隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)的快速發(fā)展,第三方軟件開發(fā)工具包(SDK)在提升功能開發(fā)效率的也帶來了日益突出的安全合規(guī)問題。為規(guī)范第三方SDK使用行為,保障用戶個(gè)人信息安全,現(xiàn)就《第三方SDK使用合規(guī)指引》公開征求意見。
一、第三方SDK使用合規(guī)基本原則
- 合法正當(dāng)原則:App運(yùn)營(yíng)者應(yīng)確保接入的第三方SDK具備合法資質(zhì),且其數(shù)據(jù)收集、使用行為符合《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)要求。
- 知情同意原則:App應(yīng)在隱私政策中明確告知用戶第三方SDK的類型、功能、收集個(gè)人信息范圍及目的,并取得用戶有效同意。
- 最小必要原則:第三方SDK應(yīng)僅收集實(shí)現(xiàn)功能所必需的個(gè)人信息,不得超范圍收集。
二、第三方SDK安全技術(shù)要求
- 安全評(píng)估機(jī)制:App運(yùn)營(yíng)者應(yīng)在接入前對(duì)第三方SDK進(jìn)行安全檢測(cè),重點(diǎn)關(guān)注數(shù)據(jù)加密、傳輸安全、代碼漏洞等風(fēng)險(xiǎn)點(diǎn)。
- 權(quán)限最小化配置:嚴(yán)格限制第三方SDK的系統(tǒng)權(quán)限申請(qǐng),避免權(quán)限濫用。
- 安全更新機(jī)制:建立第三方SDK漏洞應(yīng)急響應(yīng)流程,及時(shí)推動(dòng)SDK提供方修復(fù)安全缺陷。
三、責(zé)任與監(jiān)督機(jī)制
- 主體責(zé)任明確:App運(yùn)營(yíng)者作為第一責(zé)任人,需對(duì)第三方SDK的合規(guī)性和安全性負(fù)責(zé)。
- 全生命周期管理:建立從SDK選型、接入測(cè)試、運(yùn)行監(jiān)控到退出的管理體系。
- 監(jiān)管協(xié)同:網(wǎng)信、工信等部門將加強(qiáng)對(duì)違規(guī)使用SDK行為的監(jiān)督檢查,依法處置數(shù)據(jù)泄露、違規(guī)收集等問題。
本指引旨在為移動(dòng)互聯(lián)網(wǎng)行業(yè)提供實(shí)操性規(guī)范,現(xiàn)向社會(huì)公開征求意見。請(qǐng)各有關(guān)單位及專業(yè)人士于2023年XX月XX日前通過電子郵件或信函方式反饋建議。我們將在充分吸納意見后正式發(fā)布實(shí)施,共同構(gòu)建安全可靠的移動(dòng)應(yīng)用生態(tài)。
