移动互联网应用程序（App）安全认证

[参考官网：中国网络安全审查技与认证中心 http://www.isccc.gov.cn]

1 适用范围

本规则适用于对移动互联网应用程序（以下称“App”）的数据安全认证。

2 认证依据

App安全认证的认证依据为 GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范。上述标准原则上应执行国家标准化行政主管部门发布的最新版本。

3 认证模式

App安全认证的认证模式为：技术验证+现场核查+获证后监督。

4 认证程序

4.1 认证申请

4.1.1 申请方

认证申请主体为通过App向用户提供服务的网络运营者（以下简称“App运营者”），且取得市场监督管理部门或有关机构注册登记的法人资格。

App运营者有下列情形之一的，不得申请认证：

（1）违反相关法律法规；

（2）在12个月内发生重大信息安全事件；

（3）所持同类证书在撤销认证影响期内；

（4）认证机构规定的其他情况。

4.1.2 申请单元的确定

原则上按App版本申请认证。同一名称的App，版本号、操作系统平台等不同时，一般应分为不同申请单元，具体由认证机构依据本规则制定的认证实施细则予以规定。

4.1.3 申请方应提交的文件和资料

认证申请方在申请认证时，提交的文档资料应至少包含以下内容：

（1）认证申请书；

（2）法人资格证明材料；

（3）App版本控制说明；

（4）对认证要求符合性的自评价结果及相关证明文档；（5）对App符合相关安全技术标准的证明文件；

（6）不同发布渠道的版本差异性声明；

（7）其他需要的文件。

4.2 认证受理

认证机构对申请资料进行审核后做出受理决定，并向认证申请方反馈受理决定。

5 认证时限

认证时限是指自作出受理决定之日起至作出认证决定所实际发生的工作日，一般为90个工作日（不包含整改时间）。

6 认证证书

6.1 证书的保持

认证机构应对认证证书的有效期做出规定，超过有效期的认证证书自行失效。当认证规则要求（如标准）发生变化时，应在认证机构确定的转换期限内完成换证。

6.2 证书的变更

6.2.1 变更申请与通知

出现下列情况之一时，获证 App 运营者应向认证机构提出变更申请：

（1）获证App名称、版本发生变更；

（2）认证范围扩大或缩小；

（3）获证App运营者名称、注册地址发生变更；

（4）认证机构规定的其它事项发生变更时。

6.2.2 变更评价和批准

认证机构根据变更的内容，对提供的资料进行评价，确定是否可以批准变更。如需重新技术验证和现场审核，应在技术验证和/或现场审核通过后方能批准变更。

6.3 认证的暂停、撤销和注销

6.3.1 暂停认证

有下列情形之一的，认证机构应暂停认证，并予以公布：

（1）国家有关主管部门发现获证App存在安全问题；

（2）在监督中发现获证App不能持续符合认证要求；

（3）获证App运营者在App发生重大变更后，未及时向认证机构报告变更情况；

（4）获证App运营者违规使用认证证书、认证标志；

（5）认证标准或认证规则发生变化，获证App运营者未按认证机构规定完成过渡转换；

（6）获证App运营者主动申请暂停认证；

（7）其他依法应当暂停的情形。

暂停期限一般为180天。暂停期限内，获证App运营者可提出恢复认证的申请，认证机构经审核、批准后，方可使用该证书。在暂停认证期间，获证App运营者不得继续使用证书和认证标志。

6.3.2 撤销认证

有下列情形之一的，认证机构应撤销认证，并予以公布：

（1）获证App运营者存在个人信息安全有关的违规违法行为；

（2）暂停认证期间，获证App运营者未采取有效整改措施；

（3）发现获证App运营者在认证过程中存在欺骗、隐瞒、违反承诺等不当行为，影响认证有效性；

（4）获证App运营者拒绝接受获证后监督；

（5）超过暂停期限；

（6）其他依法应当撤销的情形。

撤销认证后，获证App运营者应交回认证证书，停止使用认证标志。

6.3.3 注销认证

有下列情形之一的，认证机构应注销认证，并予以公布：

（1）获证App不再向用户提供服务；

（2）获证App运营者申请注销；

（3）其他依法应当注销的情形。

注销认证后，获证App运营者应交回认证证书，停止使用认证标志。

7 认证证书和认证标志的使用和管理

7.1 认证证书的使用和管理

在认证证书有效期内，获证 App 运营者可将证书在网站、工作场所和宣传资料中展示，但不应进行误导性宣传。

7.2 认证标志及其使用和管理

7.2.1 认证标志的式样

认证标志的式样由基本图案、认证机构识别信息组成。  

“ABCD”代表认证机构识别信息。

7.2.2 认证标志的使用和管理

认证机构应规定认证标志的使用和管理。

获证App运营者应按照认证机构的规定使用和管理认证标志，不得进行误导性宣传。

8 认证责任

认证机构应对其做出的认证结论负责。

检测机构应对技术验证结果和技术验证报告负责。

认证机构及其所委派的审核员应对现场审核结论负责。

认证申请方（获证App运营者）应对其所提交的申请资料及样品的

真实性、合法性负责，并对获证App持续符合认证要求负主体责任。

认证不能免除获证 App 运营者对获证 App 承担的法律责任。

（备注：因标准条件内容较多，不此作详细列举；如企业需要，可登录官方网站查询或以邮件方式向我司索取。）