1個人電腦軟件安全規范本標準規定了個人電腦軟件分發平臺的業務架構、功能要求、接入規范、管理規范以及安全要求。本文件適用于通用電腦終端，個別條款不適用于特殊行業、專業應用，其他終端也可參考使用。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術術語3術語和定義下列術語和定義適用于本文件。3.1個人電腦Personalcomputer能夠接入通信網，具有能夠提供應用程序開發接口的電腦系統，具有安裝、加載和運行應用軟件能力的終端。3.2個人電腦軟件PersonalComputersoftware可安裝在個人電腦內，能夠利用個人電腦終端操作系統提供的公開開發接口，實現某項或某幾項特定任務的計算機軟件，包含個人電腦預置應用軟件，小程序以及互聯網信息服務提供者提供的可以通過網站、應用商店等應用分發平臺下載、安裝、升級的應用軟件。3.3個人電腦軟件開發者PersonalComputersoftwaredeveloper實際組織開發、直接進行開發，并對開發完成的個人電腦軟件承擔責任的法人或者其他組織，個人電腦軟件的所有者、管理者和提供者。3.4個人電腦軟件分發源DistributingsourceofPersonalComputersoftware面向消費者用以展示、下載、安裝、升級等個人電腦適用的應用軟件分發服務的各類平臺，包括但不限于軟件商店、分發網站、具有分發能力的應用軟件等分發平臺。3.5PC軟件庫SoftwareLibraryofPersonalComputer由經過嚴格測試，不含病毒、捆綁插件等惡意程序的PC軟件構筑形成的安全軟件分享平臺，同時將軟件合理分類并加入軟件索引，便于個人電腦軟件分發源對接、查詢和獲取。24縮略語下列縮略語適用于本文件。PC個人電腦（PersonalComputer）API應用程序接口（ApplicationProgrammingInterface）5個人電腦軟件分發體系業務架構個人電腦軟件分發源1個人電腦軟件開發者2PC軟件庫智能手機所事先形成的使用習慣和個人電腦多年來形成的行業格局，需要構建更為順應產業發展潮流的個人電腦軟件分發體系業務架構來協調與規范，下圖1為個人電腦軟件分發體系業務架構圖。個人電腦軟件分發源1個人電腦軟件開發者2PC軟件庫個人電腦軟件開發者1個人電腦軟件分發源2個人電腦軟件分發源個人電腦軟件分發源n個人電腦軟件開發者n圖1個人電腦軟件分發體系業務架構圖6個人電腦軟件分發體系功能要求6.1PC軟件庫概述PC軟件庫是指在電腦軟件檢測合格后進行收錄，既能提供給電腦軟件分發源使用，又能滿足用戶下載軟件需求的產品；在個人電腦軟件分發源推廣電腦軟件過程中，若發現非PC軟件庫收錄的軟件，應給予用戶警示并引導至經認證的個人電腦軟件分發源進行下載。6.2PC軟件庫功能設計PC軟件庫是防止不良軟件流入市場的重要屏障，在運營過程中應嚴把入口關，其主要功能包括：a)電腦軟件檢測合格后，方可錄入PC軟件庫；b)電腦軟件升級版本，應待新版本檢測合格后，方可錄入PC軟件庫；c)電腦軟件被國家有關部門通報或者用戶舉報經查實者，應對違規行為進行限期整改，復檢合格后方可保持在PC軟件庫，否則進行下架處理；d)PC軟件庫定期進行軟件巡檢，發現軟件存在違規行為，應進行限定期限內完成整改并復檢合格后，方可保持在PC軟件庫，否則進行下架處理。6.3個人電腦軟件分發源功能設計個人電腦軟件分發源在分發PC軟件庫的軟件過程中，若發現市場上有媒體在分發非PC軟件庫的軟件，應保證如下功能以保護消費者的合法權益：a)PC軟件庫是個人電腦獲取分發源軟件的唯一途徑，并以自然日為單位保持數據同步；b)用戶可以在任意一個軟件分發源產品的設置界面中，改變自己習慣的默認的分發源。只有默認的分發源才能進行場景引導行為（例如：引導用戶至合規軟件分發源獲取軟件此舉為了避3免出現用戶電腦存在多個分發源的情況下，各分發源在用戶發生特性行為后出現多種場景引導提示的干擾情況。c)經認證的個人電腦軟件分發源產品在被用戶設置為默認分發源之后，可以監測消費者電腦上的軟件下載行為，對未經認證或允許的軟件分發行為應進行攔截并引導至合規的個人電腦軟件分發源產品獲取軟件。7PC軟件庫接入規范7.1個人電腦軟件個人開發者接入個人電腦軟件個人開發者在PC軟件庫后臺申請開發者賬號時，應提供開發者姓名、身份證信息、聯系方式等。7.2個人電腦軟件企業開發者接入個人電腦軟件企業開發者在PC軟件庫后臺申請開發者賬號時，應提供以下內容：——企業名稱、企業注冊地址、營業執照號、營業執照彩色掃描件等；——企業法人代表姓名、身份證信息等；——賬號管理員姓名、身份證信息、聯系方式等。7.3個人電腦軟件接入個人/企業開發者若需在PC軟件庫后上傳電腦軟件，應提供以下內容：——軟件名稱、類別、版本號、簡要描述；——軟件安裝包或下載地址；——軟件圖標、運行界面截圖；——軟件著作權證書、特殊軟件需資質證明（具體內容詳見附錄A——支持的操作系統、系統位數。——靜默安裝命令行參數、靜默卸載命令行參數以上內容需通過人工審核，在確保軟件本體可運行、基本功能可實現，無病毒與惡意程序，資質與其他信息無誤后方可上架并開放下載。7.4個人電腦軟件審核標準8審核標準概述審核標準適用于新軟件上傳、在架軟件更新、日常抽查核驗、用戶舉報核驗等，只有當個人電腦軟件未違反以下任何條款時，方可予以上架。若存在違反條款情況，酌情駁回上架申請或進行軟件下架處理，直至其完成整改，經測試整改無誤后可重新上架。審核需包含7.4.2-7.4.8所述內容。9軟件信息審核軟件信息審核包括如下內容：a)軟件名稱、包名、版本、簡要描述中，不得出現任何違法違規內容；b)開發者提交的軟件名稱必須與安裝后的桌面名稱一致，若軟件存在多個程序，應填寫主程序名稱；c)軟件名稱不得出現不合理后綴，包括但不限于與軟件無關內容、惡意引流內容等；d)軟件圖標、運行界面截圖不得出現任何違法違規內容，且必須為與軟件實際內容相符；4e)軟件圖標、運行界面截圖需清晰度高，不得出現模糊不清、拉伸壓縮、黑邊白邊、明顯鋸齒等情況；f)開發者提交的軟件圖標必須與安裝后的桌面顯示圖標一致。10軟件安裝功能審核軟件安裝功能審核包括如下內容：a)軟件在簡要描述中說明支持的操作系統版本、系統位數測試環境下，能夠正常安裝；b)安裝界面若提供開機啟動選項，應顯示在醒目位置，且默認為不勾選。嚴禁安裝過程中通過誤導、強制等手段添加開機啟動項；c)安裝界面若提供創建快捷方式選項，請顯示在醒目位置，且默認為勾選。若勾選選項，安裝成功后至多創建一個快捷圖標；d)安裝完成界面可提供立即啟動按鈕。嚴禁在用戶未授權情況下直接啟動軟件或其他子進程；e)若安裝失敗，請提供明確原因或錯誤碼；f)安裝界面提供取消或關閉按鈕，若安裝進程打斷，系統將恢復到安裝前狀態。g)軟件在安裝界面的顯著位置應該明示用戶許可協議等內容，不得在未經用戶同意和授權的情況下直接安裝h)軟件如果存在靜默安裝行為和方式的，應該提前報備和說明其靜默安裝參數和靜默安裝路徑參數等（如果支持的話），以便軟件分發源進行識別，以及部分軟件分發源在特定形式情況下進行安裝處理i)軟件如果存在靜默卸載和方式的，應該提前報備和說明其靜默卸載參數等（如果支持的話以便軟件分發源進行識別，以及部分軟件分發源在特定形式情況下進行卸載處理，避免通過文件強制刪除造成的用戶電腦文件殘留，影響體驗等。11軟件運行功能審核軟件運行功能審核包括如下內容：a)軟件運行時不得出現崩潰、閃退、白屏或發生嚴重錯誤的情況；b)軟件主功能不得無法使用或出現嚴重使用障礙；c)軟件主功能需與軟件名稱、簡要描述中內容一致；d)軟件運行后不得出現強制要求升級情況；e)若軟件功能僅供部分用戶使用，其簡要描述里應對限制范圍作出說明；f)軟件主程序退出后，子進程必須隨之關閉；g)常駐程序必須給出充分的存在理由，并且能夠在任務管理器中將其結束；h)軟件不得存在誘導付費、自動扣費、隱形扣費等行為，所有付費項目必須清晰展示；i)開通付費功能后，軟件需提供相應功能以供使用；j)兒童類軟件支付功能不得存在任何誘導兒童支付，或暗示兒童使用無密碼式快捷支付等內容。12軟件安全性審核軟件安全性審核包括如下內容：a)軟件不得存在惡意行為，包括但不限于病毒木馬等；b)軟件在未經允許的情況下不得修改系統默認配置、數據或終端設備功能；c)軟件不得出現監控用戶、侵犯隱私等行為；d)軟件不得頻繁出現導致系統死機或重啟等情況；e)軟件不得出現超正常需要，高占用CPU或內存進而影響用戶正常使用設備的情況。513軟件卸載功能審核軟件卸載功能審核包括如下內容：a)軟件應具備正常卸載功能，可在系統功能-控制面板里進行卸載；b)軟件卸載時不得出現閃退、崩潰，或其他無法卸載的情況；c)卸載時不得自動刪除用戶數據，包括但不限于聊天記錄、圖片、視頻、文檔等；d)卸載界面應提供刪除用戶數據的接口，包括但不限于刪除聊天記錄、圖片、視頻、文檔等；e)除用戶授權要求外，軟件需卸載干凈無殘留；f)若卸載失敗，請提供明確原因或錯誤碼。14軟件內容審核軟件內容審核包括如下內容：a)軟件不得傳播色情、低俗或其他暗示性的內容；b)軟件不得含有宣傳邪教或封建迷信等內容；c)軟件不得含有賭博、非法彩票、非法借貸及其他涉金融類不良內容；d)軟件不得含有強烈的暴力暗示，或引人不適的血腥內容；e)軟件不得含有破壞民族團結、宣揚種族歧視等內容；f)軟件得含有宣傳、販賣、購買違禁物品的內容；g)軟件不得出現任何危害未成年人身心健康，或易造成不良導向的內容；h)軟件不得出現其他違法違規內容。15軟件廣告審核軟件廣告審核包括如下內容：a)軟件不得出現頻繁彈窗等惡意廣告行為影響用戶體驗；b)軟件內廣告不得強制或誘導用戶點擊；c)軟件內廣告需帶有關閉功能，且軟件退出后，廣告必須隨之關閉；d)軟件內廣告不得包含色情低俗、賭博、反動、售賣違禁品等違法內容；e)軟件內廣告不得含有欺詐、嚴重夸大或其他不符合《廣告法》要求的內容；f)面向未成年人的軟件，其廣告必須嚴格遵守相關法律及社會準則。16軟件維護性審核軟件維護性包括如下內容：a)開發者超過一年未更新的軟件，應審核其軟件功能價值，判斷是否應繼續在架；b)若發現同一開發者上傳多個內容相似度超過80%的軟件，應通過審核判斷其價值并酌情上架。16.1個人電腦軟件分發源服務端接入個人電腦軟件分發源服務端與PC軟件庫服務端進行API對接時，應滿足如下要求：a)提供分發源的名稱，聯系方式，營業執照等信息；b)明確與PC軟件庫服務端的握手頻率和差量升級策略。617PC軟件庫管理規范17.1個人電腦軟件基本信息展示PC軟件庫的軟件下載界面展示各款軟件的以下必備信息：——軟件名稱、分類、簡要介紹、版本號、更新時間、更新日志——軟件icon、運行界面截圖（不少于三張）以下信息為可選展示：——軟件支持的操作系統類型、系統位數信息——軟件是否含有廣告、插件——軟件官方網站——用戶評分分值、評論數量、評論詳情——同類軟件相關推薦17.2個人電腦軟件安全相關標識PC軟件庫運營者通過設置不同顏色、形狀圖標等方式對軟件進行顯著標識，幫助用戶快速了解應用的安全性核驗結果，可提供包括但不限于以下標識：——認證標識：對通過病毒檢測、插件檢測、人工綜合審核的軟件予以專屬標識；——負面信息標識：對近期（3個月內）因違規行為被主管部門通報，或被用戶舉報且問題經查實者，給予該軟件特殊標識，改正并通過驗證后可去掉標識；——年齡標識：對于面向未成年人特殊群體的應用，應視情況予以專屬標識；——其他標識：關于軟件是否收費、是否為壓縮包、是否為測試版等情況，可酌情予以專屬標識。17.3個人電腦軟件開發者管理PC軟件庫指導個人電腦軟件開發者提高安全合規意識，制定個人電腦軟件開發者管理制度，包括但不限于：a)在個人電腦軟件開發者注冊時，需簽署開發者協議，明確開發者行為需遵守相關法律、法規與規范性文件，不得出現任何違法、違規、侵權行為；b)設立個人電腦軟件開發者禁入/退出管理制度（即黑名單制度），針對同一個人電腦軟件開發者多次提交軟件均未能通過審核或測試的情況，可在一段時間內禁止其提交軟件上架申請；c)統一不同個人電腦軟件開發者在審核標準、時長、流程方面、展示樣式等方面的要求。d)當軟件開發者在上架審核收錄過程中，需要對開發者上架收錄中遇到的審核問題提供必要解釋說明，幫助個人開發者調整和解決產品問題。17.4日常監督與問題處置對個人電腦軟件實施常態化監督機制，定期抽查軟件合規性，主動配合主管部門通報要求，積極處理用戶投訴反饋，包括但不限于：a)根據下載量、舉報記錄、更新時間、歷史違規記錄等要素確定抽樣審核優先級，定期抽查軟件合規性，抽查審核標準詳見7.4；b)設立便捷的渠道接收用戶對個人電腦軟件的投訴舉報，及時針對舉報內容進行核驗，并在一個自然月內向用戶反饋核驗結果，使用戶確認投訴舉報已被受理；c)經核驗用戶反映問題屬實的，按照情況嚴重程度對個人電腦軟件進行立即下架或限期整改處理，情況嚴重且拒不整改或未在一個月內按照要求整改者，予以下架處理；7定期巡查個人電腦d)軟件評論區，對涉及違反審核標準的用戶評論應給予重視并進行核驗，若發現問題屬實，應視情況對軟件進行立即下架或限期整改處理，情況嚴重且拒不整改或未在規定時間內按照要求整改者，予以下架處理；e)對主管、監管部門通報存在違法違規情況的個人電腦軟件，配合采取監督整改、下架等措施；f)按照主管、監管部門的監管要求，對典型舉報問題、軟件審核情況、問題軟件處置情況進行匯總分析并形成報告上報主管、監管部門；g)對發現的違法違規線索，保存錄屏證據等，及時報主管、監管部門。18安全要求為防止接口被攻擊，個人電腦軟件分發源服務端與PC軟件庫服務端采用密鑰方式通信，確保數據傳輸的安全和穩定。18.1網絡安全a)將PC軟件庫服