为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求,进一步规范移动互联网应用程序(App)集成使用第三方软件开发工具包(SDK)的行为,强化SDK的安全合规管理,保障用户个人信息和网络安全,促进移动互联网行业健康有序发展,我单位组织起草了《移动互联网应用程序(App)第三方软件开发工具包(SDK)安全合规指引(征求意见稿)》。现向社会公开征求意见。
一、 征求意见背景与目标
随着移动互联网的快速发展,SDK作为App实现特定功能(如支付、地图、社交分享、广告推送等)的重要模块,被广泛应用。SDK在带来便利的也因其自身安全漏洞、过度收集个人信息、违规共享数据等问题,成为App安全与个人信息保护的风险点。本指引旨在明确App开发运营者与SDK提供者在合作中的责任义务,建立覆盖SDK全生命周期的安全合规管理框架,提升整体生态的安全水位,切实保护用户权益。
二、 征求意见稿主要内容
本指引征求意见稿共分为八个章节,主要内容包括:
- 总则:阐述了指引的制定目的、依据、适用范围、相关术语定义以及应遵循的基本原则,如合法正当、最小必要、权责一致、透明可控等。
- 主体责任:明确了App开发运营者作为最终责任主体,应对其集成的所有SDK的安全合规性负责;同时明确了SDK提供者应承担的产品安全与合规保障责任。
- 安全要求:从SDK的设计、开发、发布、集成、运行到废弃的全生命周期,提出了具体的安全技术要求,包括代码安全、漏洞管理、数据安全、通信安全、反编译保护等。
- 个人信息保护合规要求:重点规定了SDK处理个人信息应遵循的原则,包括明示告知并征得用户同意、最小必要收集、目的限制、确保数据安全、保障用户权利(如查询、更正、删除、撤回同意)等。特别强调了SDK的隐私政策应独立、透明,并与App隐私政策有效衔接。
- 数据共享与传输合规要求:规范了SDK与App之间、SDK与其后台服务器之间、以及SDK向其他第三方共享或传输数据的行为,要求必须具有合法依据、履行告知义务并采取安全措施。跨境传输数据需满足国家相关规定。
- 管理流程要求:建议App开发运营者建立SDK准入评估、持续监控、应急响应和退出机制。建议SDK提供者建立完善的版本管理、漏洞响应与修复、用户支持等流程。
- 检测与认证:鼓励各方利用第三方专业机构对SDK进行安全检测与合规认证,并将结果作为合作参考。
- 附则:说明了指引的解释权和实施日期。
三、 征求意见相关事宜
欢迎社会各界,特别是广大App开发运营者、SDK提供者、安全技术企业、行业组织、科研机构和广大网民,于[请在此处插入截止日期,例如:2023年XX月XX日]前,通过以下途径和方式提出宝贵意见:
- 电子邮件:[请在此处插入专用邮箱地址]
- 通信地址:[请在此处插入单位名称及详细地址],请在信封上注明“SDK安全合规指引征求意见”字样。
对于收到的意见和建议,我们将认真研究,并在进一步完善指引时充分考量。感谢对社会信息化发展与网络安全工作的支持!
附件:《移动互联网应用程序(App)第三方软件开发工具包(SDK)安全合规指引(征求意见稿)》全文
[请在此处插入发布单位名称及公章]
[请在此处插入发布日期]
