信类数据的移动应用软件：步骤2：如移动智能终端存在可能收集用户信息通信类数据的移动应用软件，则运行此类软件，观察其是否存在收集用户信息通信类数据的行为；步骤3：如存在收集用户信息通信类数据的行为，则判断其是否向用户明示收集的目的和范围，且是在征得用户同意的情况下进行；步骤4：在步骤2后，如收集的用户信息通信类数据为通信录数据，则跳过步骤3，直接进行此步骤，判断是否是在提供以下服务的情况下收集通信录数据：1）通信录管理、检索、备份或同步；2）
使用通信录数据发起通信：
使用通信录数据查找或推荐好友：3）
使用通信录数据辅助快速输入；步骤5：在步骤2后，如收集的用户信息通信类数据为短信/彩信数据，则跳过步骤3-步骤4，直接进行此步骤，判断是否是在提供以下服务的情况下收集短信/彩信数据：1）短信/彩信管理、检索、备份或同步；2）垃圾短信拦截；
3）通过短信进行业务订购或身份认证；步骤6：判断收集用户信息通信类数据的移动应用软件是否有超出明示目的或范围的行为预期结果：
在步骤2后，如移动智能终端不存在可能收集用户信息通信类数据的移动应用软件或行为，则判定等级为“正常”，判定结束；
在步骤3后，如移动智能终端未向用户明示收集的目的和范围，或已明示收集的目的和范围但用户不可有效拒绝，则判定等级为“恶意”，判定结束；在步骤4后，如是在超出步骤4所列几种情况下收集通信录数据，则判定等级为“恶意”，判定结束：在步骤5后，如是在超出步骤5所列几种情况下收集短信/彩信数据，则判定等级为“恶意”，判定结束：
在步骤6后，如移动智能终端不存在超出目的或范围的行为，则判定等级为“正常”，判定结束：在步骤6后，如移动智能终端存在超出明示目的或范围的行为，则判定等级为“恶意”，判定结束。8.1.2加工行为
判定编号：8.1.2
判定项目：信息通信类数据的加工行为项目要求：1、移动智能终端和移动应用软件对信息通讯类数据的修改行为应在用户主动触发的情况下进行。
预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在可能修改用户信息通信类数据的移动应用软件：步骤2：如移动智能终端存在可能修改用户信息通信类数据的移动应用软件，则运行此类软件，观察其是否存在修改用户信息通信类数据的行为：步骤3：如存在加工用户信息通信类数据的行为，则判断其是否是在用户主动触发下进行的4
预期结果：
YD/T3437—2019
在步骤2后，如移动智能终端不存在修改用户信息通信类数据的移动应用软件或行为，则判定等级为“正常”，判定结束：
在步骤3后，如是在用户主动触发下进行的，则判定等级为“正常”，判定结束；在步骤3后，如不是在用户主动触发下进行的，则判定等级为“恶意”，判定结束。8.1.3转移行为
判定编号：8.1.3
判定项目：信息通信类数据的转移行为项目要求：见YD/TXXXX-XXXX移动智能终端上的个人信息保护技术要求第8.1.2节预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在可能转移用户通信息通信类数据的移动应用软件；步骤2：如移动智能终端存在可能转移用户信息通信类数据的移动应用软件，则运行此类软件，观察其是否存在转移用户信息通信类数据的行为；步骤3：如存在转移用户信息通信类数据的行为，则判断其是否向用户明示转移的目的和范围，且是在征得用户同意的情况下进行：步骤4：在步骤2后，如转移的用户信息通信类数据为通信录数据，则跳过步骤3，直接进行此步骤，判断是否是在提供以下服务的情况下转移通信录数据：1）通信录备份或同步；
2）使用通信录数据查找或推荐好友；步骤5：在步骤2后，如转移的用户信息通信类数据为短信/彩信数据，则跳过步骤3-步骤4，直接进行此步骤，判断是否是在提供以下服务的情况下转移短信/彩信数据：1）短信/彩信转发：
2）短信/彩信备份或同步；
3）基于云服务的垃圾短信举报或自动识别：步骤6：判断转移用户信息通信类数据是否通过公共网络：步骤7：如是通过公共网络转移信息通信类数据，则判断是否对数据进行加密：步骤8：判断转移用户信息通信类数据的移动应用软件是否有超出明示目的或范围的行为。预期结果：
在步骤2后，如移动智能终端不存在可能转移用户信息通信类数据的移动应用软件或行为，则判定等级为“正常”，判定结束；
在步骤3后，如移动智能终端未向用户明示转移的目的和范围，或已明示转移的目的和范围但用户不可有效拒绝，则判定等级为“恶意”，判定结束：在步骤4后，如是在超出步骤4所列几种情况下转移通信录数据，则判定等级为“恶意”，判定结束；在步骤5后，如是在超出步骤5所列几种情况下转移短信/彩信数据，则判定等级为“恶意”，判定结束：
在步骤6后，如不是通过公共网络转移信息通信类数据，则进行步骤8；在步骤7后，如未对数据进行加密，则判定等级为“风险”，判定结束：在步骤8后，如移动智能终端不存在超出目的或范围的行为，则判定等级为“正常”，判定结束；在步骤8后，如移动智能终端存在超出明示目的或范围的行为，则判定等级为“恶意”，判定结束。8.1.4删除行为
判定编号：8.1.4
判定项目：信息通信类数据的删除行为YD/T3437—2019
项目要求：1、移动智能终端或移动应用软件对信息通讯类数据的删除行为应在用户主动触发的情况下进行。
2、移动智能终端或移动应用软件应提供选项，允许用户彻底删除其保存的信息通信类数据。预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在存储信息通信类数据的能力：步骤2：如移动智能终端存在存储信息通信类数据的能力，则运行此终端或其上的移动应用软件，观察其是否有非用户主动触发的删除行为；步骤3：如移动智能终端没有非用户主动触发的删除行为，则检查其是否具备允许用户删除其保存的信息通信类数据的功能：
步骤4：如具备允许用户删除其保存的信息通信类数据的功能，则判断其删除是否彻底。预期结果：
在步骤1后，如移动智能终端不存在存储信息通信类数据的能力，则判定等级为“正常”，判定结束：
在步骤2后，如移动智能终端有非用户主动触发的删除行为，则判定等级为“恶意”，判定结束；在步骤3后，如移动智能终端不具备允许用户删除其保存的信息通信类数据的功能，则判定等级为“风险”，判定结束：
在步骤4后，如可实现彻底删除，则判定等级为“正常”，判定结束；在步骤4后，如不可实现彻底删除，则判定等级为“风险”，判定结束。8.2使用记录类
8.2.1收集行为
判定编号：8.2.1
判定项目：使用记录类数据的收集行为项目要求：1、移动应用软件在收集移动智能终端记录的使用记录类数据前，移动应用软件应向用户明示即将进行的操作，并且仅在用户同意后方可继续。预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在可能收集用户使用记录类数据的移动应用软件：步骤2：如移动智能终端存在可能收集用户使用记录类数据的移动应用软件，则运行此类软件，观察其是否存在收集用户使用记录类数据的行为：步骤3：如应用存在收集用户使用记录类数据的行为，则判断其是否向用户明示收集的目的和范围，且是在征得用户同意的情况下进行。步骤4：判断收集用户使用记录类数据的移动应用软件是否有超出明示目的或范围的行为。预期结果：
在步骤2后，如移动智能终端不存在收集用户使用记录类数据的移动应用软件或行为，则判定等级为“正常”，判定结束：
在步骤3后，如移动智能终端未向用户明示收集的目的和范围，或已明示收集的目的和范围但用户不可有效拒绝，则判定等级为“恶意”，判定结束；在步骤4后，如移动智能终端不存在超出目的或范围的行为，则判定等级为“正常”，判定结束；6
YD/T3437—2019
在步骤4后，如移动智能终端存在超出明示目的或范围的行为，则判定等级为“恶意”，判定结束。8.2.2加工行为
判定编号：8.2.2
判定项目：使用记录类数据的加工行为项目要求：1、移动智能终端和移动应用软件不可对使用记录类数据的进行修改。预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在可能修改用户使用记录类数据的移动应用软件：步骤2：如移动智能终端存在可能修改用户使用记录类数据的移动应用软件，则运行此类软件，观察其是否存在修改用户使用记录类数据的行为。预期结果：
在步骤2后，如移动智能终端不存在修改用户使用记录类数据的移动应用软件或行为，则判定等级为“正常”，判定结束；
在步骤2后，如移动智能终端存在修改用户使用记录类数据的移动应用软件或行为，则判定等级为“恶意”，判定结束。
8.2.3转移行为
判定编号：8.2.3
判定项目：使用记录类数据的转移行为项目要求：见YD/TXXXX-XXXX移动智能终端上的个人信息保护技术要求第8.2.1节预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在可能转移用户使用记录类数据的移动应用软件：步骤2：如移动智能终端存在可能转移用户使用记录类数据的移动应用软件，则运行此类软件，观察其是否存在转移用户使用记录类数据的行为：步骤3：如存在转移用户使用记录类数据的行为，则判断其是否向用户明示转移的目的和所包含隐私信息的内容，且是在征得用户同意的情况下进行：步骤4：判断转移用户使用记录类数据是否通过公共网络；步骤5：如是通过公共网络转移使用记录类数据，则判断是否对数据进行加密：步骤6：判断移动应用软件是否通过设置选项的方式控制使用记录类数据的转移：步骤7：如是通过设置选项的方式控制使用记录类数据的转移，则判断相关选项的默认设置是否为禁用使用记录类数据的转移：
步骤8：判断转移用户使用记录类数据的移动应用软件是否有超出明示目的或所包含隐私信息的内容的行为。
预期结果：
在步骤2后，如移动智能终端不存在可能转移用户使用记录类数据的移动应用软件或行为，则判定等级为“正常”，判定结束：
在步骤3后，如移动智能终端未向用户明示转移的目的和和所包含隐私信息的内容，或已明示转移的目的和和所包含隐私信息的内容但用户不可有效拒绝，则判定等级为“恶意”，判定结束；在步骤4后，如不是通过公共网络转移使用记录类数据，则进行步骤6在步骤5后，如未对数据进行加密，则判定等级为“风险”，判定结束；YD/T3437—2019
在步骤6后，如不是通过设置选项的方式控制使用记录类数据的转移，则进行步骤8：在步骤7后，如未相关选项的默认设置为允许，则判定等级为“风险”，判定结束：在步骤8后，如移动智能终端不存在超出目的或范围的行为，则判定等级为“正常”，判定结束：在步骤8后，如移动智能终端存在超出明示目的或所包含隐私信息的内容的行为，则判定等级为“恶意”，判定结束。
8.2.4删除行为
判定编号：8.2.4
判定项目：使用记录类数据的删除行为项目要求：见YD/TXXXX-XXXX移动智能终端上的个人信息保护技术要求第8.2.2节预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：检查移动智能终端是否存在具备浏览记录和通话记录功能的移动应用软件：步骤2：如移动智能终端存在具备浏览记录和通话记录功能的移动应用软件，则运行此类软件，观察其是否具备允许用户删除其保存的浏览记录数据和通话记录数据的功能；步骤3：如具备允许用户删除其保存的浏览记录数据和通话记录数据的功能，则判断其删除是否彻底。
预期结果：
在步骤1后，如移动智能终端不存在具备浏览记录和通话记录功能的移动应用软件，则判定等级为“正常”，判定结束；
在步骤2后，如移动智能终端不具备允许用户删除其保存的浏览记录数据和通话记录数据的功能，则判定等级为“风险”，判定结束；在步骤3后，如可实现彻底删除，则判定等级为“正常”，判定结束；在步骤3后，如不可实现彻底删除，则判定等级为“风险”，判定结束。8.3账户设置类此内容来自标准下载网
收集行为
判定编号：8.3.1
判定项目：账户设置类数据的收集行为项目要求：1、移动应用软件不可收集移动智能终端上除本应用外的其他账户设置类数据。预制条件：被测移动智能终端处于正常工作状态判定步骤：
步骤1：运行移动智能终端上的移动应用软件：步骤2：观察是否存在有收集除本应用外的其他账户设置类数据行为的移动应用软件预期结果：
在步骤2后，如不存在有收集除本应用外的其他账户设置类数据行为的移动应用软件，则判定等级为“正常”，判定结束：
在步骤2后，如存在有收集除本应用外的其他账户设置类数据行为的移动应用软件，则判定等级为“恶意”，判定结束。
8.3.2加工行为
判定编号：8.3.2
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。