T/TAF 180.3-2023 小程序个人信息保护规范 第3部分：全流程开发管理

　　团 体 标 准

　　T/TAF 180.3—2023

　　小程序个人信息保护规范

　　第 3 部分：全流程开发管理

　　Specification of personal information protection for mini program—

　　Part 3: Development management for the whole process

　　2023-10-31 发布 2023-10-31 实施

　　电信终端产业协会 发布

　　前 言

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的规定起草。

　　本文件是T/TAF 180《小程序个人信息保护规范》的第3部分。T/TAF 180已发布以下部分：

　　——第1部分： 申请授权行为;

　　——第2部分：个人信息收集行为;

　　——第3部分：全流程开发管理;

　　——第4部分：全生命周期。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由电信终端产业协会提出并归口。

　　本文件起草单位：中国信息通信研究院、泰尔认证中心有限公司、北京抖音信息服务有限公司、阿里巴巴 (中国)有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、荣耀终端有限公司、厦门美柚股份有限公司、上海兆言网络科技有限公司、郑州信大捷安信息技术股份有限公司、北京三快在线科技有限公司、华为技术有限公司、博鼎实华(北京) 技术有限公司、中兴通讯股份有限公司。

　　本文件主要起草人：桑明臣、宋恺、刘陶、王艳红、武林娜、王淞鹤、王宇晓、李可心、李京典、周飞、陈鑫爱、宁华、杜蕾、李昳婧、方强、落红卫、谷晨、王昕、林冠辰、赵晓娜、黄鹏华、钱雷、刘献伦、刘为华、刘瑾、王芳、李实、董霁、张宏伟。

　　引 言

　　小程序作为移动互联网行业中的新形态应用软件，以其轻量化、免安装等特性广受软件开发者、互联网用户的欢迎。但同时小程序也存在个人信息相关的安全问题，危害用户隐私及个人财产安全。在工业和信息化部发布的《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管 [2020] 164号) 中提到了关于规范小程序新形态应用的要求，因此计划建立小程序个人信息保护规范，规范小程序的个人信息处理等行为，提升个人信息保护能力。本文件主要针对小程序提出全流程开发管理的个人信息保护参考，对指导小程序进行个人信息保护相关工作具有重要意义。T/TAF 180拟由4个部分构成：

　　——小程序个人信息保护规范 第1部分：申请授权行为;

　　——小程序个人信息保护规范 第2部分：个人信息收集行为;

　　——小程序个人信息保护规范 第3部分：全流程开发管理;

　　——小程序个人信息保护规范 第4部分：全生命周期。

　　小程序个人信息保护规范

　　第 3 部分：全流程开发管理

　　1 范围

　　本文件主要规定了小程序全流程开发管理的规范，包括小程序需求分析阶段、开发设计阶段、测试验证阶段、上线运行阶段、更新维护阶段和终止运营阶段的个人信息保护实施建议。

　　本文件适用于小程序提供者对小程序的开发、运营，同时适用于监管机构、第三方测评机构对小程序进行监督、评估与认证。

　　2 规范性引用文件

　　本文件没有规范性引用文件。

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　框架型应用软件 frame-based application software

　　在移动智能终端上运行，提供数据访问控制和小程序管理能力，并为在其上运行的第三方小程序提供相应开发接口的应用软件，又称小程序平台。

　　3.2

　　小程序 mini program

　　在框架型应用软件上运行的，通过框架型应用软件提供的功能接口，实现某项或某几项特定功能的免安装的应用软件。

　　3.3

　　小程序提供者 mini program provider

　　设计、开发或运营小程序的组织或个人。

　　注：包括法人、自然人或者其他组织等，简称小程序提供者。

　　3.4

　　开发管理 development management

　　开发管理是对开发过程中的各项工作内容实施管理，以降低开发过程中出现的风险，保障最终的成果质量。

　　4 缩略语

　　下列缩略语适用于本文件。

　　APP：移动互联网应用程序(Application)

　　SDK：软件开发工具包(Software Development Kit)

　　5 全流程开发管理

　　5.1 概述

　　小程序在开发管理全流程各阶段都可能产生个人信息保护安全问题，包括但不限于：

　　a) 小程序强制频繁过度索取权限问题;

　　b) 小程序违规收集个人信息问题;

　　c) 小程序服务端泄露个人信息问题。

　　小程序开发管理的全流程主要包含六个阶段：需求分析阶段、开发设计阶段、测试验证阶段、上线运行阶段、更新维护阶段和终止运营阶段。个人信息保护安全问题可能出现在全流程的任何位置。小程序个人信息保护安全问题和全流程开发管理过程的关系见图1。

　　图1 小程序个人信息保护安全问题和全流程开发管理过程示意图

　　5.2 需求分析阶段

　　小程序提供者应组织相关人员进行个人信息保护需求分析并对输出文件进行评审，具体要求如下：

　　a) 在程序设计前应进行个人信息保护安全需求分析，根据法律法规、标准约束等形成个人信息保护需求说明书;

　　b) 个人信息保护需求说明书中主要分析的内容宜包括但不限于：

　　1) 小程序所支撑的业务特点;

　　2) 不同业务场景下个人信息保护威胁、脆弱性分析;

　　3) 个人信息收集范围和权限申请范围，收集个人信息的频率等;

　　4) 小程序与其他小程序或操作系统之间数据交互的保密性、可用性和完整性保护;

　　c) 基于业务安全、框架型应用软件环境、操作系统环境、服务端安全等安全需求开展前期的风险评估;

　　d) 制定整体个人信息保护策略，编制个人信息保护措施报告，包括个人信息保护目标和总体个人信息保护措施等内容，并在小程序设计和开发时执行个人信息保护策略;

　　注：个人信息保护措施报告是详细说明在处理个人信息时采取的安全和保护措施，可以融合在需求说明书中。

　　e) 组织风险管理部门与安全技术团队参与评审，对个人信息保护需求说明书和个人信息保护措施报告进行评审，评审内容包括但不限于以下方面：

　　1) 个人信息处理方式的合法性与正当性;

　　2) 个人信息处理方式(包括权限申请) 的最小必要性;

　　3) 个人信息数据在全生命周期的安全保障措施;

　　4) 个人信息处理涉及的第三方共享和委托处理场景;

　　5) 用户个人信息权利行使方式;

　　6) 个人信息访问控制和安全审计。

　　5.3 开发设计阶段

　　5.3.1 方案设计

　　根据个人信息保护需求说明书进行个人信息保护方案设计，形成个人信息保护设计方案，内容包括但不限于以下方面：

　　a) 个人信息收集的告知同意，小程序在收集用户个人信息前是否向用户告知个人信息保护规则并获取用户同意;

　　b) 权限管理措施，包括权限申请的触发场景、拒绝权限后的处置方式、权限同意后的查看和更改入口等;

　　c) 自启动和关联启动措施，在非服务所必需或者无合理场景下，不自启动或者关联启动其他APP;

　　d) 安全删除保障措施，在用户触发删除行为后，客户端残留数据以及小程序存储在公共区域的文件中不包含个人信息;

　　e) 对引用的开源软件和第三方软件进行风险评估，如开源软件或第三方软件中是否包含已知安全漏洞、是否存在侵害用户隐私行为、是否一直处于维护更新状态等。

　　5.3.2 方案评审

　　小程序提供者实施以下与方案评审相关的管理：

　　a) 组织相关方对个人信息保护设计方案进行评审，记录评审结果并形成方案评审记录;

　　b) 方案评审的维度包括个人信息保护需求的可追溯性、与个人信息保护需求的一致性、可测试性、个人信息保护设计方案的可行性、运行和维护的可行性等。

　　5.3.3 安全开发

　　小程序提供者实施以下与安全开发相关的管理：

　　a) 制定安全编码规范，并在开发过程中严格执行;

　　b) 不在代码中嵌入已知的安全风险代码，如无关链接、逻辑炸弹、后门、恶意程序等相关代码;

　　c) 在编码完成后使用代码扫描工具或人工代码检查方式进行评审，识别安全漏洞和侵害用户隐私行为并修复;

　　d) 对源代码的操作进行访问控制管理， 降低源代码被窃取的风险;

　　e) 对程序资源库的修改、更新或发布等操作进行访问控制管理;

　　f) 当代码由供应商提供时，在编码完成后将源代码回收;

　　g) 与供应商签订相关协议， 明确范围、工作内容、安全责任和保密责任等内容;

　　h) 当小程序与其他小程序或操作系统之间存在数据交互时，应对其进行保密性、可用性和完整性保护;

　　i) 当小程序集成第三方代码时，对第三方代码进行安全管理，包括但不限于：

　　1) 对第三方SDK进行个人信息安全分析(如第三方SDK提供者的安全能力要求、第三方SDK收集和使用个人信息的规范要求和第三方SDK使用权限的规范要求等);

　　2) 对第三方代码进行风险管理，识别和评估可能引入的风险，不引入不可接受的风险，包括但不限于恶意程序、应用风险、侵害用户隐私或安全漏洞;

　　3) 对第三方代码进行权限管理，统一通过小程序声明权限;

　　4) 监督第三方代码修复其存在的安全问题，并更新代码;

　　5) 使用基本信息明确、沟通反馈渠道有效的第三方代码;

　　6) 对引入的开源软件设置监控机制，及时获取关于开源软件的安全更新和漏洞通知。在出现安全问题时，及时采取应对措施，如回退代码、修复漏洞等。

　　7) 对于由供应商提供的非开源第三方代码，应当满足本条g款要求。

　　5.3.4 变更控制

　　小程序提供者宜实施以下与变更控制相关的管理：

　　a) 明确变更需求，根据变更需求制定变更方案，在通过评审和审批后实施变更方案;

　　b) 分析变更内容是否影响用户个人信息，如果影响，须执行个人信息保护的相关评估和安全措施;

　　c) 对代码的变更进行访问控制管理，并在通过评审和审批后提交;

　　d) 记录变更操作， 以便进行安全审计和回退操作;

　　e) 当开发环境变更时，对变更前的环境进行备份以便恢复，减小对小程序开发的影响;

　　f) 当引入与个人信息相关的功能，或与个人信息相关的功能发生重大变更，应重新通过隐私政策向用户告知同意。

　　5.4 测试验证阶段

　　5.4.1 安全测试

　　小程序提供者宜实施以下与个人信息保护安全测试相关的管理：

　　a) 建立个人信息保护测试机制，编制个人信息保护测试方案，描述个人信息保护测试方式;

　　b) 编制个人信息保护测试用例文档，记录输入的实际值与预期的输出内容;

　　c) 依据个人信息保护测试方案中的检查点执行个人信息保护测试，包括但不限于强制频繁过度索取权限、违规收集个人信息等，形成个人信息保护测试总结报告并对其进行评审;

　　d) 将测试环境与开发环境或生产环境隔离，不使用开发环境或生产环境作为测试环境，不将测试环境转为生产环境;

　　e) 当小程序由供应商开发时，对供应商开发交付的小程序进行个人信息保护测试。

　　5.4.2 安全交付

　　小程序提供者宜实施以下与个人信息保护安全交付相关的管理：

　　a) 建立小程序交付验收流程和制度，并在新建、升级和更新版本时进行交付验收;

　　b) 提供个人信息保护维护文档，给出风险提示和应急响应措施， 明确安全的部署环境;

　　c) 根据个人信息保护需求说明书对个人信息操作功能进行验证和风险评估;

　　d) 确认已经修复和处理了小程序个人信息保护测试过程中发现的漏洞、病毒、木马等有害文件;

　　e) 确认已经整改和消除小程序中已知的个人信息安全风险;

　　f) 通过可靠渠道交付，提供验证所交付小程序完整性的安全措施，减少交付过程中的程序篡改。

　　5.4.3 上线运行阶段

　　小程序提供者宜实施以下与上线运行相关的管理：

　　a) 监测小程序在运行时是否存在恶意程序、应用风险或安全漏洞;

　　b) 监测小程序在运行时是否存在私自收集个人信息、强制频繁过度索取权限等行为;

　　c) 监测小程序业务数据库的安全状况;

　　d) 监测小程序服务端的安全状况。

　　5.5 更新维护阶段

　　5.5.1 安全维护

　　小程序提供者宜实施以下与安全维护相关的管理：

　　a) 采集小程序运行过程中产生的日志，并对日志进行保护;

　　b) 采集小程序运行过程中服务端产生的日志，并对日志进行保护;

　　c) 小程序服务端进行访问控制管理，记录操作日志，执行安全审计;

　　d) 当由第三方提供运行与维护服务时，与第三方签订服务水平协议、个人信息处理协议和保密协议。

　　5.5.2 安全更新

　　小程序提供者应实施以下与安全更新相关的管理：

　　a) 更新前，对更新包进行个人信息保护检测，并评估风险;

　　b) 更新前，对待更新的功能进行可行性测试，并记录测试结果;

　　c) 更新前，告知用户更新的内容、版本变更情况和权限变更情况等;

　　d) 采取安全措施保护升级过程中的用户个人信息;

　　e) 建立安全更新机制，不通过热更新或热切换等方式擅自更改主要功能、申请的权限、个人信息收集使用的场景和范围等，不在更新后引入新的个人信息保护安全风险。

　　5.6 终止运营阶段

　　小程序提供者应实施以下与终止运营相关的管理：

　　a) 在依据用户协议约定的基础上，在运行平台进行下架处理或向运行平台提交下架申请;

　　b) 明确告知用户小程序将终止运营及具体终止时间，为用户预留转移涉及个人财产等方面利益的时间;

　　c) 停止收集和使用个人信息，删除已经保存的个人信息或进行匿名化处理;

　　d) 进行风险评估，确保不引入新的风险;

　　e) 对终止运营的小程序及其相关文档进行归档，并设置访问权限。