2016第三届中国信息安全用户大会（Ucon）于9月19日-20日在上海举行，会上发布了首个移动互联网安全标准《移动互联网应用软件安全通用技术规范（试行）》（以下简称《规范》），特别对第三方移动应用的信息保护要求提出了一些考核的要点。

上海市经济和信息化委员会信息安全处副处长刘山泉指出，正规的应用基本都是经过第三方检测的，如果扫描不正规的二维码或者安装不正规的应用，就相当于在手机中植入了病毒，个人的隐私信息就会被窃取盗用。因此，路边、商场等处出现的推广扫码要谨慎参与。

据上海市信息安全测评认证中心主任蒋力群在介绍，移动互联网已经迈入全民时代。截至2015年，移动端用户规模达12.8亿，“90后”和“00后”年轻一代用户在崛起，整体份额已超过移动网民的三分之一，且比例持续上升，“80后”用户占比37.1%，三个年龄段用户合计占比超过七成。然而，移动应用安全隐患和标准空白也给其发展带来了挑战，信息泄露、恶意扣费甚至资金被盗等事件时有发生。2015年，我国因移动互联网应用软件漏洞遭受恶意程序攻击的境内用户高达1.74亿户。

《规范》 从技术安全和安全管理两方面，对移动互联网应用软件在设计、开发、维护及测试提出通用要求。具体包括：身份鉴别、逻辑安全、数据安全、软件安全、外部防护、安全设计、安全开发、安全维护、发布安全等10个部分。

蒋力群介绍，《规范》 根据移动互联网应用软件设计信息的敏感度和业务重要性的不同，对应要求分为“一般要求”和“增强要求”，例如银行、证券等金融行业的信息安全敏感度很高，对它们的信息检验要求也会更高。

在身份鉴别方式上，《规范》中的“增强要求”提出，当移动应用软件进入终端系统后台后，再次被唤醒切换到前台时，应采取措施对用户进行身份鉴别，对于涉及敏感信息修改或转账、支付等重要业务，除密码认证以外，还应采取其他安全认证方式，且不宜通过第三方账户，如微博、微信、支付宝等进行认证。