TTAF 209.5—2024 移动互联网应用程序（APP）合规开发管理测评规范 第5部分：对外接口管理.pdf

ICS33.030

CCSM21

团体标准

T/TAF209.5—2024

移动互联网应用程序（APP）合规开发管理

测评规范第5部分：对外接口管理

EvaluationspecificationforcompliancedevelopmentofmobileInternet

application—Part5：Externalinterfacemanagement

2024-02-23发布2024-02-23实施

电信终端产业协会发布

T/TAF209.5—2024

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4概述1

5对外接口需求设计阶段管理要求2

6对外接口功能实现阶段管理要求2

7对外接口运行维护阶段管理要求3

8对外接口管理测试方法4

附录A（资料性）数据开放平台对外接口管理实践示例5

I

T/TAF209.5—2024

移动互联网应用程序（APP）合规开发管理测评规范第5部分：对

外接口管理

1范围

本文件规定了在个人信息共享场景下，APP开发运营者在设计、开发、使用个人信息对外接口过程

中需要考虑的合规管理内容，并从需求设计、功能实现、运行维护各阶段提出相应的对外接口管理要求。

本文件适用于指导APP开发运营者设计、开发、使用个人信息对外接口。也适用于监管机构、第三

方评估机构对APP开发运营者开发的个人信息对外接口的合规性进行监督、评估与认证。

2规范性引用文件

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3.1

移动互联网应用程序mobileInternetapplication

可安装在移动智能终端内，能够利用移动智能终端操作系统提供的公开开发接口，实现某项或某几

项特定任务的应用程序。

3.2

对外接口externalinterface

不同个人信息处理者之间，进行个人信息共享的边界。

3.3

APP开发运营者applicationdeveloperandoperator

从事APP开发和运营活动的主体。

3.4

个人信息共享sharing

个人信息处理者向其他处理者提供个人信息，且双方分别对个人信息拥有独立控制权的行为。

4概述

1

T/TAF209.5—2024

本文件中的对外接口是指所有涉及个人信息共享场景下，在个人信息提供方与个人信息接收方之间

的个人信息传输通道，如图1所示。个人信息接收方通过对外接口申请获取个人信息，个人信息提供方

验证接收方身份及接口传入参数等信息，并通过接口对外提供个人信息。

图1对外接口示意图

对外接口的开发和使用应遵循以下原则：

一致性原则：个人信息提供方和个人信息接收方应遵从相同的规则开发、使用对外接口；

稳定性原则：对外接口应具有一定的稳定性，避免任意一方随意改动；

安全性原则：应采用必要的管理和技术措施保障对外接口访问及个人信息共享的安全性；

5对外接口需求设计阶段管理要求

APP开发运营者在对外接口