为规范移动互联网应用程序（App）中第三方软件开发工具包（SDK）的使用，保障用户个人信息安全和网络数据安全，现制定本指引并公开征求意见。

一、适用范围
本指引适用于在中华人民共和国境内运营的移动互联网应用程序集成、使用第三方SDK的相关活动，包括App开发者和第三方SDK提供者。

二、基本原则

1. 合法合规原则：App开发者和SDK提供者应遵守《网络安全法》《数据安全法》《个人信息保护法》等法律法规，确保SDK的集成和使用符合国家相关规定。
2. 最小必要原则：SDK的权限申请、个人信息收集和使用应限于实现产品功能或服务的最小范围。
3. 透明告知原则：App开发者应向用户明示SDK收集、使用个人信息的目的、方式和范围，并取得用户同意。

三、App开发者的责任与义务

1. 在选择第三方SDK时，应进行安全评估，优先选用信誉良好、安全合规的SDK产品。
2. 在集成SDK前，应与SDK提供者签订协议，明确双方在数据安全、个人信息保护等方面的责任。
3. 在App隐私政策中，应清晰、完整地披露集成的SDK名称、功能、收集的个人信息类型及目的。
4. 定期对集成的SDK进行安全检测，发现安全漏洞或合规风险时及时采取整改措施。

四、第三方SDK提供者的责任与义务

1. 应遵循国家相关标准，确保SDK的安全性、稳定性和兼容性。
2. 不得超范围收集个人信息，不得在用户未同意的情况下共享、转让个人信息。
3. 应向App开发者提供详细的技术文档和安全说明，协助开发者履行告知义务。
4. 建立应急响应机制，对发现的安全漏洞及时修复并通知合作方。

五、技术安全要求

1. 数据传输安全：SDK与服务器之间的通信应使用加密协议，防止数据在传输过程中被窃取或篡改。
2. 代码安全：SDK应避免存在已知安全漏洞，并定期进行代码审计和渗透测试。
3. 权限管理：SDK申请的权限应与其功能直接相关，禁止申请无关权限。

六、监督与管理

1. 行业协会应加强自律，推动制定行业标准，提升SDK安全水平。
2. 相关主管部门将依法对App和SDK的合规性进行监督检查，对违规行为依法处理。

本指引现向社会公开征求意见，欢迎各有关单位和个人于2023年12月31日前通过电子邮件或信函方式反馈意见。

联系方式：
邮箱：[email protected]
地址：北京市某某区某某路某某号 国家互联网信息办公室