2016第三屆中國信息安全用戶大會（Ucon）于9月19日-20日在上海舉行，會上發布了首個移動互聯網安全標準《移動互聯網應用軟件安全通用技術規范（試行）》（以下簡稱《規范》），特別對第三方移動應用的信息保護要求提出了一些考核的要點。

上海市經濟和信息化委員會信息安全處副處長劉山泉指出，正規的應用基本都是經過第三方檢測的，如果掃描不正規的二維碼或者安裝不正規的應用，就相當于在手機中植入了病毒，個人的隱私信息就會被竊取盜用。因此，路邊、商場等處出現的推廣掃碼要謹慎參與。

據上海市信息安全測評認證中心主任蔣力群在介紹，移動互聯網已經邁入全民時代。截至2015年，移動端用戶規模達12.8億，“90后”和“00后”年輕一代用戶在崛起，整體份額已超過移動網民的三分之一，且比例持續上升，“80后”用戶占比37.1%，三個年齡段用戶合計占比超過七成。然而，移動應用安全隱患和標準空白也給其發展帶來了挑戰，信息泄露、惡意扣費甚至資金被盜等事件時有發生。2015年，我國因移動互聯網應用軟件漏洞遭受惡意程序攻擊的境內用戶高達1.74億戶。

《規范》 從技術安全和安全管理兩方面，對移動互聯網應用軟件在設計、開發、維護及測試提出通用要求。具體包括：身份鑒別、邏輯安全、數據安全、軟件安全、外部防護、安全設計、安全開發、安全維護、發布安全等10個部分。

蔣力群介紹，《規范》 根據移動互聯網應用軟件設計信息的敏感度和業務重要性的不同，對應要求分為“一般要求”和“增強要求”，例如銀行、證券等金融行業的信息安全敏感度很高，對它們的信息檢驗要求也會更高。

在身份鑒別方式上，《規范》中的“增強要求”提出，當移動應用軟件進入終端系統后臺后，再次被喚醒切換到前臺時，應采取措施對用戶進行身份鑒別，對于涉及敏感信息修改或轉賬、支付等重要業務，除密碼認證以外，還應采取其他安全認證方式，且不宜通過第三方賬戶，如微博、微信、支付寶等進行認證。