团 体 标 准
T/TAF 314—2025
移动互联网应用程序(APP)风险信息互通
和互操作基本要求
Basic requirements for risk information interconnection and
interoperability of mobile Internet applications(APP)
2025-10-10 发布 2025-10-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会(TAF)提出并归口。
本文件起草单位:中国信息通信研究院、北京奇虎科技有限公司、武汉安天信息技术有限责任公司、北京梆梆安全科技有限公司、北京捷兴信源信息技术有限公司、荣耀终端股份有限公司、北京快手科技有限公司、华为终端有限公司、高通无线通信技术(中国)有限公司。
本文件主要起草人:邓佑军、武林娜、王艳红、桑明臣、陈逸舟、周楠、秦文聪、潘宣辰、罗成、焦姣,童瑶、杨澄宇、盛大江、闫金保、米可为、落红卫、衣强、王江胜。
移动互联网应用程序(APP)风险信息互通和互操作基本要求
1 范围
本文件规定了移动互联网应用程序(APP)风险信息的定义、数据结构、互通及互操作技术要求。
本文件适用于 SDK 服务提供者、APP 开发者、检测机构、应用分发平台、移动智能终端厂商等产业主体与监管机构之间的风险信息共享。同时适用于主管部门、第三方评估机构等组织对产业风险信息互通和互操作活动开展监督、管理和评估。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
移动互联网应用程序 mobile Internet application
可安装在移动智能终端内,能够利用移动智能终端操作系统提供的公开开发接口,实现某项或某几项特定任务的应用程序。
注:包含移动智能终端预置应用、小程序、快应用以及互联网信息提供者提供的可以通过网站、应用商店等应用分发平台下载、安装、升级、使用的应用程序,简称APP。
4 缩略语
下列缩略语适用于本文件。
APP:移动互联网应用程序(Mobile Internet Application)
5 风险信息
5.1 风险信息概述
APP风险信息是指可能影响用户权益、个人信息安全、网络安全或数据安全的应用程序特征要素集合。APP风险信息由基础属性、关联主体、数字指纹、行为特征四部分组成,风险信息整体数据结构如图1所示。
图 1 风险信息整体数据结构
风险信息示例参考附录 A。
5.2 基础属性
基础属性是指用于标识和描述APP的核心特征要素,包括APP名称、类型、唯一标识符、版本等。其中类型包括安卓APP、IOS APP、鸿蒙APP、小程序、快应用。唯一标识符是指APP的唯一身份标识,如,安卓的Package Name、IOS的Bundle ID、小程序的AppID等。
5.3 关联主体
关联主体是指与风险信息相关的各方,包括APP开发者、应用分发平台、风险报送者。
5.4 数字指纹
数字指纹是指通过密码学算法生成的唯一序列,用于精准标识安卓APP的完整性和真实性。包括APP安装包摘要值、APP代码签名证书摘要值。
5.5 行为特征
行为特征是指APP在运行过程中体现的用户交互、数据处理及系统资源占用等动态属性,包括风险来源、风险识别依据、风险内容和风险发现时间。其中风险来源包括监管执法、投诉举报、主动监测、检验检测、媒体曝光、境外通报。风险识别依据是指风险报送者在识别风险时依据的公开性文件,如法律法规、政策文件、标准等。风险内容是指影响用户权益、个人信息安全、网络安全或数据安全的具体问题,如违规收集个人信息、欺骗诱导强迫用户等。
6 互通和互操作技术要求
6.1 风险信息发送
SDK服务提供者、APP开发者、检测机构、应用分发平台、移动智能终端厂商等产业主体应确保风险信息真实可靠,向监管机构发送风险信息时,具体要求如下:
a) 风险信息应符合第5章整体数据结构;
b) 应验证接收方真实身份后再发送;
c) 宜对发送的风险信息进行数字签名。
6.2 风险信息接收
SDK服务提供者、APP开发者、检测机构、应用分发平台、移动智能终端厂商等产业主体从监管机构接收风险信息时,具体要求如下:
a) 应按照第5章整体数据结构对风险信息完整性进行验证,验证失败不接收风险信息;
b) 应对发送方身份真实性进行验证,验证失败不接收风险信息;
c) 宜对发送方数字签名有效性进行验证,验证失败不接收风险信息。
附 录 A (资料性)
风险信息示例
风险信息示例见表 A.1。
表 A.1 风险信息示例表
评论