随着移动互联网应用程序(App)的快速发展,第三方软件开发工具包(SDK)在提升功能开发效率的也带来了日益突出的安全合规问题。为规范第三方SDK使用行为,保障用户个人信息安全,现就《第三方SDK使用合规指引》公开征求意见。
一、第三方SDK使用合规基本原则
- 合法正当原则:App运营者应确保接入的第三方SDK具备合法资质,且其数据收集、使用行为符合《网络安全法》《个人信息保护法》等法律法规要求。
- 知情同意原则:App应在隐私政策中明确告知用户第三方SDK的类型、功能、收集个人信息范围及目的,并取得用户有效同意。
- 最小必要原则:第三方SDK应仅收集实现功能所必需的个人信息,不得超范围收集。
二、第三方SDK安全技术要求
- 安全评估机制:App运营者应在接入前对第三方SDK进行安全检测,重点关注数据加密、传输安全、代码漏洞等风险点。
- 权限最小化配置:严格限制第三方SDK的系统权限申请,避免权限滥用。
- 安全更新机制:建立第三方SDK漏洞应急响应流程,及时推动SDK提供方修复安全缺陷。
三、责任与监督机制
- 主体责任明确:App运营者作为第一责任人,需对第三方SDK的合规性和安全性负责。
- 全生命周期管理:建立从SDK选型、接入测试、运行监控到退出的管理体系。
- 监管协同:网信、工信等部门将加强对违规使用SDK行为的监督检查,依法处置数据泄露、违规收集等问题。
本指引旨在为移动互联网行业提供实操性规范,现向社会公开征求意见。请各有关单位及专业人士于2023年XX月XX日前通过电子邮件或信函方式反馈建议。我们将在充分吸纳意见后正式发布实施,共同构建安全可靠的移动应用生态。
