标准规范下载简介
YD/T 3367-2018 移动浏览器个人信息保护技术要求.pdf简介:
"YD/T 3367-2018 移动浏览器个人信息保护技术要求.pdf" 是一份由中国信息通信研究院发布的标准文件,全称为《移动互联网浏览器个人信息保护技术要求》。这份标准主要针对移动浏览器在处理和保护用户个人信息方面提出的技术规范和要求。它涵盖了隐私政策告知、数据收集最小化、数据加密传输、用户控制权、安全存储等方面,旨在保障移动用户在使用浏览器时的个人信息安全,防止个人信息被非法获取、使用或泄露。该标准适用于所有提供移动互联网浏览器服务的公司和个人,以促进移动互联网行业的健康发展。
YD/T 3367-2018 移动浏览器个人信息保护技术要求.pdf部分内容预览:
中华人民共和国工业和信息化部 发布
本标准按照GB/T1.1一2009给出的规则起草。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:中国信息通信研究院。 本标准起草人:赵阳光、王进嘉、贺倩、崔伟男、刘露。
移动浏览器个人信息保护技术享
本标准规范了移动浏览器个人信息的类型贵州省高速公路瓦斯隧道设计技术指南(贵州省交通运输厅2014年2月),分析了安全威胁,确定了相应的安全防护目标和 术要求。 本标准适用于移动智能终端上的浏览器
下列术语和定义适用于本文件。
2.1.1移动浏览器mobilebrowser
为用于移动智能终端设计的网页浏览器,也叫无线互联网浏览器。
2.1.2个人信息personalinformatio
2.1.3历史记录historicalrecord
用户在使用浏览器上网时产生诸如的搜索词、浏览网页、页面缓存、cookies、表单等信息的统称。
2.1.4Web应用Webapplication
一种可以通过Web访问的应用程序。其最大特点是用户通过浏览器即可访问应用程序,不需要再 安装应用客户端。
2.1.5推送消息pushmessage
用户未发起请求的情况下,应用后台将消息发送至代理网关,再由代理网关发送到指定用户终端的 过程。
YD/T3367—2018 TLS Transport Layer Security 安全传输层协议 XSS Cross SiteScript 跨站脚本攻击
用户在使用移动浏览器时涉及的个人信息包括通信消息数据、个人账户数据、历史记录数据、 集数据和终端固有数据五种类型
通信消息数据是指用户在使用移动浏览器过程中,从客户端发出请求到服务端响应的过程中产生的 数据,包括但不限于以下两类。 a)发送请求数据:用户在客户端提交的数据,如注册过程中提交的表单,搜索引擎中输入的搜索 词等。 b)服务端响应数据:根据用户发出的请求,服务端返回的内容,如搜索某关键词后显示的相关页 面等。
个人账户数据是指用户在使用某种服务的过程中,以用户名和密码的形式对用户身份进行验证的数 据DBJ∕T 15-131-2018 园区和商业建筑内宽带光纤接入通信设施工程设计规范,包括但不限于以下三类。 a)网站账户:用户在登录网站时需要身份认证的数据。 b)Web应用账户:用户在使用Web应用中的服务时用来绑定特定自然人信息的数据。 C)金融账户:用户在完成金融交易或支付时需要确认个人身份的数据。
传感采集数据是指用户借助移动智能终端集成的传感设备、网卡等采集到的数据,包括但不限于以 下三类。 a)语音数据:用户通过终端麦克风录制或输入的数据。 b)位置数据:与用户的地理位置或空间有关的数据,如经纬度等。 c)网络数据:用户借助终端及SIM智能卡连接到的网络信号,包括移动数据和无线网络的数据。
4移动浏览器上个人信息安全威肋
安全威胁是指移动浏览器本身控制机制欠缺,或用户未在浏览器内做合理的设置,导致用户隐私洲 露,个人信息被盗取的危险性。对移动浏览器上个人信息安全面临的威胁,按照威胁的来源,可分为内 部隐私威胁和外部攻击威胁。
内部威胁是指用户在使用移动浏览器过程中存在误操作行为,导致面临的个人信息泄露风险。 a)浏览记录被追踪:由于未在浏览器内做出禁止追踪的设置,用户上网时产生的浏览记录会被第 三方网站所获取,由此会产生相应的产告强行推送给用户,对用户个人信息的隐私性造成影响。 b)未授权访问:由于未在浏览器内做出相应的设置,用户所访问的站点或Web应用可以在未经 用户允许的情况下就获得用户地理位置等信息,并上传至第三方服务端。 浏览模式:由于未在浏览器内对浏览模式做出设置,用户可能在未感知情况下使用移动数据进 行浏览网页、下载、更新等操作,对资费造成损失。
移动浏览器上个人信息保护安全的目标是可控性、完整性和机密性
CJ∕T 468-2014 矢量变频供水设备刘览器应提供是否接收Web应用的推送消息的选
6.2.2调用终端能力
GB/Z28828一2012信息安全技术公共及商用服务信息系统个人信息保护指南