隨著移動互聯網應用程序(App)的快速發展,第三方軟件開發工具包(SDK)在提升功能開發效率的也帶來了日益突出的安全合規問題。為規范第三方SDK使用行為,保障用戶個人信息安全,現就《第三方SDK使用合規指引》公開征求意見。
一、第三方SDK使用合規基本原則
- 合法正當原則:App運營者應確保接入的第三方SDK具備合法資質,且其數據收集、使用行為符合《網絡安全法》《個人信息保護法》等法律法規要求。
- 知情同意原則:App應在隱私政策中明確告知用戶第三方SDK的類型、功能、收集個人信息范圍及目的,并取得用戶有效同意。
- 最小必要原則:第三方SDK應僅收集實現功能所必需的個人信息,不得超范圍收集。
二、第三方SDK安全技術要求
- 安全評估機制:App運營者應在接入前對第三方SDK進行安全檢測,重點關注數據加密、傳輸安全、代碼漏洞等風險點。
- 權限最小化配置:嚴格限制第三方SDK的系統權限申請,避免權限濫用。
- 安全更新機制:建立第三方SDK漏洞應急響應流程,及時推動SDK提供方修復安全缺陷。
三、責任與監督機制
- 主體責任明確:App運營者作為第一責任人,需對第三方SDK的合規性和安全性負責。
- 全生命周期管理:建立從SDK選型、接入測試、運行監控到退出的管理體系。
- 監管協同:網信、工信等部門將加強對違規使用SDK行為的監督檢查,依法處置數據泄露、違規收集等問題。
本指引旨在為移動互聯網行業提供實操性規范,現向社會公開征求意見。請各有關單位及專業人士于2023年XX月XX日前通過電子郵件或信函方式反饋建議。我們將在充分吸納意見后正式發布實施,共同構建安全可靠的移動應用生態。
