阶 段

安 全 要 求

设计

• SDK仅包含与其声明功能相符合的功能；

• SDK宜提供单独控制热更新功能开启或关闭的选项，并确保App运营者在不接受热更新功能的情况下仍可正常使用SDK其他功能；

• 在非服务所必需或者无合理场景下，SDK不得自启动或关联启动其他App。

开发

• 对SDK进行代码审计和安全风险检测；

• 宜对SDK采用安全技术措施提高逆向分析的难度；

• SDK与服务端之间的接口应进行保护；

• 对于部分安全要求较高的SDK服务类型（如广告、支付、认证、安全风控等类型），应对SDK进行安全性测试；

• 符合GB/T 34975—2017《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》第4.1.5.1、4.1.5.2、4.1.5.3节的要求。

部署

• 在官方网站、开源社区、公共仓库或以其他方式提供SDK下载文件、集成文档和API文档、隐私政策等，并对目前可用的历史SDK版本进行管理，提供版本迭代的功能变化说明；

• 在官方网站、开源社区、集成文档或隐私政策中声明SDK所具有的全部功能以及是否存在热更新行为，并具体说明热更新的功能和作用；

• 提供完整性校验机制；

• 通过公共仓库进行SDK分发时应对公共仓库账号进行妥善保管。

运营

• 宜向App运营者提供SDK安全能力说明及安全评估报告；

• 在进行热更新操作前通知App运营者，在涉及用户利益受损的紧急情况下，应在紧急情况消除后及时告知；

• 建立投诉管理机制和投诉跟踪反馈流程，并在接到投诉后10个工作日内进行响应；

• 因SDK引发个人信息安全事件的，应按照GB/T 35273—2020第10章关于个人信息安全事件处置的要求进行处置；

• SDK停止运营前，应提前告知受影响的App运营者。

阶 段

安 全 要 求

存储

• 个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外，超出上述期限后，应进行删除或匿名化处理；

• 对SDK运行所使用的文件、数据库中的个人信息进行加密存储以及完整性校验；

• 对在服务端存储的个人信息进行数据存储区域隔离、访问控制和异常访问行为监控。

传输

• 传输敏感个人信息前应提供区别其它个人信息的安全保障，如单独加密；

• 与App运营者之间传输敏感个人信息应采取加密处理等技术安全措施。

删除

• 向App运营者提供个人信息删除机制，当终端用户通过App行使个人信息删除权时，需要对相应个人信息进行删除或做匿名化处理；

• SDK停止运营后，若存在收集个人信息的情形，应删除从App收集的个人信息或做匿名化处理。

阶 段

安 全 要 求

使用

和

加工

• 应与隐私政策等形式中声明的内容保持一致；

• 如果需要对目的进行变更，应重新告知App运营者，并通过App告知用户并征得用户同意；

• 基于最小必要授权原则访问通过SDK收集的个人信息；

• 优先在移动终端本地使用和加工个人信息；

• 满足GB/T 35273—2020第7章的个人信息使用要求。

提供

向App运营者之外的其他机构或个人提供其处理的个人信息时：

• 应按照法律法规的规定取得直接或间接用户授权；

• 宜进行匿名化或去标识化处理，确保数据接收方无法重新识别或者关联终端用户；

• 与数据接收方通过合同等形式明确双方的责任和义务；

• 满足GB/T 35273—2020第9.1、9.2、9.6节的要求。

公开

• 已按法律法规要求取得终端用户单独同意和App运营者同意的个人信息；

• 法律法规规定无需取得个人信息主体同意的个人信息。

阶 段

SDK运营者

App运营者

接入期

• 提供包括SDK下载文件、集成文档和API文档、隐私政策等，同时告知SDK处理个人信息的范围、种类、使用目的、需申请的相关权限、问题反馈和投诉渠道等，对于申请的权限应说明申请权限触发的时机和其必要性；

• 宜提供SDK的相关安全检测报告；

• 若为私有化部署，应提供相关的部署资源要求以及详细部署方案。

• 以结构化的清单形式逐项列举所使用的有个人信息收集行为的SDK信息，包括SDK名称、SDK包名、主体名称、合作目的、收集个人信息字段及处理目的、申请的权限、SDK隐私政策；

• 共同处理个人信息：双方协商确定如何告知用户，并征得用户的同意以及提供用户权利保障功能；

• 委托处理：若SDK运营者作为受托方，应由App运营者告知用户征得用户同意，并提供用户权利保障功能；

• 单独处理：若SDK运营者单独处理个人信息、需要征得用户同意并提供用户权利保障功能的，App运营者应协助SDK运营者实现相应功能；

• 对集成的SDK进行来源确认和完整性校验；

• 满足GB/T 41391—2022《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中6.6.2 a)至d)的要求。

运营期

• 监测到SDK崩溃率上升等风险，应告知App运营者并及时进行修复，并配合App运营者重新集成修复后的SDK；

• 发现安全漏洞，应告知App运营者，并按照GB/T 30276—2020《信息安全技术 网络安全漏洞管理规范》中5.4 a）的要求完成漏洞处置以及配合App运营者重新集成修复后的SDK；

• 建立响应终端用户请求和投诉机制，配合App向终端用户提供易于操作的实现机制；

• 如果发现App运营者未能向终端用户告知个人信息处理规则，或存在其他不符合要求的情形，应主动提示其及时改进。

• 宜对集成后的SDK进行持续安全监测或定期进行安全评估；

• 对于已经发现安全漏洞的SDK，应要求SDK运营者及时修复安全漏洞并更换修复后的SDK；

• 对于已经发现存在恶意行为的SDK，应停止使用；

• 满足GB/T 41391—2022《信息安全技术  移动互联网应用程序（App）收集个人信息基本要求》中6.6.2 e)和f)的要求。

退出期

• App运营者停止接入SDK并通知SDK运营者后，SDK运营者应停止继续通过该App收集个人信息；

• App运营者停止接入SDK并通知SDK运营者后，若SDK运营者存在收集个人信息的，应按约定和授权范围，删除通过该App收集的个人信息或对其做匿名化处理。

• 若SDK存在通过本App收集个人信息的，应督促SDK运营者按约定和授权范围，删除通过本App收集的个人信息或对其做匿名化处理；

• SDK收集的个人信息如有传输给App运营者的，App运营者应按照约定和授权范围，删除该部分个人信息或对其做匿名化处理；

• 应满足GB/T 41391—2022中6.6.2 g)的要求。

SDK运营者

App运营者

通过合同等形式共同约定双方在防止恶意行为、安全漏洞响应、数据安全防护、个人信息安全保护方面各自应承担的责任和义务。

/

整体把控SDK的使用和配置，对接入的第三方SDK有审查义务。

对SDK范围内的安全防护负责，对App运营者有披露收集的个人信息字段、权限以及收集目的、用途的义务，还应告知App运营者使用和配置SDK的要求。

/

CCIA数据安全工作委员会单位介绍

北京腾云天下科技有限公司（TalkingData） 成立于2011年，是国内领先的数据服务提供商。TalkingData秉承“数据改变企业决策，数据改善人类生活”的愿景，围绕TalkingData SmartDP数据智能平台（TalkingData数据中台）、数据安全岛构建“连接、安全、共享”的数据智能应用生态，致力于用数据+科技的能力为合作伙伴创造价值，帮助商业企业和现代社会实现以数据为驱动力的智能化转型。已在加速金融、零售、互联网、智慧城市等众多行业和领域数字化进程的实践中积累了丰富经验