為貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī)要求,進(jìn)一步規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序(App)集成使用第三方軟件開發(fā)工具包(SDK)的行為,強(qiáng)化SDK的安全合規(guī)管理,保障用戶個人信息和網(wǎng)絡(luò)安全,促進(jìn)移動互聯(lián)網(wǎng)行業(yè)健康有序發(fā)展,我單位組織起草了《移動互聯(lián)網(wǎng)應(yīng)用程序(App)第三方軟件開發(fā)工具包(SDK)安全合規(guī)指引(征求意見稿)》。現(xiàn)向社會公開征求意見。
一、 征求意見背景與目標(biāo)
隨著移動互聯(lián)網(wǎng)的快速發(fā)展,SDK作為App實現(xiàn)特定功能(如支付、地圖、社交分享、廣告推送等)的重要模塊,被廣泛應(yīng)用。SDK在帶來便利的也因其自身安全漏洞、過度收集個人信息、違規(guī)共享數(shù)據(jù)等問題,成為App安全與個人信息保護(hù)的風(fēng)險點。本指引旨在明確App開發(fā)運營者與SDK提供者在合作中的責(zé)任義務(wù),建立覆蓋SDK全生命周期的安全合規(guī)管理框架,提升整體生態(tài)的安全水位,切實保護(hù)用戶權(quán)益。
二、 征求意見稿主要內(nèi)容
本指引征求意見稿共分為八個章節(jié),主要內(nèi)容包括:
- 總則:闡述了指引的制定目的、依據(jù)、適用范圍、相關(guān)術(shù)語定義以及應(yīng)遵循的基本原則,如合法正當(dāng)、最小必要、權(quán)責(zé)一致、透明可控等。
- 主體責(zé)任:明確了App開發(fā)運營者作為最終責(zé)任主體,應(yīng)對其集成的所有SDK的安全合規(guī)性負(fù)責(zé);同時明確了SDK提供者應(yīng)承擔(dān)的產(chǎn)品安全與合規(guī)保障責(zé)任。
- 安全要求:從SDK的設(shè)計、開發(fā)、發(fā)布、集成、運行到廢棄的全生命周期,提出了具體的安全技術(shù)要求,包括代碼安全、漏洞管理、數(shù)據(jù)安全、通信安全、反編譯保護(hù)等。
- 個人信息保護(hù)合規(guī)要求:重點規(guī)定了SDK處理個人信息應(yīng)遵循的原則,包括明示告知并征得用戶同意、最小必要收集、目的限制、確保數(shù)據(jù)安全、保障用戶權(quán)利(如查詢、更正、刪除、撤回同意)等。特別強(qiáng)調(diào)了SDK的隱私政策應(yīng)獨立、透明,并與App隱私政策有效銜接。
- 數(shù)據(jù)共享與傳輸合規(guī)要求:規(guī)范了SDK與App之間、SDK與其后臺服務(wù)器之間、以及SDK向其他第三方共享或傳輸數(shù)據(jù)的行為,要求必須具有合法依據(jù)、履行告知義務(wù)并采取安全措施。跨境傳輸數(shù)據(jù)需滿足國家相關(guān)規(guī)定。
- 管理流程要求:建議App開發(fā)運營者建立SDK準(zhǔn)入評估、持續(xù)監(jiān)控、應(yīng)急響應(yīng)和退出機(jī)制。建議SDK提供者建立完善的版本管理、漏洞響應(yīng)與修復(fù)、用戶支持等流程。
- 檢測與認(rèn)證:鼓勵各方利用第三方專業(yè)機(jī)構(gòu)對SDK進(jìn)行安全檢測與合規(guī)認(rèn)證,并將結(jié)果作為合作參考。
- 附則:說明了指引的解釋權(quán)和實施日期。
三、 征求意見相關(guān)事宜
歡迎社會各界,特別是廣大App開發(fā)運營者、SDK提供者、安全技術(shù)企業(yè)、行業(yè)組織、科研機(jī)構(gòu)和廣大網(wǎng)民,于[請在此處插入截止日期,例如:2023年XX月XX日]前,通過以下途徑和方式提出寶貴意見:
- 電子郵件:[請在此處插入專用郵箱地址]
- 通信地址:[請在此處插入單位名稱及詳細(xì)地址],請在信封上注明“SDK安全合規(guī)指引征求意見”字樣。
對于收到的意見和建議,我們將認(rèn)真研究,并在進(jìn)一步完善指引時充分考量。感謝對社會信息化發(fā)展與網(wǎng)絡(luò)安全工作的支持!
附件:《移動互聯(lián)網(wǎng)應(yīng)用程序(App)第三方軟件開發(fā)工具包(SDK)安全合規(guī)指引(征求意見稿)》全文
[請在此處插入發(fā)布單位名稱及公章]
[請在此處插入發(fā)布日期]
