關於在打擊治理移動互聯網惡意程序專項行動中
做好應用商店安全檢查工作的通知

各省、自治區、直轄市通信管理局，國家計算機網絡應急技術處理協調中心、部電信研究院：

    根據《工業和信息部 公安部 工商總局關於印發打擊治理移動互聯網惡意程序專項行動工作方案的通知》（工信部聯保〔2014〕153號），為做好專項行動期間應用商店安全檢查工作，現將有關事項通知如下：

    一、檢查目的

    梳理境內應用商店基本情況，了解應用商店基本安全狀況，督促引導應用商店建立開發者信息審核、應用程序上架前安全檢測、用戶舉報投訴受理等安全管理制度，落實網絡安全責任。通過對應用商店的安全檢查，為建立應用商店安全管理長效機制打好基礎。

    二、檢查依據

    應用商店屬於互聯網信息服務，應當遵守《全國人大常委會關於加強網絡信息保護的決定》、《中華人民共和國電信條例》、《互聯網信息服務管理辦法》、《電信業務經營許可管理辦法》、《非經營性互聯網信息服務備案管理辦法》、《通信網絡安全防護管理辦法》、《電信和互聯網用戶個人信息保護規定》等法律法規、部門規章的規定，落實相關網絡安全責任。

    三、主要任務

    （一）開展摸底調查。各通信管理局要按照應用商店主體所在地梳理核實本地區應用商店情況，並將核實後的情況於6月12日前報通信保障局。應用商店的基本情況包括許可/備案號、服務器接入地址、域名、開辦主體、負責人、聯絡人及聯絡方式、上線應用程序數量等。國家計算機網絡應急技術處理協調中心（以下簡稱CNCERT）給予協助。

    （二）組織宣貫培訓。各通信管理局要于6月30日前組織屬地應用商店、基礎電信企業開展專項行動宣貫工作。參照《移動互聯網應用商店網絡安全責任指南》（見附件），向應用商店告知其應當履行的安全責任和義務，督促其開展自查整改，建立相關安全管理制度。

    （三）開展現場檢查。各通信管理局要參照《移動互聯網應用商店網絡安全責任指南》，結合本地區應用商店數量和類型，選取一定數量的應用商店進行現場檢查，督促其落實安全責任、建立安全管理制度。檢查可委託有條件的專業機構進行。根據檢查情況，填寫《移動互聯網應用商店安全管理調查表》和《移動互聯網應用商店安全管理情況調查結果統計表》，報通信保障局。

    （四）開展應用程序安全檢測。各通信管理局要組織技術力量對本地區應用商店中的應用程序進行遠程或現場抽檢。對發現的具有手機竊聽、隱私竊取、惡意扣費、誘騙欺詐等明顯侵害用戶權益的惡意程序，通知應用商店進行下架處置，對拒不下架的進行公開曝光等。抽檢過程中，各通信管理局要加強對相關技術力量的指導，保證檢測結果的公平公正。

    通信保障局委託CNCERT、部電信研究院等對全國範圍內應用商店中的上架應用程序開展遠程抽測，抽測結果由CNCERT負責匯總核實，報通信保障局，同時通報相關通信管理局，由相關通信管理局通知應用商店下架惡意程序。匯總核實過程中，CNCERT要對惡意程序認定做好把關工作，如認定出現歧義，可組織多家專業檢測機構共同認定。

    附件：移動互聯網應用商店網絡安全責任指南

    工業和信息化部通信保障局
2014年5月30日

    附件：

    移動互聯網應用商店網絡安全責任指南

    為明確應用商店網絡安全責任，突出安全檢查要點，督促應用商店建立完善安全管理制度，依據《全國人大常委會關於加強網絡信息保護的決定》、《互聯網信息服務管理辦法》、《電信業務經營許可管理辦法》、《非經營性互聯網信息服務備案管理辦法》、《通信網絡安全防護管理辦法》、《電信和互聯網用戶個人信息保護規定》等法律法規和部門規章，結合工作實踐，特製定本指南，供應用商店安全檢查中參考使用。

    一、應用商店對本商店內上架的應用軟體負有安全管理的責任。

    二、應用商店應要求應用軟體提供者如實提供身份信息（包括個人身份信息、營業執照、聯絡方式等），並由應用商店進行信息核驗和留存。

    三、應用商店應在與應用軟體提供者的合作協議中明確應用軟體提供者的安全責任，要求應用軟體提供者承諾不提交違反我國網絡與信息安全相關法律法規以及含有惡意行為的應用軟體（含版本升級後的應用軟體）。

    四、應用商店應要求應用軟體提供者在提交應用軟體時聲明其獲取的使用權限及用途。應用商店應將上述信息向應用軟體下載用戶明示。

    五、在應用軟體上架前，應用商店應自行或委託第三方對其進行安全檢測，對含有惡意扣費、信息竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐等行為，以及含有法律法規禁止內容的應用軟體，不得上架發佈，並將其納入應用軟體黑名單。應用商店應定期對已上架的應用軟體進行安全復查。

    六、應用商店應留存應用軟體及其基本信息（版本、上線時間、應用軟體簡介、用途等）、狀態信息（上線、下架）等，相關信息的留存時間不短于60日。

    七、應用商店應建立應用軟體舉報制度，提供便利的舉報渠道，當收到存在安全問題的應用軟體舉報時，應及時驗證、處理。同時，建立與行業協會組織間的公眾監督舉報渠道。

    八、應用商店應建立應用軟體黑名單管理制度、黑名單申述機制，並積極推動黑名單信息行業內共享。

    九、應用商店應按電信管理機構的要求及時下架存在安全問題的應用軟體。

    十、應用商店應當為電信管理機構開展安全檢查提供便捷的獲取上架應用軟體的條件。

    十一、應用商店應當加強自身系統的安全防護，保障自身系統安全和用戶個人信息安全。

    十二、應用商店應指定專人負責安全管理工作，加強對相關人員的安全教育和培訓。