為規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序（App）中第三方軟件開發(fā)工具包（SDK）的使用，保障用戶個人信息安全和網(wǎng)絡(luò)數(shù)據(jù)安全，現(xiàn)制定本指引并公開征求意見。

一、適用范圍
本指引適用于在中華人民共和國境內(nèi)運營的移動互聯(lián)網(wǎng)應(yīng)用程序集成、使用第三方SDK的相關(guān)活動，包括App開發(fā)者和第三方SDK提供者。

二、基本原則

1. 合法合規(guī)原則：App開發(fā)者和SDK提供者應(yīng)遵守《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律法規(guī)，確保SDK的集成和使用符合國家相關(guān)規(guī)定。
2. 最小必要原則：SDK的權(quán)限申請、個人信息收集和使用應(yīng)限于實現(xiàn)產(chǎn)品功能或服務(wù)的最小范圍。
3. 透明告知原則：App開發(fā)者應(yīng)向用戶明示SDK收集、使用個人信息的目的、方式和范圍，并取得用戶同意。

三、App開發(fā)者的責(zé)任與義務(wù)

1. 在選擇第三方SDK時，應(yīng)進(jìn)行安全評估，優(yōu)先選用信譽良好、安全合規(guī)的SDK產(chǎn)品。
2. 在集成SDK前，應(yīng)與SDK提供者簽訂協(xié)議，明確雙方在數(shù)據(jù)安全、個人信息保護(hù)等方面的責(zé)任。
3. 在App隱私政策中，應(yīng)清晰、完整地披露集成的SDK名稱、功能、收集的個人信息類型及目的。
4. 定期對集成的SDK進(jìn)行安全檢測，發(fā)現(xiàn)安全漏洞或合規(guī)風(fēng)險時及時采取整改措施。

四、第三方SDK提供者的責(zé)任與義務(wù)

1. 應(yīng)遵循國家相關(guān)標(biāo)準(zhǔn)，確保SDK的安全性、穩(wěn)定性和兼容性。
2. 不得超范圍收集個人信息，不得在用戶未同意的情況下共享、轉(zhuǎn)讓個人信息。
3. 應(yīng)向App開發(fā)者提供詳細(xì)的技術(shù)文檔和安全說明，協(xié)助開發(fā)者履行告知義務(wù)。
4. 建立應(yīng)急響應(yīng)機(jī)制，對發(fā)現(xiàn)的安全漏洞及時修復(fù)并通知合作方。

五、技術(shù)安全要求

1. 數(shù)據(jù)傳輸安全：SDK與服務(wù)器之間的通信應(yīng)使用加密協(xié)議，防止數(shù)據(jù)在傳輸過程中被竊取或篡改。
2. 代碼安全：SDK應(yīng)避免存在已知安全漏洞，并定期進(jìn)行代碼審計和滲透測試。
3. 權(quán)限管理：SDK申請的權(quán)限應(yīng)與其功能直接相關(guān)，禁止申請無關(guān)權(quán)限。

六、監(jiān)督與管理

1. 行業(yè)協(xié)會應(yīng)加強(qiáng)自律，推動制定行業(yè)標(biāo)準(zhǔn)，提升SDK安全水平。
2. 相關(guān)主管部門將依法對App和SDK的合規(guī)性進(jìn)行監(jiān)督檢查，對違規(guī)行為依法處理。

本指引現(xiàn)向社會公開征求意見，歡迎各有關(guān)單位和個人于2023年12月31日前通過電子郵件或信函方式反饋意見。

聯(lián)系方式：
郵箱：[email protected]
地址：北京市某某區(qū)某某路某某號 國家互聯(lián)網(wǎng)信息辦公室