01

概述

软件开发工具包（SDK）被广泛应用于各类移动互联网应用程序（App）开发，大幅提升了 APP的开发效率、兼容性和灵活性，并极大节约了开发成本。作为独立的软件组成部分，SDK和APP同样具备收集使用个人信息的能力。但由于SDK的隐蔽性和第三方等特性，APP和用户往往难以感知SDK具体收集使用了哪些个人信息，因此引发的侵犯用户个人信息安全风险吸引多方关注，如2020年7月16日央视 3.15 晚会曝光了SDK未经用户许可窃取个人信息的事件。2020年7月，网信办、工信部、公安部、市监局等四部门联合启动2020年APP违法违规收集使用个人信息治理工作，将SDK治理列为年度治理工作重点。2022年2月18日，工信部首次将 SDK 作为与 APP 并列的项目进行通报，在通报2022年第一批侵害用户权益的APP的同时，提到了13款内嵌第三方软件开发工具包（SDK）存在违规收集用户设备信息的行为。

为进一步加强对移动互联网应用程序信息服务的监督管理，网信办和工信部等多部门先后发布多项规范性文件以加强对SDK的管理；同时，全国信息安全标准化技术委员会（TC260）、中国通信标准化协会（CCSA）与电信终端产业协会（TAF）组织编制了SDK安全的相关标准。本文重点对SDK的个人信息保护合规要点进行梳理，为SDK如何更好地合法合规保障用户个人信息权益提供参考。

02

相关法律法规与规范性文件

图1 相关法律法规与规范性文件

2019年，网信办、工信部、公安部、市监局等四部门联合制定了《App违法违规收集使用个人信息行为认定方法》，最早明确未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等属于违法违规收集使用个人信息的行为。2021年4月，《移动互联网应用程序个人信息保护管理暂行规定》（征求意见稿）对App第三方服务提供者应当履行个人信息保护义务提出了要求。2021年11月，工业和信息化部印发《关于开展信息通信服务感知提升行动的通知》（工信部信管函〔2021〕292号），要求被列入名单的 39 家企业建立个人信息保护“双清单”（已收集个人信息清单和与第三方共享个人信息清单），并简洁清晰列出 APP （包括内嵌第三方软件工具开发包 SDK ）收集和共享个人信息的基本情况。

虽然现行法律法规并未专门针对 SDK 的个人信息权益保障义务进行规定，但是SDK提供者作为网络服务提供者及个人信息处理者，其个人信息保护合规义务应当参照《网络安全法》、《个人信息保护法》中的相关要求。

03

相关标准情况

为配合和支撑SDK个人信息保护要求的监管落地，全国信息安全标准化技术委员会、中国通信标准化协会、电信终端产业协会组织开展了相关标准的编制工作。

图2 相关标准规范进展

其中：

TC260《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》为通用性的安全指引，给出了App使用SDK的相关方责任和常见安全问题，并针对常见问题给出了App提供者和SDK提供者的安全原则和安全措施。该标准适用于App提供者使用SDK时防范SDK安全和合规风险，也适用于SDK提供者保障SDK安全和用户个人信息时参考。

TAF《移动智能终端应用软件SDK安全技术要求》（T/TAF 057-2020）是TAF联盟编制并发布的第一份SDK安全技术要求，该标准较早地给出了SDK相关安全要求，划分了SDK开发者、SDK运营者、APP提供者和APP运营者四个角色，为后续SDK安全标准编制提供参考基础。

CCSA《软件开发包（SDK）个人信息处理规范》规定了对外提供服务的SDK个人信息处理规范，SDK处理个人信息的基本要求、SDK提供者的基本义务以及保障及时响应用户权利的要求。与TAF《软件开发包（SDK）个人信息处理规范》为同步推进的标准，标准内容相同。该标准适用于软件开发包（SDK）提供者对个人信息处理活动进行设计、开发和评估，也适用于主管部门、第三方评估机构等组织对软件开发包的个人信息处理行为进行监督、管理和评估。

TC260《信息安全技术 移动互联网应用程序（APP）SDK安全指南》规定了SDK运营者在SDK生命周期和个人信息处理活动中应遵循的安全要求。同时，也规定了SDK运营者和App运营者在第三方SDK和App联动活动中应遵循的安全要求。该标准适用于SDK的开发、运营和使用，同时也适用于主管部门、第三方评估机构等对SDK安全进行监督和评估。

CCSA《电信和互联网服务 用户个人信息保护技术要求 软件开发工具包（SDK）》由信通院标准所牵头，目前仍在分类梳理讨论中，草稿尚未成型。

相关标准编制状态和推进顺序梳理如下：

图3 相关标准规范关系

小结

可以看到，国家正在逐步完善对SDK的监督和管理，SDK对个人信息安全的合规问题将越来越受重视。上述法律法规、规范性文件和标准对SDK在生命周期和个人信息处理活动中应遵循的安全要求提出相关要求，后续将基于上述标准规范对SDK的个人信息保护合规要点进行梳理，为SDK相关方提升个人信息处理规范性提供参考。

附相关法律法规、规范性文件及标准

《网络安全法》

《个人信息保护法》

《App违法违规收集使用个人信息行为认定方法》

《移动互联网应用程序个人信息保护管理暂行规定》（征求意见稿）

《关于开展信息通信服务感知提升行动的通知》（工信部信管函〔2021〕292号）

TC260-PG-2020 5A《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》——TC260发布

T/TAF 057-2020 《移动智能终端应用软件SDK安全技术要求》—已发布团体标准

《软件开发包（SDK）个人信息处理规范》（送审稿）—TAF团标在研

《软件开发包（SDK）个人信息处理规范》（征求意见稿）—CCSA行标在研

《信息安全技术 移动互联网应用程序（APP）SDK安全指南》（送审稿）—TC260国标在研

《电信和互联网服务 用户个人信息保护技术要求 软件开发工具包（SDK）》——讨论中，暂无文稿

（本文作者：北京快手科技有限公司  王昕、李超然、落红卫）

CCIA数据安全工作委员会单位介绍

北京快手科技有限公司秉承用有温度的科技提升每个人独特的幸福感，致力用科技帮助用户探索世界、连接彼此、共同成长。快速成长的快手，在不断为用户提供“多元、真实、美好、有用”的内容的同时，高度重视对用户个人信息和隐私权益的保护，持续关注用户体验，努力为用户打造安全、健康的美好社区。快手标准化团队参与了多项数据安全相关标准组织的标准化工作，积极通过标准化工作分享快手数据安全治理实践经验，为提升行业数据安全防护水平贡献力量。

原文始发于微信公众号（CCIA数据安全工作委员会）：标准应用｜软件开发工具包（SDK）个人信息保护合规要点与实践（上）