TTAF 209.1-2024 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開發(fā)管理測(cè)評(píng)規(guī)范 第1部分：總則

ICS33.030

CCSM21

團(tuán)體標(biāo)準(zhǔn)

T/TAF209.1—2024

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開發(fā)管理

測(cè)評(píng)規(guī)范第1部分：總則

EvaluationspecificationforcompliancedevelopmentofmobileInternet

application—Part1:Generalprinciple

2023-02-23發(fā)布2023-02-23實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF209.1—2024

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開發(fā)管理測(cè)評(píng)規(guī)范第1部分：總

則

1范圍

本文件規(guī)定了移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開發(fā)的總體原則、技術(shù)框架、技術(shù)要求和測(cè)評(píng)方法。

本文件適用于移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序開發(fā)者在移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）時(shí)規(guī)范其個(gè)人信息保護(hù)、

用戶權(quán)益保護(hù)等方面的合規(guī)行為，也適用于監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序

（APP）的合規(guī)開發(fā)進(jìn)行監(jiān)督、管理和評(píng)估。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序mobileInternetapplication

可安裝在移動(dòng)智能終端內(nèi)，能夠利用移動(dòng)智能終端操作系統(tǒng)提供的公開開發(fā)接口，實(shí)現(xiàn)某項(xiàng)或某幾

項(xiàng)特定任務(wù)的應(yīng)用程序。

注：包含移動(dòng)智能終端預(yù)置應(yīng)用、小程序、快應(yīng)用以及互聯(lián)網(wǎng)信息提供者提供的可以通過網(wǎng)站、應(yīng)用商店等應(yīng)用分

發(fā)平臺(tái)下載、安裝、升級(jí)的應(yīng)用程序，簡(jiǎn)稱APP。

3.2

合規(guī)開發(fā)compliancedevelopment

確保產(chǎn)品或服務(wù)開發(fā)過程及結(jié)果的合法性、安全性、可靠性等方面符合相關(guān)要求的活動(dòng)。

4縮略語

下列縮略語適用于本文件。

APP：移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（MobileInternetApplication）

5總體原則

APP合規(guī)開發(fā)的總體原則要求如下：

——符合性：保證產(chǎn)品或服務(wù)在開發(fā)、測(cè)試、發(fā)布和維護(hù)等環(huán)節(jié)中符合個(gè)人信息保護(hù)、數(shù)據(jù)安全、

用戶權(quán)益保護(hù)等相關(guān)合規(guī)性要求，包括APP所在行業(yè)的其他合規(guī)要求。

1

T/TAF209.1—2024

注：APP所在行業(yè)的其他合規(guī)具體要求參考相關(guān)行業(yè)的行政法規(guī)與標(biāo)準(zhǔn)規(guī)范。

——安全性：確保開發(fā)過程中的代碼安全，以及平臺(tái)、應(yīng)用程序和系統(tǒng)的安全性，防止惡意攻擊和

破壞。

——透明性：信息詳盡、過程透明，記錄和標(biāo)注涉及個(gè)人信息保護(hù)、數(shù)據(jù)安全、用戶權(quán)益保護(hù)的重

要操作。

6總體要求

APP合規(guī)開發(fā)的總體要求包括：

a)應(yīng)指定專門的部門和人員負(fù)責(zé)APP開發(fā)過程中的合規(guī)安全；

b)應(yīng)在需求設(shè)計(jì)階段分析、梳理合規(guī)需求，并進(jìn)行合規(guī)風(fēng)險(xiǎn)評(píng)估；

c)應(yīng)對(duì)APP進(jìn)行個(gè)人信息保護(hù)、數(shù)據(jù)安全與用戶權(quán)益保護(hù)等合規(guī)功能測(cè)試并形成報(bào)告，對(duì)測(cè)試不

通過項(xiàng)進(jìn)行整改；

d)應(yīng)對(duì)APP代碼進(jìn)行審計(jì)，確保APP代碼的安全合規(guī)；

e)應(yīng)區(qū)分APP的本地API和遠(yuǎn)程API，確保API接口開發(fā)、使用的合規(guī)性；

f)應(yīng)在APP更新升級(jí)前進(jìn)行評(píng)估，確保APP更新升級(jí)后仍滿足合規(guī)要求；

g)應(yīng)在APP開發(fā)過程中的重點(diǎn)環(huán)節(jié)采取技術(shù)措施、加強(qiáng)管理，確保APP數(shù)據(jù)使用的合規(guī)；

h)應(yīng)在APP算法模型的開發(fā)過程中，參照相關(guān)法規(guī)和標(biāo)準(zhǔn)的要求，防范包括算法選擇、不當(dāng)行為

等風(fēng)險(xiǎn)；

i)應(yīng)確保開發(fā)人員掌握個(gè)人信息保護(hù)、數(shù)據(jù)安全和用戶權(quán)益保護(hù)相關(guān)的法規(guī)和標(biāo)準(zhǔn)要求，具備開

展APP合規(guī)開發(fā)所需的知識(shí)與技能；

j)應(yīng)從組織與人員、制度與管理、技術(shù)與工具等方面持續(xù)改進(jìn)，提升APP合規(guī)開發(fā)能力成熟度。

7測(cè)評(píng)方法

7.1測(cè)評(píng)對(duì)象

測(cè)評(píng)對(duì)象可為APP或者APP中的某項(xiàng)某類功能的開發(fā)過程。

7.2測(cè)評(píng)流程

測(cè)評(píng)流程包括確定評(píng)估對(duì)象、實(shí)施測(cè)評(píng)和測(cè)評(píng)結(jié)論，相關(guān)流程見圖1。

圖1測(cè)評(píng)流程圖

7.3實(shí)施測(cè)評(píng)

2

T/TAF209.1—2024

實(shí)施測(cè)評(píng)相關(guān)要求包括：

a)應(yīng)依據(jù)本文件及本系列其他標(biāo)準(zhǔn)實(shí)施測(cè)評(píng)活動(dòng)；

b)可根據(jù)評(píng)估對(duì)象選擇全部或部分系列標(biāo)準(zhǔn)實(shí)施測(cè)評(píng)。

7.4測(cè)評(píng)結(jié)論

測(cè)評(píng)結(jié)論相關(guān)要求包括：

a)應(yīng)記錄各測(cè)評(píng)項(xiàng)測(cè)評(píng)過程及結(jié)果，形成最終測(cè)評(píng)報(bào)告；

b)應(yīng)對(duì)測(cè)試未通過項(xiàng)的測(cè)試過程及未通過原因進(jìn)行記錄和描述。

3

T/TAF209.1—2024

參考文獻(xiàn)

[1]YD/T4177移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）收集使用個(gè)人信息最小必要評(píng)估規(guī)范

[2]YD/T4184移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）用戶權(quán)益保護(hù)測(cè)評(píng)規(guī)范

[3]關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知（工信部信管函〔2023〕26號(hào)）

[4]DevSecOps:HowtoSeamlesslyIntegrateSecurityintoDevOps，Gartner

4

T/TAF209.1—2024

電信終端產(chǎn)業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開發(fā)管理測(cè)評(píng)規(guī)范第1部分：總則

T/TAF209.1—2024

*

版權(quán)所有侵權(quán)必究