為應(yīng)對移動互聯(lián)網(wǎng)應(yīng)用程序（App）生態(tài)中第三方軟件開發(fā)工具包（SDK）日益突出的安全問題，相關(guān)主管部門起草了《移動互聯(lián)網(wǎng)應(yīng)用程序第三方SDK使用合規(guī)指引（征求意見稿）》，現(xiàn)面向社會公開征求意見。該指引旨在規(guī)范SDK的集成、使用與數(shù)據(jù)共享行為，強化網(wǎng)絡(luò)與信息安全保障，推動軟件開發(fā)領(lǐng)域的合規(guī)健康發(fā)展。

隨著移動應(yīng)用的普及，SDK作為提供特定功能（如支付、地圖、廣告、社交分享等）的代碼模塊，已成為App開發(fā)不可或缺的組成部分。SDK在提升開發(fā)效率的也帶來了數(shù)據(jù)安全、隱私保護與合規(guī)性等多重挑戰(zhàn)。部分SDK存在過度收集用戶個人信息、違規(guī)共享數(shù)據(jù)、安全漏洞頻發(fā)等問題，不僅侵害了用戶權(quán)益，也給App運營者帶來了法律與聲譽風險。

本次公開的指引征求意見稿，從全生命周期管理的角度，為App開發(fā)運營者與SDK提供方提出了具體的安全合規(guī)要求。主要內(nèi)容包括：

一、責任界定明確化。指引厘清了App運營者作為最終責任主體，應(yīng)對集成SDK的安全性負總責；同時要求SDK提供方公開其功能、權(quán)限與數(shù)據(jù)收集范圍，履行安全告知義務(wù)。雙方需通過合作協(xié)議明確數(shù)據(jù)處理的合法基礎(chǔ)與安全責任劃分。

二、數(shù)據(jù)收集最小化。強調(diào)SDK應(yīng)遵循“最小必要”原則，僅收集實現(xiàn)功能所必需的個人信息，且不得強制捆綁無關(guān)權(quán)限。數(shù)據(jù)共享必須經(jīng)過用戶單獨同意，并提供便捷的撤回同意途徑。

三、安全能力標準化。要求SDK提供方建立完善的安全開發(fā)流程，及時修復(fù)已知漏洞，并通過安全檢測認證。App運營者需對集成的SDK進行安全評估，并持續(xù)監(jiān)測其運行狀態(tài)。

四、透明告知規(guī)范化。App隱私政策中應(yīng)清晰列明所集成SDK的名稱、目的、收集信息類型及提供方信息，不得使用“等、例如”模糊概括。在用戶首次調(diào)用SDK功能前，應(yīng)通過彈窗等顯著方式提示。

五、違規(guī)處置機制化。建立SDK安全風險上報與處置通道，對存在惡意行為或重大安全隱患的SDK，App運營者應(yīng)及時采取斷開連接、停止集成等措施，并向主管部門報告。

網(wǎng)絡(luò)與信息安全是數(shù)字經(jīng)濟的基石。該指引的制定，體現(xiàn)了我國在新技術(shù)、新業(yè)態(tài)發(fā)展中統(tǒng)籌安全與發(fā)展的治理思路。通過規(guī)范SDK這一關(guān)鍵環(huán)節(jié)，有助于構(gòu)建更加清朗的移動互聯(lián)網(wǎng)環(huán)境，保護廣大網(wǎng)民的合法權(quán)益，同時為負責任的軟件開發(fā)企業(yè)提供明確的合規(guī)指引。

目前，征求意見稿已在指定平臺公布。相關(guān)行業(yè)協(xié)會、企事業(yè)單位、專家學(xué)者及社會公眾可在截止日期前，通過電子郵件或在線提交方式反饋意見。期待各界積極參與，共同完善這一重要規(guī)范，推動移動互聯(lián)網(wǎng)生態(tài)行穩(wěn)致遠。