隨著移動互聯(lián)網(wǎng)應(yīng)用程序(App)的快速發(fā)展,第三方軟件開發(fā)工具包(SDK)在提升功能開發(fā)效率的也帶來了日益突出的安全合規(guī)問題。為規(guī)范第三方SDK使用行為,保障用戶個人信息安全,現(xiàn)就《第三方SDK使用合規(guī)指引》公開征求意見。
一、第三方SDK使用合規(guī)基本原則
- 合法正當原則:App運營者應(yīng)確保接入的第三方SDK具備合法資質(zhì),且其數(shù)據(jù)收集、使用行為符合《網(wǎng)絡(luò)安全法》《個人信息保護法》等法律法規(guī)要求。
- 知情同意原則:App應(yīng)在隱私政策中明確告知用戶第三方SDK的類型、功能、收集個人信息范圍及目的,并取得用戶有效同意。
- 最小必要原則:第三方SDK應(yīng)僅收集實現(xiàn)功能所必需的個人信息,不得超范圍收集。
二、第三方SDK安全技術(shù)要求
- 安全評估機制:App運營者應(yīng)在接入前對第三方SDK進行安全檢測,重點關(guān)注數(shù)據(jù)加密、傳輸安全、代碼漏洞等風險點。
- 權(quán)限最小化配置:嚴格限制第三方SDK的系統(tǒng)權(quán)限申請,避免權(quán)限濫用。
- 安全更新機制:建立第三方SDK漏洞應(yīng)急響應(yīng)流程,及時推動SDK提供方修復(fù)安全缺陷。
三、責任與監(jiān)督機制
- 主體責任明確:App運營者作為第一責任人,需對第三方SDK的合規(guī)性和安全性負責。
- 全生命周期管理:建立從SDK選型、接入測試、運行監(jiān)控到退出的管理體系。
- 監(jiān)管協(xié)同:網(wǎng)信、工信等部門將加強對違規(guī)使用SDK行為的監(jiān)督檢查,依法處置數(shù)據(jù)泄露、違規(guī)收集等問題。
本指引旨在為移動互聯(lián)網(wǎng)行業(yè)提供實操性規(guī)范,現(xiàn)向社會公開征求意見。請各有關(guān)單位及專業(yè)人士于2023年XX月XX日前通過電子郵件或信函方式反饋建議。我們將在充分吸納意見后正式發(fā)布實施,共同構(gòu)建安全可靠的移動應(yīng)用生態(tài)。
