ICS 03.060 CCS A 11 团 体 标 准 T/NIFA 33-2025 移动金融小程序安全要求 Security requirements for financial mobile mini program 2025 -9-10发布 2025 -9-10实施 中国互联网金融协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/NIFA 33—2025 I 目 次 前言 ................................ ................................ .................. II 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语与定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 3 5 L1与L2类别要求 ................................ ................................ ......3 6 安全要求 ................................ ................................ ............. 3 6.1 身份认证安全 ................................ ................................ .....3 6.2 逻辑安全 ................................ ................................ ......... 5 6.3 服务端接口安全 ................................ ................................ ...5 6.4 抗攻击能力 ................................ ................................ .......6 6.5 密码应用安全 ................................ ................................ .....6 6.6 数据安全 ................................ ................................ ......... 7 7 个人信息收集合规要求 ................................ ................................ .9 7.1 收集个人信息告知同意 ................................ ............................. 9 7.2 申请授权 ................................ ................................ ......... 9 7.3 收集行为要求 ................................ ................................ ....10 7.4 拒绝或撤回同意要求 ................................ .............................. 10 7.5 更正、删除及注销要求 ................................ ............................ 10 7.6 个人信息处理规则要求 ................................ ............................ 10 8 开发管理要求 ................................ ................................ ........ 10 8.1 代码质量 ................................ ................................ ........ 10 8.2 代码管理 ................................ ................................ ........ 11 8.3 测试验证与交付 ................................ ................................ ..11 8.4 文档管理 ................................ ................................ ........ 11 附录A（规范性）安全类别对应的要求 ................................ ..................... 12 附录B（资料性）小程序技术架构示意 ................................ ..................... 13 附录C（资料性）其他类型敏感信息示例 ................................ ................... 14 参考文献 ................................ ................................ .............. 15 全国团体标准信息平台 T/NIFA 33 —2025 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》和 GB/T 20004.1—2016《团体标准化 第1部分：良好行为指南》给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国互联网金融协会提出。 本文件由中国互联网金融协会归口。 本文件起草单位：中国互联网金融协会、中国邮政储蓄银行股份有限公司、深圳前海微众银行股份 有限公司、 浙江网商银行股份有限公司、 蚂蚁科技集团股份有限公司、 深圳市腾讯计算机系统有限公司、 北京国家金融科技认证中心有限公司、中互金认证有限公司、北银金融科技有限责任公司。 本文件主要起草人：马超、高明、杨彬、单剑锋、于圆、任家琪、田然、曹中全、张建强、孙丹丹、 江嘉航、陆碧波、熊伊婧、黄伟斌、蒋增增、张健、史汝辉、李士通、张毅。 全国团体标准信息平台 T/NIFA 33—2025 1 移动金融小程序安全要求 1 范围 本文件给出了移动金融小程序的定义，明确了移动金融小程序在安全、个人信息收集、开发管理等 方面的要求。 本文件适用于金融机构对移动金融小程序的开发、测试等方面的管理，也适用于评估机构开展移动 金融小程序的安全评估。其他机构开发具有金融服务功能的小程序时也可参考本文件。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35273 —2020 信息安全技术 个人信息安全规范 GB/T 44588 —2024 数据安全技术 互联网平台及产品服务个人信息处理规则 3 术语与定义 GB/T 35273 —2020和JR/T 0171—2020界定的以及下列术语和定义适用于本文件。 3.1 移动金融服务 mobile financial service 金融机构通过移动终端提供的在线金融服务。 注：在线金融服务通常包括账户管理、投资与理财服务、支付与转账服务、信贷与信用服务、信用卡服务、保险服 务等。 [来源：ISO 12812 —1:2017，3.25，有修改] 3.2 框架型应用软件 frame-based application software 为在移动智能终端上运行，提供数据访问控制和小程序分发等管理能力，并为在其上运行的第三方 小程序提供相应开发接口的应用软件。 3.3 小程序 mini program 基于框架型应用软件开放接口实现的，用户无需安装即可使用的移动互