隨著移動互聯網的飛速發展，移動應用程序（App）已成為人們日常生活、工作和社會交往中不可或缺的重要組成部分。在App的開發與運營過程中，第三方軟件開發工具包（SDK）因其能夠提供諸如支付、地圖、社交分享、廣告推送、數據分析等便捷功能，而被廣泛集成使用。第三方SDK的引入也帶來了諸多安全與合規風險，包括但不限于違規收集用戶個人信息、過度索取權限、潛在安全漏洞，以及因其自身行為導致App主體承擔法律責任等問題。

為規范App開發運營者合理、安全地使用第三方SDK，保障用戶個人信息和網絡安全，促進移動互聯網行業健康有序發展，相關部門依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規，并結合行業實踐，起草了《移動互聯網應用程序（App）中第三方軟件開發工具包（SDK）安全使用合規指引（征求意見稿）》，現面向社會公開征求意見。

本指引旨在為App開發運營者提供清晰、可操作的安全合規指導，核心內容包括：

1. 責任界定與管理要求：明確App開發運營者作為個人信息處理者，應對其集成的第三方SDK處理個人信息活動承擔管理責任。要求建立第三方SDK準入審核與管理機制，將SDK安全合規能力納入選型評估，并通過合同等形式明確雙方權利義務與安全責任。

1. 全生命周期安全管理：

• 集成前評估：應對擬集成的SDK進行安全與合規評估，重點關注其收集使用個人信息的必要性、最小化原則、權限申請合理性、數據加密與傳輸安全、過往安全事件記錄等。

• 集成中規范：遵循最小必要原則集成SDK功能，避免集成與App業務功能無關的SDK。在App隱私政策中清晰、逐一列明所集成SDK的名稱、提供商、功能、收集的個人信息類型、目的及方式，并確保獲得用戶有效同意。

• 運行中監測：對集成SDK的App進行持續安全監測，及時發現并處置SDK存在的安全漏洞、違規行為或異常數據收集情況。

• 終止后處理：在停止使用或更換SDK時，應確保用戶個人信息得到安全刪除或匿名化處理，并及時更新App及隱私政策。

1. 用戶權益保障：確保用戶享有知情權、同意權、撤回同意權、刪除權等權利。當SDK處理個人信息行為發生變更時，App開發運營者應重新獲取用戶同意。應提供便捷的渠道供用戶行使個人信息相關權利，并協調SDK提供商共同響應用戶訴求。

1. 安全技術能力：鼓勵App開發運營者與SDK提供商采用安全加固、代碼混淆、安全通信協議、數據加密存儲與傳輸等技術手段，提升整體安全防護水平。

1. 應急響應與上報：建立針對第三方SDK安全事件的應急響應預案。一旦發現SDK存在嚴重安全漏洞或發生數據泄露等安全事件，應立即采取處置措施，并按照法律法規要求向主管部門和受影響用戶報告。

此次公開征求意見，旨在廣泛聽取社會各界，特別是廣大App開發運營者、SDK提供商、網絡安全企業、科研機構、專家學者及用戶的寶貴意見和建議，使指引內容更加科學、嚴謹、務實，更具指導性和可操作性。

征求意見截止日期為【請在此處插入具體截止日期】。相關意見或建議可通過電子郵件方式發送至【請在此處插入指定郵箱地址】，或通過信函方式郵寄至【請在此處插入通信地址】。反饋時請注明“SDK安全指引征求意見”字樣。

我們期待您的積極參與和真知灼見，共同筑牢移動互聯網應用的安全基石，營造清朗的網絡空間環境。