ICS33.030

CCSM21

團(tuán)體標(biāo)準(zhǔn)

T/TAF209.2—2024

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開(kāi)發(fā)管理

測(cè)評(píng)規(guī)范第2部分：需求設(shè)計(jì)

Evaluationspecificationforcompliancedevelopmentofmobile

application—Part2：Requirementsdesign

2024-02-23發(fā)布2024-02-23實(shí)施

電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布

T/TAF209.2—2024

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開(kāi)發(fā)管理測(cè)評(píng)規(guī)范第2部分：需

求設(shè)計(jì)

1范圍

本文件規(guī)定了APP開(kāi)發(fā)過(guò)程的需求設(shè)計(jì)階段中的合規(guī)開(kāi)發(fā)管理要求，以及對(duì)應(yīng)的測(cè)試方法。

本文件適用于APP開(kāi)發(fā)者的設(shè)計(jì)、生產(chǎn)活動(dòng)，也適用于主管部門(mén)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)APP開(kāi)發(fā)

全過(guò)程中的需求設(shè)計(jì)階段進(jìn)行合規(guī)評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

T/TAF209.1—2024移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）合規(guī)開(kāi)發(fā)管理測(cè)評(píng)規(guī)范第1部分：總則

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序mobileInternetapplication

可安裝在移動(dòng)智能終端內(nèi)，能夠利用移動(dòng)智能終端操作系統(tǒng)提供的公開(kāi)開(kāi)發(fā)接口，實(shí)現(xiàn)某項(xiàng)或某幾

項(xiàng)特定任務(wù)的應(yīng)用程序。

注：包含移動(dòng)智能終端預(yù)置應(yīng)用、小程序、快應(yīng)用以及互聯(lián)網(wǎng)信息提供者提供的可以通過(guò)網(wǎng)站、應(yīng)用商店等應(yīng)用分

發(fā)平臺(tái)下載、安裝、升級(jí)的應(yīng)用程序，簡(jiǎn)稱APP。

3.2

需求階段requirementsphase

軟件生存周期中的一個(gè)階段，在此期間對(duì)軟件產(chǎn)品的需求（如功能和性能方面的能力）進(jìn)行定義并

編織出相應(yīng)的文檔。

3.3

需求分析requirementsanalysis

研究用戶需要以得到系統(tǒng)、硬件或軟件需求的定義的過(guò)程。

3.4

設(shè)計(jì)階段designphase

1

T/TAF209.2—2024

軟件生存周期中的一段時(shí)間。在這段時(shí)間內(nèi)，進(jìn)行體系結(jié)構(gòu)、軟件組成部分、接口和數(shù)據(jù)的涉及，

為涉及編制文件，并對(duì)其進(jìn)行驗(yàn)證，以滿足預(yù)定需求。

3.5

產(chǎn)品設(shè)計(jì)productdesign

為使產(chǎn)品滿足規(guī)定的需求而定義產(chǎn)品或其部件的體系結(jié)構(gòu)、部件、接口和其他特征的過(guò)程。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

APP：移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（MobileInternetApplication）

SDK：軟件開(kāi)發(fā)包（SoftwareDevelopmentKit）

5需求設(shè)計(jì)概述與相關(guān)角色職責(zé)

5.1需求設(shè)計(jì)流程

需求設(shè)計(jì)包括需求和設(shè)計(jì)兩個(gè)階段。需求階段是整體產(chǎn)品研發(fā)流程中的起始環(huán)節(jié)，應(yīng)依據(jù)“最小必

要”、“合法合規(guī)”等個(gè)人信息安全原則，確定產(chǎn)品的個(gè)人信息保護(hù)和安全合規(guī)需求；設(shè)計(jì)階段用于將

需求轉(zhuǎn)化為產(chǎn)品設(shè)計(jì)，從而達(dá)到后期落地的目的。

5.2需求設(shè)計(jì)原則

為使產(chǎn)品服務(wù)能夠滿足合規(guī)性要求，在需求設(shè)計(jì)過(guò)程中應(yīng)滿足T/TAF209.1—2024中的相關(guān)原則，

以及以下原則：

a)全流程保護(hù)原則：在需求階段，需將隱私合規(guī)相關(guān)內(nèi)容融入需求中考慮，在設(shè)計(jì)階段，需對(duì)相

關(guān)內(nèi)容進(jìn)行持續(xù)跟蹤，并確保隱私需求的完整實(shí)現(xiàn)。

b)用戶中心原則：在需求設(shè)計(jì)過(guò)程中，以用戶為中心設(shè)計(jì)產(chǎn)品服務(wù)的相關(guān)功能，幫助用戶實(shí)現(xiàn)對(duì)

個(gè)人信息更好的自主控制。

5.3人員角色及相關(guān)職責(zé)

需求設(shè)計(jì)階段的人員角色及相關(guān)職責(zé)要求如下：

——需求分析人員：在滿足安全合規(guī)規(guī)范的情況下，負(fù)責(zé)需求調(diào)研、需求收集、需求分析和需求規(guī)

劃工作，根據(jù)產(chǎn)品規(guī)劃進(jìn)行詳細(xì)的需求分析，對(duì)產(chǎn)品的功能、流程進(jìn)行細(xì)化，編制需求說(shuō)明書(shū)。

——產(chǎn)品設(shè)計(jì)人員：在滿足安全合規(guī)規(guī)范的情況下，根據(jù)需求分析人員提供的需求說(shuō)明書(shū)，進(jìn)行產(chǎn)

品的功能設(shè)計(jì)、交互方案設(shè)計(jì)等。

——安全合規(guī)人員：負(fù)責(zé)評(píng)估相關(guān)需求說(shuō)明書(shū)及方案設(shè)計(jì)等確保其符合合規(guī)要求，共同確定需求清

單及方案設(shè)計(jì)。

6需求設(shè)計(jì)合規(guī)開(kāi)發(fā)管理要求

6.1需求設(shè)計(jì)合規(guī)開(kāi)發(fā)要求

在滿足需求設(shè)計(jì)原則的情況下，還需考慮個(gè)人信息全生命周期的安全合規(guī)要求，并在需求設(shè)計(jì)階段

中就融入相關(guān)方案或設(shè)計(jì)中。

2

T/TAF209.2—2024

a)需求階段通常劃分為需求分析、需求評(píng)估以及需求確定三個(gè)部分：

1）需求分析是需求分析人員根據(jù)產(chǎn)品的功能需求清單，識(shí)別涉及的個(gè)人信息處理場(chǎng)景并分析

個(gè)人信息處理需求，梳理產(chǎn)品需滿足的相關(guān)合規(guī)要求，并識(shí)別可能存在的個(gè)人信息安全風(fēng)

險(xiǎn)等過(guò)程；

2）需求評(píng)估是需求分析人員對(duì)個(gè)人信息處理需求和安全需求進(jìn)行評(píng)估，發(fā)現(xiàn)可能存在的安全

合規(guī)風(fēng)險(xiǎn)，評(píng)估要點(diǎn)包括但不限于預(yù)期的個(gè)人信息處理目的和處理方式是否合法正當(dāng)、預(yù)

期收集的個(gè)人信息對(duì)實(shí)現(xiàn)產(chǎn)品功能的必要性、是否存在對(duì)用戶個(gè)人信息權(quán)益產(chǎn)生的影響及

安全風(fēng)險(xiǎn)等過(guò)程；

3）需求確定中的需求需要安全合規(guī)人員確認(rèn)滿足合規(guī)性要求，其中不合規(guī)需求需要進(jìn)行調(diào)整

后再次評(píng)估，合規(guī)需求確認(rèn)后輸出產(chǎn)品合規(guī)需求。

b)設(shè)計(jì)階段通常劃分為安全設(shè)計(jì)、設(shè)計(jì)評(píng)估以及設(shè)計(jì)確定三個(gè)部分：

1）安全設(shè)計(jì)是產(chǎn)品設(shè)計(jì)人員針對(duì)產(chǎn)品合規(guī)需求，設(shè)計(jì)對(duì)應(yīng)的合規(guī)功能實(shí)現(xiàn)方案，包括制定產(chǎn)

品合規(guī)設(shè)計(jì)規(guī)范，明確安全合規(guī)功能設(shè)計(jì)要求，根據(jù)產(chǎn)品功能需求和產(chǎn)品合規(guī)需求，在開(kāi)

發(fā)流程、模塊功能等設(shè)計(jì)中明確產(chǎn)品的合規(guī)處理設(shè)計(jì)等過(guò)程。

2）設(shè)計(jì)評(píng)估是產(chǎn)品設(shè)計(jì)人員根據(jù)產(chǎn)品需滿足的合規(guī)要求，制定合規(guī)檢查項(xiàng)，并對(duì)合規(guī)設(shè)計(jì)進(jìn)

行評(píng)估檢查，發(fā)現(xiàn)可能存在的安全合規(guī)風(fēng)險(xiǎn)等過(guò)程。

3）設(shè)計(jì)確定中的設(shè)計(jì)需求安全合規(guī)人員確認(rèn)滿足合規(guī)性要求，其中不合規(guī)設(shè)計(jì)需要進(jìn)行調(diào)整

后再次評(píng)估，合規(guī)需求確認(rèn)后輸出產(chǎn)品合規(guī)設(shè)計(jì)。

6.2需求設(shè)計(jì)合規(guī)管理要求

在需求設(shè)計(jì)階段，應(yīng)滿足以下合規(guī)管理要求：

a)應(yīng)對(duì)安全合規(guī)人員、需求分析/產(chǎn)品設(shè)計(jì)人員等角色進(jìn)行分離設(shè)置；

b)建立完善的需求安全合規(guī)評(píng)估流程，對(duì)涉及到的需求進(jìn)行全面的安全合規(guī)評(píng)估；

1）對(duì)需求本身進(jìn)行相關(guān)安全風(fēng)險(xiǎn)評(píng)估；

2）接入的第三方組件及SDK應(yīng)經(jīng)過(guò)安全評(píng)估可用后再進(jìn)行引入；

3）對(duì)采用的開(kāi)源代碼進(jìn)行風(fēng)險(xiǎn)評(píng)估；

c)制定個(gè)人信息的訪問(wèn)控制策略，相應(yīng)職責(zé)人員只能訪問(wèn)職責(zé)所必須的最小必要的個(gè)人信息，且

僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限；

d)建立完善的個(gè)人信息操作審批流程，如進(jìn)行批量修改、拷貝、下載等重要操作；

e)建立完善的個(gè)人信息操作留存機(jī)制，能夠追溯工作人員對(duì)個(gè)人信息進(jìn)行的操作；

f)建立完善的個(gè)人信息分類(lèi)分級(jí)管理機(jī)制，能夠?qū)ο嚓P(guān)個(gè)人信息進(jìn)行分級(jí)保護(hù)；

注：若企業(yè)有完善的個(gè)人信息分類(lèi)分級(jí)管理機(jī)制，在APP需求設(shè)計(jì)階段可復(fù)用該機(jī)制分級(jí)保護(hù)相關(guān)個(gè)人信息。

7需求設(shè)計(jì)合規(guī)開(kāi)發(fā)管理測(cè)試方法

對(duì)于需求設(shè)計(jì)過(guò)程中的合規(guī)開(kāi)發(fā)管理的測(cè)試方法主要采用資料審查、技術(shù)驗(yàn)證和人員訪談對(duì)相關(guān)的

開(kāi)發(fā)及管理要求進(jìn)行符合性評(píng)估，具體見(jiàn)表1。

表1需求設(shè)計(jì)合規(guī)開(kāi)發(fā)管理要求與測(cè)評(píng)方法對(duì)應(yīng)關(guān)系表

要求條款測(cè)評(píng)方法

資料審查技術(shù)驗(yàn)證人員訪談

5.2--√

3

T/TAF209.2—2024

表1需求設(shè)計(jì)合規(guī)開(kāi)發(fā)管理要求與測(cè)評(píng)方法對(duì)應(yīng)關(guān)系表（續(xù)）

要求條款測(cè)評(píng)方法

資料審查技術(shù)驗(yàn)證人員訪談

5.3--√

6.1a）√√-

6.1b）√√-

6.2a）√-√

6.2b）√√-

6.2c）√√-

6.2d）√√-

6.2e）√√-

6.2f）√-√

注：“√”項(xiàng)為應(yīng)采用的測(cè)試方法；“-”表示不適用。

4

T/TAF209.2—2024

附錄A

（資料性）

移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序需求設(shè)計(jì)階段合規(guī)開(kāi)發(fā)管理參考

A.1需求階段

作為產(chǎn)品開(kāi)發(fā)周期的第一個(gè)環(huán)節(jié)，每個(gè)項(xiàng)目在明確需求集合后均會(huì)對(duì)可能涉及的合規(guī)風(fēng)險(xiǎn)的需求點(diǎn)

進(jìn)行拆解和識(shí)別。經(jīng)過(guò)安全和合規(guī)專(zhuān)家評(píng)審后，制定風(fēng)險(xiǎn)緩控措施和開(kāi)發(fā)設(shè)計(jì)要點(diǎn)，并將結(jié)論納入

后續(xù)詳細(xì)設(shè)計(jì)方案中，同時(shí)發(fā)起其它必要的評(píng)估流程?？蓞⒖家韵虏襟E：

a)企業(yè)根據(jù)國(guó)內(nèi)外法律法規(guī)及行業(yè)標(biāo)準(zhǔn)、客戶安全需求、業(yè)界最佳實(shí)踐等制定相關(guān)規(guī)范，對(duì)涉及

到數(shù)據(jù)全生命周期、API接口、對(duì)外接口、數(shù)據(jù)使用、算法模型等多種場(chǎng)景提出明確要求，為

業(yè)務(wù)需求分解提供指導(dǎo)。安全和合規(guī)專(zhuān)家協(xié)助產(chǎn)品經(jīng)理依照改規(guī)范進(jìn)行拆解和分析，確定潛在

安全與隱私需求并隨項(xiàng)目功能需求同步推進(jìn)，確保項(xiàng)目需求落地的合規(guī)遵從性。

b)對(duì)于將要進(jìn)入并集成到代碼的外部能力，需建立完備的評(píng)估流程。通過(guò)資料收集建檔、基礎(chǔ)安

全合規(guī)掃描、人工滲透分析以及迭代情況平臺(tái)留存等節(jié)點(diǎn)保證引入技術(shù)能力的合規(guī)遵從性。

A.2設(shè)計(jì)階段

A設(shè)計(jì)階段

在項(xiàng)目架構(gòu)設(shè)計(jì)階段，架構(gòu)師根據(jù)相應(yīng)規(guī)范對(duì)產(chǎn)品開(kāi)展安全架構(gòu)設(shè)計(jì)和業(yè)務(wù)安全需求設(shè)計(jì)，出具包

含保障架構(gòu)安全性和合規(guī)性的設(shè)計(jì)方案后，需通過(guò)項(xiàng)目安全與合規(guī)專(zhuān)家評(píng)審。同時(shí)對(duì)判定為高風(fēng)險(xiǎn)功能

場(chǎng)景的方案開(kāi)展威脅建模，確保架構(gòu)設(shè)計(jì)的風(fēng)險(xiǎn)最小化。通過(guò)建模分析及評(píng)審產(chǎn)生的設(shè)計(jì)方案形成后續(xù)

驗(yàn)收階段的測(cè)試用例，用以對(duì)安全設(shè)計(jì)及風(fēng)險(xiǎn)保護(hù)能力的驗(yàn)證。

a)在實(shí)踐中，需要將隱私設(shè)計(jì)的7個(gè)原則（主動(dòng)應(yīng)對(duì)而非被動(dòng)相應(yīng)，隱私作為默認(rèn)設(shè)置，隱私設(shè)

計(jì)驅(qū)動(dòng)，功能正和而不是零和，端到端安全和全生命周期保護(hù)，可見(jiàn)性、透明度、保持開(kāi)放，

尊重用戶隱私、以用戶為中心），貫穿整個(gè)產(chǎn)品的生命周期。

b)在設(shè)計(jì)階段，通過(guò)系統(tǒng)化方法，對(duì)業(yè)務(wù)流程、產(chǎn)品、系統(tǒng)中涉及的個(gè)人信息收集、處理等活動(dòng)

開(kāi)展風(fēng)險(xiǎn)識(shí)別、分析和評(píng)估。

c)從威脅建模、基礎(chǔ)安全設(shè)計(jì)對(duì)架構(gòu)進(jìn)行分析，將架構(gòu)設(shè)計(jì)存在的安全合規(guī)風(fēng)險(xiǎn)盡量全面的在設(shè)

計(jì)階段暴露出來(lái)，并對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)制定相應(yīng)的緩解措施。

5

T/TAF209.2—2024

參考文獻(xiàn)

［1］GB/T11457—2006信息技術(shù)軟件工程術(shù)語(yǔ)

6

T/TAF209.2—2024