关于移动互联网应用程序（App）中第三方软件开发工具包（SDK）安全使用合规指引的公开征求意见

随着移动互联网的飞速发展，移动应用程序（App）已成为人们日常生活、工作和社会交往中不可或缺的重要组成部分。在App的开发与运营过程中，第三方软件开发工具包（SDK）因其能够提供诸如支付、地图、社交分享、广告推送、数据分析等便捷功能，而被广泛集成使用。第三方SDK的引入也带来了诸多安全与合规风险，包括但不限于违规收集用户个人信息、过度索取权限、潜在安全漏洞，以及因其自身行为导致App主体承担法律责任等问题。

为规范App开发运营者合理、安全地使用第三方SDK，保障用户个人信息和网络安全，促进移动互联网行业健康有序发展，相关部门依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，并结合行业实践，起草了《移动互联网应用程序（App）中第三方软件开发工具包（SDK）安全使用合规指引（征求意见稿）》，现面向社会公开征求意见。

本指引旨在为App开发运营者提供清晰、可操作的安全合规指导，核心内容包括：

1. 责任界定与管理要求：明确App开发运营者作为个人信息处理者，应对其集成的第三方SDK处理个人信息活动承担管理责任。要求建立第三方SDK准入审核与管理机制，将SDK安全合规能力纳入选型评估，并通过合同等形式明确双方权利义务与安全责任。

1. 全生命周期安全管理：

• 集成前评估：应对拟集成的SDK进行安全与合规评估，重点关注其收集使用个人信息的必要性、最小化原则、权限申请合理性、数据加密与传输安全、过往安全事件记录等。

• 集成中规范：遵循最小必要原则集成SDK功能，避免集成与App业务功能无关的SDK。在App隐私政策中清晰、逐一列明所集成SDK的名称、提供商、功能、收集的个人信息类型、目的及方式，并确保获得用户有效同意。

• 运行中监测：对集成SDK的App进行持续安全监测，及时发现并处置SDK存在的安全漏洞、违规行为或异常数据收集情况。

• 终止后处理：在停止使用或更换SDK时，应确保用户个人信息得到安全删除或匿名化处理，并及时更新App及隐私政策。

1. 用户权益保障：确保用户享有知情权、同意权、撤回同意权、删除权等权利。当SDK处理个人信息行为发生变更时，App开发运营者应重新获取用户同意。应提供便捷的渠道供用户行使个人信息相关权利，并协调SDK提供商共同响应用户诉求。

1. 安全技术能力：鼓励App开发运营者与SDK提供商采用安全加固、代码混淆、安全通信协议、数据加密存储与传输等技术手段，提升整体安全防护水平。

1. 应急响应与上报：建立针对第三方SDK安全事件的应急响应预案。一旦发现SDK存在严重安全漏洞或发生数据泄露等安全事件，应立即采取处置措施，并按照法律法规要求向主管部门和受影响用户报告。

此次公开征求意见，旨在广泛听取社会各界，特别是广大App开发运营者、SDK提供商、网络安全企业、科研机构、专家学者及用户的宝贵意见和建议，使指引内容更加科学、严谨、务实，更具指导性和可操作性。

征求意见截止日期为【请在此处插入具体截止日期】。相关意见或建议可通过电子邮件方式发送至【请在此处插入指定邮箱地址】，或通过信函方式邮寄至【请在此处插入通信地址】。反馈时请注明“SDK安全指引征求意见”字样。

我们期待您的积极参与和真知灼见，共同筑牢移动互联网应用的安全基石，营造清朗的网络空间环境。