為貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規要求,進一步規范移動互聯網應用程序(App)集成使用第三方軟件開發工具包(SDK)的行為,強化SDK的安全合規管理,保障用戶個人信息和網絡安全,促進移動互聯網行業健康有序發展,我單位組織起草了《移動互聯網應用程序(App)第三方軟件開發工具包(SDK)安全合規指引(征求意見稿)》。現向社會公開征求意見。
一、 征求意見背景與目標
隨著移動互聯網的快速發展,SDK作為App實現特定功能(如支付、地圖、社交分享、廣告推送等)的重要模塊,被廣泛應用。SDK在帶來便利的也因其自身安全漏洞、過度收集個人信息、違規共享數據等問題,成為App安全與個人信息保護的風險點。本指引旨在明確App開發運營者與SDK提供者在合作中的責任義務,建立覆蓋SDK全生命周期的安全合規管理框架,提升整體生態的安全水位,切實保護用戶權益。
二、 征求意見稿主要內容
本指引征求意見稿共分為八個章節,主要內容包括:
- 總則:闡述了指引的制定目的、依據、適用范圍、相關術語定義以及應遵循的基本原則,如合法正當、最小必要、權責一致、透明可控等。
- 主體責任:明確了App開發運營者作為最終責任主體,應對其集成的所有SDK的安全合規性負責;同時明確了SDK提供者應承擔的產品安全與合規保障責任。
- 安全要求:從SDK的設計、開發、發布、集成、運行到廢棄的全生命周期,提出了具體的安全技術要求,包括代碼安全、漏洞管理、數據安全、通信安全、反編譯保護等。
- 個人信息保護合規要求:重點規定了SDK處理個人信息應遵循的原則,包括明示告知并征得用戶同意、最小必要收集、目的限制、確保數據安全、保障用戶權利(如查詢、更正、刪除、撤回同意)等。特別強調了SDK的隱私政策應獨立、透明,并與App隱私政策有效銜接。
- 數據共享與傳輸合規要求:規范了SDK與App之間、SDK與其后臺服務器之間、以及SDK向其他第三方共享或傳輸數據的行為,要求必須具有合法依據、履行告知義務并采取安全措施。跨境傳輸數據需滿足國家相關規定。
- 管理流程要求:建議App開發運營者建立SDK準入評估、持續監控、應急響應和退出機制。建議SDK提供者建立完善的版本管理、漏洞響應與修復、用戶支持等流程。
- 檢測與認證:鼓勵各方利用第三方專業機構對SDK進行安全檢測與合規認證,并將結果作為合作參考。
- 附則:說明了指引的解釋權和實施日期。
三、 征求意見相關事宜
歡迎社會各界,特別是廣大App開發運營者、SDK提供者、安全技術企業、行業組織、科研機構和廣大網民,于[請在此處插入截止日期,例如:2023年XX月XX日]前,通過以下途徑和方式提出寶貴意見:
- 電子郵件:[請在此處插入專用郵箱地址]
- 通信地址:[請在此處插入單位名稱及詳細地址],請在信封上注明“SDK安全合規指引征求意見”字樣。
對于收到的意見和建議,我們將認真研究,并在進一步完善指引時充分考量。感謝對社會信息化發展與網絡安全工作的支持!
附件:《移動互聯網應用程序(App)第三方軟件開發工具包(SDK)安全合規指引(征求意見稿)》全文
[請在此處插入發布單位名稱及公章]
[請在此處插入發布日期]
