ICS 33.050 CCS M 30 团体标 准 T/TAF 180.3—2023 小程序个人信息保护规范 第3部分：全流程开发管理 Specification of personal information protection for mini program — Part 3: Development management for the whole process 2023-10-31发布 2023-10-31实施 电信终端产业协会 发布 T/TAF 180.3 —2023 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 1 5 全流程开发管理 ................................ ................................ .......2 5.1 概述 ................................ ................................ ............. 2 5.2 需求分析阶段 ................................ ................................ .....2 5.3 开发设计阶段 ................................ ................................ .....3 5.4 测试验证阶段 ................................ ................................ .....4 5.5 更新维护阶段 ................................ ................................ .....5 5.6 终止运营阶段 ................................ ................................ .....5 T/TAF 180.3 —2023 II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规定 起草。 本文件是 T/TAF 180 《小程序个人信息保护规范》的第 3部分。T/TAF 180 已发布以下部分： ——第1部分：申请授权行为； ——第2部分：个人信息收集行为； ——第3部分：全流程开发管理； ——第4部分：全生命周期。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电 信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息服务有限公司、阿 里巴巴(中国)有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、荣耀终端有限公司、厦 门美柚股份有限公司、上海兆言网络科技有限公司、郑州信大捷安信息技术股份有限公司、北京三快在 线科技有限公司、华为技术有限公司、博鼎实华（北京）技术有限公司、中兴通讯股份有限公司。 本文件主要起草人：桑明臣、宋恺、刘陶、王艳红、武林娜、王淞鹤、王宇晓、李可心、李京典、 周飞、陈鑫爱、宁华、杜蕾、李昳婧、方强、落 红卫、谷晨、王昕、林冠辰、赵晓娜、黄鹏华、钱雷、 刘献伦、刘为华、刘瑾、王芳、李实、董霁、张宏伟。 T/TAF 180.3 —2023 III 引 言 小程序作为移动互联网行业中的新形态应用软件，以其轻量化、免安装等特性广受软件开发者、互 联网用户的欢迎。但同时小程序也存在个人信息相关的安全问题，危害用户隐私及个人财产安全。在工 业和信息化部发布的《关于开展纵深推进 APP侵害用户权益专项整治行动的通知》 （工信部信管 [2020] 164号）中提到了关于规范小程序新形态应用的要求，因此计划建立小程序个人信息保护规范，规范小 程序的个人信息处理等行为，提 升个人信息保护能力。本文件主要针对小程序提出全流程开发管理的个 人信息保护参考， 对指导小程序进行个人信息保护相关工作具有重要意义。 T/TAF 180 拟由4个部分构成： ——小程序个人信息保护规范 第1部分：申请授权行为； ——小程序个人信息保护规范 第2部分：个人信息收集行为； ——小程序个人信息保护规范 第3部分：全流程开发管理； ——小程序个人信息保护规范 第4部分：全生命周期。 T/TAF 180.3—2023 1 小程序个人信息保护规范 第3部分：全流程开发管理 1 范围 本文件主要规定了小程序全流程开发管理的规范，包括小程序需求分析阶段、开 发设计阶段、测试 验证阶段、上线运行阶段、更新维护阶段和终止运营阶段的个人信息保护实施建议。 本文件适用于小程序提供者对小程序的开发、运营，同时适用于监管机构、第三方测评机构对小程 序进行监督、评估与认证。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 框架型应用软件 frame-based application software 在移动智能终端上运行，提供数据访问控制和小程序管理能力，并为在其上运行的第三方小程序提 供相应开发接口的应用软件，又称小程序平台。 3.2 小程序 mini program 在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项特定功能的 免安装的应用软件。 3.3 小程序提供者 mini program provider 设计、开发或运营小程序的组织或个人。 注：包括法人、自然人或者其他组织等，简称小程序提供者。 3.4 开发管理 development management 开发管理是对开发过程中的各项工作内容实施管理，以降低开发过程中出现的风险，保障最终 的成 果质量。 4 缩略语 T/TAF 180.3 —2023 2 下列缩略语适用于本文件。 APP：移动互联网应用程序（ Application） SDK：软件开发工具包 （Software Development Kit ） 5 全流程开发管理 5.1 概述 小程序在开发管理全流程各阶段都可能产生个人信息保护安全问题 ，包括但不限于： a) 小程序强制频繁过度索取权限问题； b) 小程序违规收集个人信息问题； c) 小程序服务端泄露个人信息问题。 小程序开发管理的全流程主要包含六个阶段：需求分析阶段、开发设计阶段、测试验证阶段、上线 运行阶段、更新维护阶段和终止运营阶段。个人信息保护安全问题可能出现在全流程的任何位置 。小程 序个人信息保护安全问题和全流程开发管理过程的关系 见图1。 图1 小程序个人信息保护安全问题和全流程开发管理过程示意图 5.2 需求分析阶段 小程序提供者应组织相关人员进行个人信息保护需求分析并对输出文件进行评审，具体要求如下： a) 在程序设计前应进行个人信息保护安全需求分析，根据法律法规、标准约束等形成个人信息保 护需求说明书； b) 个人信息保护需求说明书中主要分析的内容宜包括但不限于： 1) 小程序所支撑的业务特点； 2) 不同业务场景下个人信息保护威胁、脆弱性分析； 3) 个人信息收集范围和权限申请范围，收集个人信息的频率等； 4) 小程序与其他小程序或操作系统之间数据交互的保密性、可用 性和完整性保护； c) 基于业务安全、框架型应用软件环境、操作系统环境、服务端安全等安全需求开展前期的风险 评估； d) 制定整体个人信息保护策略，编制个人信息保护措施报告，包括个人信息保护目标和总体个人 信息保护措施等内容，并在小程序设计和开发时执行个人信息保护策略； 注：个人信息保护措施报告是详细说明在处理个人信息时采取的安全和保护措施，可以融合在需求说明书中。 e) 组织风险管理部门与安全技术团队参与评审