为应对移动互联网应用程序(App)生态中第三方软件开发工具包(SDK)日益突出的安全问题,相关主管部门起草了《移动互联网应用程序第三方SDK使用合规指引(征求意见稿)》,现面向社会公开征求意见。该指引旨在规范SDK的集成、使用与数据共享行为,强化网络与信息安全保障,推动软件开发领域的合规健康发展。
随着移动应用的普及,SDK作为提供特定功能(如支付、地图、广告、社交分享等)的代码模块,已成为App开发不可或缺的组成部分。SDK在提升开发效率的也带来了数据安全、隐私保护与合规性等多重挑战。部分SDK存在过度收集用户个人信息、违规共享数据、安全漏洞频发等问题,不仅侵害了用户权益,也给App运营者带来了法律与声誉风险。
本次公开的指引征求意见稿,从全生命周期管理的角度,为App开发运营者与SDK提供方提出了具体的安全合规要求。主要内容包括:
一、责任界定明确化。指引厘清了App运营者作为最终责任主体,应对集成SDK的安全性负总责;同时要求SDK提供方公开其功能、权限与数据收集范围,履行安全告知义务。双方需通过合作协议明确数据处理的合法基础与安全责任划分。
二、数据收集最小化。强调SDK应遵循“最小必要”原则,仅收集实现功能所必需的个人信息,且不得强制捆绑无关权限。数据共享必须经过用户单独同意,并提供便捷的撤回同意途径。
三、安全能力标准化。要求SDK提供方建立完善的安全开发流程,及时修复已知漏洞,并通过安全检测认证。App运营者需对集成的SDK进行安全评估,并持续监测其运行状态。
四、透明告知规范化。App隐私政策中应清晰列明所集成SDK的名称、目的、收集信息类型及提供方信息,不得使用“等、例如”模糊概括。在用户首次调用SDK功能前,应通过弹窗等显著方式提示。
五、违规处置机制化。建立SDK安全风险上报与处置通道,对存在恶意行为或重大安全隐患的SDK,App运营者应及时采取断开连接、停止集成等措施,并向主管部门报告。
网络与信息安全是数字经济的基石。该指引的制定,体现了我国在新技术、新业态发展中统筹安全与发展的治理思路。通过规范SDK这一关键环节,有助于构建更加清朗的移动互联网环境,保护广大网民的合法权益,同时为负责任的软件开发企业提供明确的合规指引。
目前,征求意见稿已在指定平台公布。相关行业协会、企事业单位、专家学者及社会公众可在截止日期前,通过电子邮件或在线提交方式反馈意见。期待各界积极参与,共同完善这一重要规范,推动移动互联网生态行稳致远。
