为规范移动互联网应用程序（以下称App）收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》，市场监管总局、中央网信办决定开展App安全认证工作。现将有关事项公告如下： 

一、App安全认证活动依据《移动互联网应用程序（App）安全认证实施规则》（见附件）开展。 

二、从事App安全认证的认证机构为中国网络安全审查技术与认证中心，检测机构由认证机构根据认证业务需要和技术能力确定。 

三、认证机构和检测机构应按有关规定，客观、公正地开展认证和检测活动，并对认证和检测结果负责。 

四、国家鼓励App运营者自愿通过App安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。 

附件：移动互联网应用程序（App）安全认证实施规则 

　　市场监管总局 中央网信办

　　2019年3月13日 

　　（此件公开发布） 

附件

编号：CNCA-App-001

移动互联网应用程序（App）安全认证实施规则

2019-03-13发布 2019-03-15实施

国家认证认可监督管理委员会发布

目录

1适用范围

2认证依据

3认证模式

4认证程序

4.1认证申请

4.2 认证受理

4.3 技术验证

4.4 现场审核

4.5 认证决定

4.6 对认证决定的申诉

4.7 获证后监督

5认证时限

6认证证书

6.1证书的保持

6.2证书的变更

6.3认证的暂停、撤销和注销

7认证证书和认证标志的使用和管理

7.1认证证书的使用

7.2认证标志及其使用

8认证责任

1适用范围

本规则适用于对移动互联网应用程序（以下称“App”）的数据安全认证。

2认证依据

App安全认证的认证依据为 GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范。

上述标准原则上应执行国家标准化行政主管部门发布的最新版本。

3认证模式

App安全认证的认证模式为：技术验证+现场核查+获证后监督。

4认证程序

4.1认证申请

4.1.1申请方

认证申请主体为通过App向用户提供服务的网络运营者（以下简称“App运营者”），且取得市场监督管理部门或有关机构注册登记的法人资格。

App运营者有下列情形之一的，不得申请认证：

（1）违反相关法律法规；

（2）在12个月内发生重大信息安全事件；

（3）所持同类证书在撤销认证影响期内；

（4）认证机构规定的其他情况。

4.1.2 申请单元的确定

原则上按App版本申请认证。同一名称的App，版本号、操作系统平台等不同时，一般应分为不同申请单元，具体由认证机构依据本规则制定的认证实施细则予以规定。

4.1.3申请方应提交的文件和资料

认证申请方在申请认证时，提交的文档资料应至少包含以下内容：

（1）认证申请书；

（2）法人资格证明材料；

（3）App版本控制说明；

（4）对认证要求符合性的自评价结果及相关证明文档；

（5）对App符合相关安全技术标准的证明文件；

（6）不同发布渠道的版本差异性声明；

（7）其他需要的文件。

4.2 认证受理

认证机构对申请资料进行审核后做出受理决定，并向认证申请方反馈受理决定。

4.3技术验证

4.3.1 样品获取

认证申请方按照申请书填写的送样方式提交样本。

送样副本应反映所有发布渠道App副本与认证相关的技术特性；不能反映时，还应选送申请单元内其他App副本。

4.3.2 技术验证依据的标准

技术验证的依据为 GB/T 35273《信息安全技术个人信息安全规范》。

认证机构应根据GB/T 35273制定技术验证规范，确定针对标准要求的技术验证内容、方法和评价准则。

4.3.3技术验证方式

技术验证采用实验室检测和现场核查等方式进行。

4.3.4 技术验证实施

检测机构按照技术验证规范实施技术验证，并按照认证机构有关规定出具技术验证报告。

发现不符合时，检测机构向认证申请方出具不符合报告，并要求限期整改；逾期未完成整改的，中止认证过程。

4.4现场审核

技术验证通过后，认证机构对App运营者进行现场审核。

4.4.1现场审核依据的标准

现场审核的依据为 GB/T 35273《信息安全技术个人信息安全规范》。

认证机构应根据GB/T 35273制定现场审核规范，确定针对标准要求的现场审核内容、方法和评价准则。

4.4.2现场审核实施

认证机构按照现场审核规范实施现场审核，并按认证机构有关规定出具现场审核报告。

发现不符合时，认证机构向认证申请方出具不符合报告，并要求限期整改；逾期未完成整改的，中止认证过程。

4.5认证决定

认证机构根据申请资料、技术验证结论和现场审核结论等进行综合评价，做出认证决定。认证决定通过后，由认证机构向认证申请方颁发认证证书，并授权获证App运营者使用规定的认证标志。认证决定不通过的，终止认证。

4.6对认证决定的申诉

认证申请方如对认证决定结果有异议，可在收到认证结果通知后10个工作日内通过认证机构指定的申诉渠道进行申诉。认证机构自收到申诉之日起，应在5个工作日决定是否予以受理；对于受理的申诉，一般应在30个工作日给出处理结果，并将处理结果书面通知认证申请方。

4.7获证后监督

获证App运营者应持续进行获证后自评价，并配合认证机构的监督活动。

认证机构应对获证App和App运营者实施持续监督，监督方式包括日常监督和专项监督。

4.7.1获证后自评价

获证App运营者应对获证App持续符合认证要求的情况进行自评价。当出现如下情形时，获证App运营者应向认证机构提交自评价报告：

（1）获证App的分发渠道发生变化；

（2）认证标志使用情况发生变化；

（3）获证App发生变更，以及所引起的收集、处理和使用个人信息的目的、类型、方式发生变化；

（4）获证App运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化；

（5）获证App运营者收到获证App个人信息保护相关的投诉举报。

4.7.2 日常监督

认证机构应对获证App和App运营者持续实施日常监督，日常监督的内容至少包括以下方面：

（1）获证App一致性检查；

（2）获证App的更新情况；

（3）认证证书和认证标志的使用情况；

（4）企业开展自评价的情况；

（5）获证App被网民举报投诉和社会媒体曝光情况；

（6）其他影响获证App在个人信息收集、处理和使用方面持续符合认证要求的情况。

认证机构应定期对日常监督情况进行评价，形成日常监督报告。

4.7.3专项监督

当出现如下情形，认证机构应启动专项监督：

（1）网民举报投诉、媒体曝光、行业通报等涉及获证App存在个人信息安全方面的问题，并经查实获证App运营者负有责任时；

（2）获证App运营者因组织架构、服务模式等发生重大变更，或发生破产并购等可能影响App认证特性符合性时；

（3）认证机构根据日常监督结果，对获证App与本规则中规定的标准要求的符合性提出具体质疑时。

专项监督应对上述情形进行深入调查，并对获证App持续符合性全面审核，必要时还可进行技术验证。