（行標）移動智能終端防不良信息騷擾技術要求（報批稿）

ICS33.030CCSM21YDYD/Txxxx—xxxxTechnicalrequirementsforcounteringspaminformationonsmartmobileXXXX-XX-XX發(fā)布中華人民共和國工業(yè)和信息化部發(fā)布IYD/T2018—1672前言 II 12規(guī)范性引用文件 13術語和定義 14能力框架 15個人信息保護前提要求 26識別能力要求 26.1識別能力 26.2識別分類 26.3識別方式 36.4部署功能 37提醒能力要求 37.1提醒能力 37.2提醒方式 48處置能力要求 48.1處置能力 48.2處置措施 49防護能力分級 4參考文獻 6YD/T2018—1672本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中國通信標準化協(xié)會提出并歸口。本文件起草單位：中國移動通信集團有限公司、中國信息通信研究院、中國聯合網絡通信集團有限公司、中國電信集團有限公司、華為技術有限公司、北京小米移動軟件有限公司、北京奇虎科技有限公司、阿里巴巴（中國）有限公司、中興通訊股份有限公司、OPPO廣東移動通信有限公司、維沃移動通信有限公司、北京三星通信技術研究有限公司、北京百度網訊科技有限公司、中國—東盟信息港股份有限公司。本文件主要起草人：姚曉天、辛軍、楊天一、曹斌、彭華熹、張炎濱、王江勝、董霽、湯潤森、周楠、王安宇、梅敬青、杜建平、楊翠紅、吳春雨、李騰、張成巖、劉鳴、李笑如、肖海、陳楊。1YD/T2018—1672移動智能終端防不良信息騷擾技術要求本文件主要對移動智能終端防不良信息騷擾能力進行規(guī)范，包括識別能力、提醒能力、處置能力、防護能力分級及用戶個人信息保護要求等。本文件主要適用于移動智能終端的開發(fā)設計和生產制造，對處于出廠狀態(tài)的移動智能終端設備做出要求。移動智能終端操作系統(tǒng)、移動智能終端應用，以及相關軟件工具開發(fā)包（SDK）或技術解決方案，可參照本文件開發(fā)相關技術能力。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35273-2020信息安全技術個人信息安全規(guī)范GB/T34978-2017信息安全技術移動智能終端個人信息保護技術要求YD/T3082-2016移動智能終端上的個人信息保護技術要求YD/T2407-2021移動智能終端安全能力技術要求YD/T3039-2016移動智能終端應用軟件安全技術要求3術語和定義下列術語和定義適用于本文件。3.1移動智能終端不良信息smartmobileterminalspaminformation移動智能終端接收到的以短消息、語音電話、融合通信（RCS）消息等為承載形式，帶有違法違規(guī)內容特征、干擾用戶正常通信、或違背用戶接收意愿的通信信息。4能力框架移動智能終端防不良信息騷擾的防護能力應以滿足個人信息安全保護要求為前提，包括識別能力、提醒能力以及處置能力。移動智能終端對不良信息進行防護時，宜按照識別、提醒、處置的流程展開。移動智能終端根據實際需求進行設計時，宜以滿足防護能力要求為原則，對框架中的具體模塊實現方式及終端界面展現方式進行設計?；究蚣苋鐖D1所示。2YD/T2018—1672圖1移動智能終端防不良信息騷擾技術框架5個人信息保護前提要求移動智能終端按照本文件實施防不良信息騷擾相關技術能力，應以終端滿足GB/T35273-2020、GB/T34978-2017、YD/T3082-2016、YD/T2407-2021、YD/T3039-2016等文件關于個人信息保護的相關要求為前提。具備相關能力的終端應明確告知用戶并設置總控制選項，用戶可以選擇開啟或關閉。6識別能力要求6.1識別能力移動智能終端接收到通信信息時，在明確告知用戶且征得同意后，應識別其中屬于移動智能終端不良信息的通信信息。未經用戶明確同意不應進行識別。識別結果作為提醒能力和處置能力的依據。6.2識別分類識別的不良信息類別宜區(qū)分為如下(a)、(b)、(c)三類。在實際應用中，終端宜結合用戶意愿和實際需要設定類別。未識別的信息不做分類。具體分類如下：a)違法犯罪類：不法分子以開展違法犯罪活動為目的，發(fā)送包括違反國家法律法規(guī)內容的信息，如實施詐騙、宣傳毒品、宣傳色情、傳播計算機病毒木馬等；b)惡意騷擾類：發(fā)送者為達到特定目的，通信行為違反國家法律法規(guī)，干擾接收方正常通信，如實施高頻率撥打電話、大量發(fā)送短消息等行為；c)商業(yè)營銷類：企業(yè)、商家、個人經營者等發(fā)送的，違背接收方主觀意愿，帶有廣告推銷目的商業(yè)性電子信息。3YD/T2018—16726.3識別方式移動智能終端應通過操作系統(tǒng)或應用軟件，在移動智能終端本地配置或接入遠程云服務，實現識別能力。識別方式依據主體不同，包括：a)用戶標記識別：移動智能終端的用戶，可對通信信息發(fā)送者號碼或賬戶等進行類別標記，從而終端能依據用戶標記信息，對相關號碼、賬戶發(fā)送的不良信息進行識別；b)系統(tǒng)判定識別：通過黑白名單號碼比對、信息特征比對、算法判別分析、人工智能機器學習等方式對不良信息進行識別，不限定具體采用的識別方式。用于系統(tǒng)識別的信息包括：通信信息發(fā)送者號碼、通信賬戶、通信信息內容特征、通信用戶行為特征、歷史通信記錄信息、其他用戶明確同意允許獲得的信息；c)外部判定識別：通過政府、行業(yè)組織、合作企業(yè)等提供的第三方能力對不良信息進行識別；終端應以清單方式向用戶列明識別所需使用的個人信息，并征求同意。6.4部署功能終端在具體實現識別能力時，部署的功能包括：a)號碼標記：終端支持用戶將某號碼按標記類別進行標記，進而對號碼發(fā)送的信息進行識別。號碼標記模塊數據庫的信息宜包括但不限于：被標記號碼、被標記類別、被標記時間、被標記的用戶數量。當用戶在終端側對某號碼進行標記后，終端可將相應的標記信息傳送至標記庫進行更新。終端宜提供對號碼標記信息的申訴功能，進行對標記信息的修改；b)號碼黑白名單：移動智能終端用戶自行設置的不予接收信息的號碼列表即“黑名單”，或允許接收信息的號碼列表即“白名單”。終端宜根據黑白名單號碼對不良信息進行識別，即來自黑名單的信息一律識別為不良信息，來自白名單的信息一律識別為正常信息。用戶應能對黑白名單進行增刪改的操作；c)不良短消息關鍵詞識別：指基于具備公信的政府機構、行業(yè)組織或企業(yè)偵測形成的關鍵詞特征數據庫，終端可根據短消息內容判別不良短消息；d)不良信息行為特征識別：終端基于通信信息接收的頻度、間隔、時長等行為特征進行識別。e)違法違規(guī)通信技術特征識別：終端基于通信信息所采用的協(xié)議、信令等技術特征，如偽基站發(fā)送等，進行識別；f)不良網址鏈接識別：終端基于具備公信的政府機構、行業(yè)組織或企業(yè)偵測提供的訪問內容是否屬于不良網址鏈接的數據庫，對帶有不良網址鏈接內容的信息進行識別；g)其他識別技術功能：終端采用號碼比對、特征抓取、機器學習、人工智能等方式，對不良信息進行識別并輸出結果的程序算法。終端應以清單方式向用戶列明部署的功能，并征求同意，用戶可以選擇開啟或關閉某項功能。終端在以上功能中采用接入遠程云端服務的，宜保障終端與云端服務的功能輔助和更新同步，并向用戶提供配置是否使用移動網絡，以及提供更新同步頻度的設置選擇。7提醒能力要求7.1提醒能力移動智能終端在識別不良信息后，應當向用戶明確提醒告知被識別的信息及類別。4YD/T2018—16727.2提醒方式移動智能終端應通過操作系統(tǒng)或應用軟件，針對不同類別的通信形式設置提醒，并通過終端本地或遠程云服務支持相關功能，實現提醒能力。針對不同不良信息，宜采取不同的提醒方式，包括：a)不良短消息：在正常短消息的收件箱中，標記短消息為不良信息；b)不良語音電話：在來電時，以彈出消息、顯示標記或語音提示等方式，進行提醒；c)不良網址鏈接：用戶通過終端預置的瀏覽器訪問時，瀏覽器提醒告知訪問的可能為包含不良信息的網站，或正在下載有威脅的軟件程序。提醒能力應支持功能控制，用戶可以對是否需要接收提醒、需要接收提醒的不良信息標記類別以及提醒方式等進行設置。8處置能力要求8.1處置能力移動智能終端完成對不良信息的識別和提醒后，應根據用戶意愿，采取一定的保護措施阻斷不良信息騷擾用戶。8.2處置措施移動智能終端應通過操作系統(tǒng)或應用軟件，針對不同類型的不良信息采取不同的保護措施，包括：a)隔離不良短消息：對被識別的不良短消息予以隔離，存儲于專門的存儲位置。用戶可選擇恢復短消息到正常的短消息收件箱，或進行刪除；b)屏蔽不良語音電話：對被識別為不良信息的號碼進行接聽屏蔽，接聽可返回為提示忙音或關機；c)阻斷不良網址鏈接訪問：對被標識的不良網址鏈接，在用戶通過終端預置瀏覽器進行訪問時，應暫停訪問，展現提醒頁面。對有下載軟件程序的，應當阻止下載；d)終端信息勿擾模式：支持定時免打擾模式，該功能默認關閉，開啟時，根據用戶設置的時間段和模式接收短消息和語音電話；具體模式包括：僅允許白名單號碼、僅允許白名單號碼和通訊錄號碼、全部號碼屏蔽等。終端采取以上措施時，應以清單方式向用戶列明措施所需權限，征求用戶同意，用戶可以對是否同意終端啟用措施、按類別或按時段保護等功能進行設置。終端應具備處置保護措施操作的日志記錄，清晰記錄措施采取時間和行為；涉及調用云服務能力的，云服務平臺也應具備相關調用能力的日志記錄且保存時間至少為六個月。9防護能力分級根據移動智能終端所支持的不良信息防護能力程度，將移動智能終端不良信息防護能力自低到高劃分為I、II、III三個等級，等級越高表明防護能力越高。該分級在不同場景下，相關應用主體宜依據需求的不良信息防護水平，對移動智能終端的防護等級做出要求。5YD/T2018—1672分級的每一等級定義了移動智能終端在相應等級對應的安全能力的最小集合，也就是移動智能終端應支持該集合中的所有安全能力才能標識為該級別，例如：達到III級的移動智能終端應能支持本文件所定義的所有防護能力要求。具體的等級劃分詳見表1。表1移動智能終端防不良信息騷擾能力分級防護能力I級II級III級識別能力通過用戶標記違法犯罪類不良信息√√√通過用戶標記惡意騷擾類不良信息√√√通過用戶標記商業(yè)營銷類不良信息√√√通過系統(tǒng)識別違法犯罪類不良信息√√通過系統(tǒng)識別惡意騷擾類不良信息√通過系統(tǒng)識別商業(yè)營銷類不良信息√提醒能力能對被識別的不良短消息進行提醒√√√能對被識別的不良語音電話進行提醒√√√能對被識別的不良網址鏈接進行提醒√√處置能力能對被識別的不良短消息進行處置√√√能對被識別的不良語音電話進行處置√√√能對被識別的不良網址鏈接進行處置√√6YD