為規范移動互聯網應用程序（App）中第三方軟件開發工具包（SDK）的使用，保障用戶個人信息安全和網絡數據安全，現制定本指引并公開征求意見。

一、適用范圍
本指引適用于在中華人民共和國境內運營的移動互聯網應用程序集成、使用第三方SDK的相關活動，包括App開發者和第三方SDK提供者。

二、基本原則

1. 合法合規原則：App開發者和SDK提供者應遵守《網絡安全法》《數據安全法》《個人信息保護法》等法律法規，確保SDK的集成和使用符合國家相關規定。
2. 最小必要原則：SDK的權限申請、個人信息收集和使用應限于實現產品功能或服務的最小范圍。
3. 透明告知原則：App開發者應向用戶明示SDK收集、使用個人信息的目的、方式和范圍，并取得用戶同意。

三、App開發者的責任與義務

1. 在選擇第三方SDK時，應進行安全評估，優先選用信譽良好、安全合規的SDK產品。
2. 在集成SDK前，應與SDK提供者簽訂協議，明確雙方在數據安全、個人信息保護等方面的責任。
3. 在App隱私政策中，應清晰、完整地披露集成的SDK名稱、功能、收集的個人信息類型及目的。
4. 定期對集成的SDK進行安全檢測，發現安全漏洞或合規風險時及時采取整改措施。

四、第三方SDK提供者的責任與義務

1. 應遵循國家相關標準，確保SDK的安全性、穩定性和兼容性。
2. 不得超范圍收集個人信息，不得在用戶未同意的情況下共享、轉讓個人信息。
3. 應向App開發者提供詳細的技術文檔和安全說明，協助開發者履行告知義務。
4. 建立應急響應機制，對發現的安全漏洞及時修復并通知合作方。

五、技術安全要求

1. 數據傳輸安全：SDK與服務器之間的通信應使用加密協議，防止數據在傳輸過程中被竊取或篡改。
2. 代碼安全：SDK應避免存在已知安全漏洞，并定期進行代碼審計和滲透測試。
3. 權限管理：SDK申請的權限應與其功能直接相關，禁止申請無關權限。

六、監督與管理

1. 行業協會應加強自律，推動制定行業標準，提升SDK安全水平。
2. 相關主管部門將依法對App和SDK的合規性進行監督檢查，對違規行為依法處理。

本指引現向社會公開征求意見，歡迎各有關單位和個人于2023年12月31日前通過電子郵件或信函方式反饋意見。

聯系方式：
郵箱：[email protected]
地址：北京市某某區某某路某某號 國家互聯網信息辦公室