最新的移动互联网应用程序信息服务管理规定

附件编号：CNCA-App-001移动互联网应用程序（App）安全认证实施规则2019-03-13发布2019-03-15实施国家认证认可监督管理委员会发布目录1适用范围 (1)2认证依据 (1)3认证模式 (1)4认证程序 (1)4.1认证申请 (1)4.2认证受理 (2)4.3技术验证 (2)4.4现场审核 (2)4.5认证决定 (3)4.6对认证决定的申诉 (3)4.7获证后监督 (3)5认证时限 (4)6认证证书 (4)6.1证书的保持 (4)6.2证书的变更 (4)6.3认证的暂停、撤销和注销 (5)7认证证书和认证标志的使用和管理 (6)7.1认证证书的使用 (6)7.2认证标志及其使用 (6)8认证责任 (6)1适用范围本规则适用于对移动互联网应用程序（以下称“App”）的数据安全认证。

2认证依据App安全认证的认证依据为GB/T35273《信息安全技术个人信息安全规范》及相关标准、规范。

上述标准原则上应执行国家标准化行政主管部门发布的最新版本。

3认证模式App安全认证的认证模式为：技术验证+现场核查+获证后监督。

4认证程序4.1认证申请4.1.1申请方认证申请主体为通过App向用户提供服务的网络运营者（以下简称“App运营者”），且取得市场监督管理部门或有关机构注册登记的法人资格。

App运营者有下列情形之一的，不得申请认证：（1）违反相关法律法规；（2）在12个月内发生重大信息安全事件；（3）所持同类证书在撤销认证影响期内；（4）认证机构规定的其他情况。

4.1.2申请单元的确定原则上按App版本申请认证。

同一名称的App，版本号、操作系统平台等不同时，一般应分为不同申请单元，具体由认证机构依据本规则制定的认证实施细则予以规定。

4.1.3申请方应提交的文件和资料认证申请方在申请认证时，提交的文档资料应至少包含以下内容：（1）认证申请书；（2）法人资格证明材料；（3）App版本控制说明；（4）对认证要求符合性的自评价结果及相关证明文档；（5）对App符合相关安全技术标准的证明文件；（6）不同发布渠道的版本差异性声明；（7）其他需要的文件。

国家金融监督管理总局有关司局负责人就《关于加强银行业保险业移动互联网应用程序管理的通知》答记者问文章属性•【公布机关】国家金融监督管理总局,国家金融监督管理总局,国家金融监督管理总局•【公布日期】2024.09.14•【分类】问答正文国家金融监督管理总局有关司局负责人就《关于加强银行业保险业移动互联网应用程序管理的通知》答记者问金融监管总局近日印发了《关于加强银行业保险业移动互联网应用程序管理的通知》（以下简称《通知》），金融监管总局有关司局负责人就《通知》回答了记者提问。

一、制定《通知》的背景和意义是什么？近年来，移动互联网应用程序（以下简称移动应用）已成为银行业金融机构、保险业金融机构和金融控股公司（以下统称金融机构）线上服务的重要渠道，在提升金融服务便捷性的同时，也存在数量庞杂、功能重复、用户满意度和活跃度低等问题。

为贯彻落实银行业保险业信息科技监管要求，指导金融机构有序规范建设移动应用，提升金融服务水平，金融监管总局印发了《通知》。

《通知》针对当前存在的问题，要求金融机构加强统筹，将移动应用管理纳入全面风险管理体系，有效控制移动应用引发的风险，同时督促金融机构进一步加强服务，改善用户体验，有利于规范银行业保险业移动应用建设管理，提升金融机构移动应用安全保障水平和金融服务水平，筑牢信息科技风险防线。

二、《通知》的主要内容是什么？《通知》从四方面提出18条工作要求，一是加强统筹管理，要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量；二是加强全生命周期管理，要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节，强化移动应用与运行环境的兼容性、适配性管理；三是落实风险管理责任，要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求；四是加强监督管理，要求金融监管总局各级派出机构加强移动应用监管工作。

移动互联网应用程序信息服务管理规定移动互联网应用程序信息服务管理规定第一章总则第一条为规范移动互联网应用程序信息服务，维护公共利益，保障用户合法权益，制定本规定。

第二条本规定适用于在中华人民共和国境内提供移动互联网应用程序信息服务的单位、个人及其相关活动。

第三条移动互联网应用程序信息服务应当遵循法律法规、社会公德及用户合理需求，保护信息安全和个人隐私，促进信息产业健康发展。

第四条移动互联网应用程序信息服务提供者应当履行社会责任，依法开展信息服务，不得利用信息服务从事违反法律法规或社会公德的活动。

第五条移动互联网应用程序信息服务提供者要遵循“用户自愿、公开透明、明确约束、确保安全”的原则，保护用户合法权益。

第二章信息内容管理第六条移动互联网应用程序信息服务提供者应当负责发布内容的合法性，不得发布违反法律法规的内容，包括但不限于以下行为：（一）反对宪法确定的基本原则的；（二）危害国家安全、泄露国家机密、颠覆国家政权的；（三）破坏国家统一、民族团结的；（四）破坏国家宗教政策、宣扬邪教和封建迷信的；（五）散布谣言、扰乱社会秩序、破坏社会稳定的；（六）传播淫秽、色情或者赌博、暴力、恐怖、凶杀、自杀等内容的；（七）侮辱或者诽谤他人，侵害他人合法权益的；（八）不符合社会公德、伦理道德、情感价值的其他内容。

第七条移动互联网应用程序信息服务提供者应当自觉遵守法律法规，不得发布、传播或者链接涉及犯罪、涉嫌侵犯他人合法权益、含有恶意程序等危害性信息。

第八条移动互联网应用程序信息服务提供者应当对用户发表的信息进行审核，及时删除违法、违规的信息，保护公众利益。

第九条移动互联网应用程序信息服务提供者应当建立内容审核制度，设立专门的审核人员，履行审核职责，及时删除违规信息。

第十条移动互联网应用程序信息服务提供者应当采取技术手段，加强对有害信息的定向检测和拦截控制，配合有关部门开展网络安全监管。

第三章用户隐私保护第十一条移动互联网应用程序信息服务提供者应当保护用户隐私，保障用户信息安全，不得非法获取用户信息，不得泄露或者篡改用户信息。

移动互联网应用程序信息服务管理规定国家规范性文件随着移动互联网的快速发展，移动互联网应用程序成为人们生活中不可或缺的一部分。

然而，随之而来的数据安全和个人隐私问题也越来越受到关注。

为了保护用户的合法权益，确保移动互联网应用程序信息服务的健康有序发展，国家制定了《移动互联网应用程序信息服务管理规定》作为指导文件，以规范移动互联网应用程序信息服务的经营行为。

该规定首先明确了移动互联网应用程序信息服务的定义和范围，涵盖了各类移动应用程序提供的信息服务，包括社交网络、电子商务、在线支付、内容分发等。

规定了信息服务提供者的责任和义务，要求其遵守法律法规，保护用户的个人信息和数据安全，禁止传播违法信息和有害内容，加强实名认证和审核管控，提供必要的用户权益保护机制。

其次，规定了移动互联网应用程序信息服务的经营准入和退出机制。

对于准入条件，规定了信息服务提供者应具备的注册资本、技术条件和安全保障措施等方面的要求，以保障行业的发展质量和用户权益。

对于退出机制，规定了信息服务提供者如果长期未能达到经营要求或存在重大安全隐患，相关部门有权采取限制经营或撤销许可等措施。

此外，规定了信息服务提供者应遵守的行业自律规则。

强调了用户信息保护、消费者权益保护、商业诚信等方面的原则，促进了行业的健康发展和良性竞争。

同时，鼓励信息服务提供者主动履行社会责任，推动公益事业的发展，提供更加贴近用户需求的服务。

该规定还特别强调了网络安全和数据保护。

要求信息服务提供者采取必要的安全技术和管理措施，确保用户个人信息的完整性和保密性。

禁止未经用户授权或者超出授权范围收集、使用和泄露用户个人信息。

对于发生的数据泄露和信息安全事件，规定了应急处理和后续责任追究的机制，保障用户权益和社会公共安全。

此外，规定了行政管理措施和处罚规定。

明确了相关部门的监管职责和执法权限，规定了违法违规行为的处罚标准和处理程序，对于严重情节的违法行为还将追究刑事责任。

这些措施和规定为行业提供了明确的法律基础和操作指南，促进了移动互联网应用程序信息服务的健康有序发展。

常见类型移动互联网应用程序必要个人信息范围规定常见类型App的必要个人信息范围如下：（一）地图导航类，基本功能服务为“定位和导航”，必要个人信息为：位置信息、出发地、到达地。

（二）网络约车类，基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”，必要个人信息包括：1.注册用户移动电话号码；2.乘车人出发地、到达地、位置信息、行踪轨迹；3.支付时间、支付金额、支付渠道等支付信息（网络预约出租汽车服务）。

（三）即时通信类，基本功能服务为“提供文字、图片、语音、视频等网络即时通信服务”，必要个人信息包括：1.注册用户移动电话号码；2.账号信息：账号、即时通信联系人账号列表。

（四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

（五）网络支付类，基本功能服务为“网络支付、提现、转账等功能”，必要个人信息包括：1.注册用户移动电话号码；2.注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。

（六）网上购物类，基本功能服务为“购买商品”，必要个人信息包括：1.注册用户移动电话号码；2.收货人姓名（名称）、地址、联系电话；3.支付时间、支付金额、支付渠道等支付信息。

（七）餐饮外卖类，基本功能服务为“餐饮购买及外送”，必要个人信息包括：1.注册用户移动电话号码；2.收货人姓名（名称）、地址、联系电话；3.支付时间、支付金额、支付渠道等支付信息。

（八）邮件快件寄递类，基本功能服务为“信件、包裹、印刷品等物品寄递服务”，必要个人信息包括：1.寄件人姓名、证件类型和号码等身份信息；2.寄件人地址、联系电话；3.收件人姓名（名称）、地址、联系电话；4.寄递物品的名称、性质、数量。

（九）交通票务类，基本功能服务为“交通相关的票务服务及行程管理（如票务购买、改签、退票、行程管理等）”，必要个人信息包括：1.注册用户移动电话号码；2.旅客姓名、证件类型和号码、旅客类型。

移动互联网应用程序信息服务管理规定移动互联网应用程序信息服务管理规定第一章总则第一条为规范移动互联网应用程序（以下简称“应用程序”）信息服务行为，保护公民、法人和其他组织的合法权益，促进移动互联网健康有序发展，根据《中华人民共和国电信条例》、《互联网信息服务管理办法》等法律法规，制定本规定。

第二条本规定适用于在中华人民共和国境内向公众提供应用程序信息服务（以下简称“信息服务”）的应用程序运营者和服务提供者（以下简称“服务提供者”）。

第三条应用程序的信息服务应符合法律、道德、社会公德和商业道德要求，严禁传播违法、违规内容，严禁传播封建迷信、淫秽色情、赌博游戏、暴力恐怖、谣言等不良信息。

第四条服务提供者应加强自身管理，对应用程序信息的真实性、合法性、安全性等负有客观责任，依法承担法律责任。

第五条应用程序信息服务监督机构应当依法开展监督和管理工作，保护用户权益，维护行业健康有序发展。

第二章应用程序信息服务经营管理第六条应用程序信息服务应当明确服务的内容、运营方式、服务期限等，不得存在欺诈、误导用户、以非法手段获取用户信息等违法行为。

第七条应用程序信息服务应向用户提供真实、准确、完整的服务信息，不得利用虚假信息误导用户或者进行欺诈行为。

第八条应用程序信息服务应当向用户提供完善的服务协议，明确服务内容及责任，遵守法律法规和社会公德，保护用户隐私及知识产权等合法权益。

第九条服务提供者应当制定健全用户投诉处理机制，及时处理用户投诉问题，维护用户合法权益。

第十条应用程序信息服务应当保障用户个人信息安全，不得非法收集、存储、使用、泄露用户个人信息。

第三章应用程序信息内容管理第十一条应用程序信息服务不得传播反对宪法确定的基本原则、危害国家安全、泄露国家秘密、煽动民族仇恨、民族歧视，破坏国家统一和社会稳定的信息。

第十二条应用程序信息服务不得传播淫秽、色情、赌博游戏、暴力恐怖、恶意诈骗、传播谣言等信息。

第十三条应用程序信息服务应当严格履行分类管理要求，采取技术手段和管理措施限制未成年人下载、浏览不良信息的能力，并注明相关提示。

移动互联网应用程序信息服务管理规定（2022修订）文章属性•【制定机关】国家互联网信息办公室•【公布日期】2022.06.14•【文号】•【施行日期】2022.08.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】通信业,电子信息正文移动互联网应用程序信息服务管理规定第一章总则第一条为了规范移动互联网应用程序（以下简称应用程序）信息服务，保护公民、法人和其他组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律、行政法规和国家有关规定，制定本规定。

第二条在中华人民共和国境内提供应用程序信息服务，以及从事互联网应用商店等应用程序分发服务，应当遵守本规定。

本规定所称应用程序信息服务，是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。

本规定所称应用程序分发服务，是指通过互联网提供应用程序发布、下载、动态加载等服务的活动，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。

第三条国家网信部门负责全国应用程序信息内容的监督管理工作。

地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。

第四条应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规，弘扬社会主义核心价值观，坚持正确政治方向、舆论导向和价值取向，遵循公序良俗，履行社会责任，维护清朗网络空间。

应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。

第五条应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，积极配合国家实施网络可信身份战略，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。