為規(guī)范移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）中第三方軟件開發(fā)工具包（SDK）的使用，保障用戶個(gè)人信息安全和網(wǎng)絡(luò)數(shù)據(jù)安全，現(xiàn)制定本指引并公開征求意見。

一、適用范圍
本指引適用于在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序集成、使用第三方SDK的相關(guān)活動(dòng)，包括App開發(fā)者和第三方SDK提供者。

二、基本原則

1. 合法合規(guī)原則：App開發(fā)者和SDK提供者應(yīng)遵守《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)，確保SDK的集成和使用符合國(guó)家相關(guān)規(guī)定。
2. 最小必要原則：SDK的權(quán)限申請(qǐng)、個(gè)人信息收集和使用應(yīng)限于實(shí)現(xiàn)產(chǎn)品功能或服務(wù)的最小范圍。
3. 透明告知原則：App開發(fā)者應(yīng)向用戶明示SDK收集、使用個(gè)人信息的目的、方式和范圍，并取得用戶同意。

三、App開發(fā)者的責(zé)任與義務(wù)

1. 在選擇第三方SDK時(shí)，應(yīng)進(jìn)行安全評(píng)估，優(yōu)先選用信譽(yù)良好、安全合規(guī)的SDK產(chǎn)品。
2. 在集成SDK前，應(yīng)與SDK提供者簽訂協(xié)議，明確雙方在數(shù)據(jù)安全、個(gè)人信息保護(hù)等方面的責(zé)任。
3. 在App隱私政策中，應(yīng)清晰、完整地披露集成的SDK名稱、功能、收集的個(gè)人信息類型及目的。
4. 定期對(duì)集成的SDK進(jìn)行安全檢測(cè)，發(fā)現(xiàn)安全漏洞或合規(guī)風(fēng)險(xiǎn)時(shí)及時(shí)采取整改措施。

四、第三方SDK提供者的責(zé)任與義務(wù)

1. 應(yīng)遵循國(guó)家相關(guān)標(biāo)準(zhǔn)，確保SDK的安全性、穩(wěn)定性和兼容性。
2. 不得超范圍收集個(gè)人信息，不得在用戶未同意的情況下共享、轉(zhuǎn)讓個(gè)人信息。
3. 應(yīng)向App開發(fā)者提供詳細(xì)的技術(shù)文檔和安全說明，協(xié)助開發(fā)者履行告知義務(wù)。
4. 建立應(yīng)急響應(yīng)機(jī)制，對(duì)發(fā)現(xiàn)的安全漏洞及時(shí)修復(fù)并通知合作方。

五、技術(shù)安全要求

1. 數(shù)據(jù)傳輸安全：SDK與服務(wù)器之間的通信應(yīng)使用加密協(xié)議，防止數(shù)據(jù)在傳輸過程中被竊取或篡改。
2. 代碼安全：SDK應(yīng)避免存在已知安全漏洞，并定期進(jìn)行代碼審計(jì)和滲透測(cè)試。
3. 權(quán)限管理：SDK申請(qǐng)的權(quán)限應(yīng)與其功能直接相關(guān)，禁止申請(qǐng)無關(guān)權(quán)限。

六、監(jiān)督與管理

1. 行業(yè)協(xié)會(huì)應(yīng)加強(qiáng)自律，推動(dòng)制定行業(yè)標(biāo)準(zhǔn)，提升SDK安全水平。
2. 相關(guān)主管部門將依法對(duì)App和SDK的合規(guī)性進(jìn)行監(jiān)督檢查，對(duì)違規(guī)行為依法處理。

本指引現(xiàn)向社會(huì)公開征求意見，歡迎各有關(guān)單位和個(gè)人于2023年12月31日前通過電子郵件或信函方式反饋意見。

聯(lián)系方式：
郵箱：[email protected]
地址：北京市某某區(qū)某某路某某號(hào) 國(guó)家互聯(lián)網(wǎng)信息辦公室