2023移動互聯(lián)網(wǎng)應(yīng)用程序（App）接入軟件開發(fā)工具包（SDK）信息安全指南

移動互聯(lián)網(wǎng)應(yīng)用程序（App）接入軟件開發(fā)工具包（SDK）信息安全指南目??次前??言 2范圍 3規(guī)范性引用文件 3術(shù)語和定義 3縮略語 4概述 5SDK概述 5SDK使用場景與角色關(guān)系 5App與SDK責(zé)任劃分 5SDK安全風(fēng)險 6SDK安全漏洞 6SDK惡意行為 6SDK違規(guī)處理個人信息 6App接入SDK安全原則 7App接入SDK安全指南 7App接入SDK生命周期 7設(shè)計階段 8開發(fā)階段 9運營階段 10退出階段 11參考文獻(xiàn) 121移動互聯(lián)網(wǎng)應(yīng)用程序（App）接入軟件開發(fā)工具包（SDK）信息安全指南范圍AppSDKAppSDK本文件適用于AppSDK規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35273信息安全技術(shù)個人信息安全規(guī)范TC20-P-2005A（ApSDK）安全指引術(shù)語和定義GB/T25069—2020界定的以及下列術(shù)語和定義適用于本文件。3.1移動互聯(lián)網(wǎng)應(yīng)用程序mobileinternetapplication安裝、運行在移動智能終端上并為用戶提供服務(wù)的應(yīng)用程序，簡稱App。3.2移動互聯(lián)網(wǎng)應(yīng)用程序提供者mobileinternetapplicationprovider移動互聯(lián)網(wǎng)應(yīng)用程序的開發(fā)者、運營者或所有者，簡稱App提供者。[來源:TC260-PG-20205A，2.2]3.3軟件開發(fā)工具包softwaredevelopmentkitSDKSDK，是指App特定功能的代碼進(jìn)行封裝，向外提供簡捷的調(diào)用接口的二進(jìn)制文件。[來源:TC260-PG-20205A，2.3，有修改：“指南”改為“文件”]3.4第三方軟件開發(fā)工具包third-partysoftwaredevelopmentkit由移動互聯(lián)網(wǎng)應(yīng)用程序運營者之外的其他法人實體提供的軟件開發(fā)工具包。3.53軟件開發(fā)工具包提供者softwaredevelopmentkitprovider軟件開發(fā)工具包的開發(fā)者、運營者或所有者，簡稱SDK提供者。[來源:TC260-PG-20205A，2.4]3.6自啟動self-startup在用戶無操作的情況下程序自行啟動。本文件中的自啟動，是指在用戶沒有直接操作某個App的情況下，SDK自行拉起自身進(jìn)程并成功運行。3.7關(guān)聯(lián)啟動coupling-startup在用戶無操作的情況下程序A自行啟動程序B。本文件中的關(guān)聯(lián)啟動，是指在用戶沒有直接使用某個SDK或App對應(yīng)的功能時，其進(jìn)程已被另一個SDK拉起并成功運行。3.8個人信息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標(biāo)簽，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。[來源:GB/T35273-2020，3.1，有修改]3.9個人敏感信息personalsensitiveinformation注1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。注2：個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的，屬于個人敏感信息。[來源:GB/T35273-2020，3.1，有修改]3.10開源opensource源代碼公開，指軟件的使用者可以獲得其源代碼。3.11閉源closedsource源代碼不公開，指軟件的使用者無法獲得其源代碼?？s略語4下列縮略語適用于本文件。App 移動互聯(lián)網(wǎng)應(yīng)用程序.........................MobileInternetApplicationSDK 軟件開發(fā)工具包SoftwareDevelopmentKitAPI 應(yīng)用程序編程接口...............ApplicationProgrammingInterface概述SDKSDK一般形式為代碼或運行庫，提供獨立、明確的功能，被廣泛應(yīng)用于各類App開發(fā)中，以提高APP開發(fā)和運營的效率，其具體分類可參考TC260-PG-20205A3.2。作為App具有跟AppApp調(diào)取系統(tǒng)APIApp無法在實際運行過程中對SDKSDK的引入就會擴(kuò)大App的攻擊面，導(dǎo)致用戶面臨著更大的安全風(fēng)險。SDK圖1App接入SDK示意圖如圖1所示，SDK的使用場景通常涉及到SDK提供者、App提供者和終端用戶三方角色：SDK提供者：作為SDK的設(shè)計和開發(fā)人員，SDK提供者負(fù)責(zé)對SDK的功能代碼進(jìn)行封裝并對外提供API、API文檔、SDK接入文檔、個人信息處理規(guī)則說明文檔。AppApp提供者負(fù)責(zé)通過調(diào)用SDK所提供的API來將其嵌入到AppSDKSDK（或界面元素提供者也應(yīng)當(dāng)將其嵌入到App的交互界面中。AppApp的相應(yīng)功能來間接使用的嵌入對終端用戶而言通常是沒有感知的；但倘若SDK具有相對獨立的交互界面（或界面元素），用戶可能會感知到SDK的存在。提供者和App（即指App提供者使用自行開發(fā)的SDK稱為第三方SDKAppSDK5SDK提供者和App提供者應(yīng)按照自身角色承擔(dān)相應(yīng)的責(zé)任和義務(wù)：SDK提供者應(yīng)對該SDK的安全防護(hù)負(fù)責(zé)，應(yīng)詳細(xì)告知App提供者安全使用和配置SDK的要求。SDK提供者應(yīng)對該SDKApp提供者披露收集使用個人信息的相關(guān)情況。App提供者應(yīng)對SDK的引入負(fù)責(zé)，應(yīng)當(dāng)整體把控SDK的使用和配置，具有審查和安全管理義務(wù)。APP提供者應(yīng)對其自身和第三方SDK的個人信息處理規(guī)則的公示負(fù)責(zé)，應(yīng)當(dāng)向用戶披露接入的第三方SDK的個人信息收集使用的情況，協(xié)助第三方SDK提供者取得APP用戶的授權(quán)同意。SDKSDKSDK自身可能存在安全漏洞并由此對App的安全性造成威脅，其常見分類和具體漏洞信息可參考TC260-PG-20205A4.1。SDKSDK的主觀惡意行為可能會破壞App4.2。SDK個人信息收集SDK收集個人信息時，違法收集個人信息、過度收集個人信息、未充分告知處理目的及未經(jīng)用戶授權(quán)同意收集個人信息的風(fēng)險。個人信息存儲SDK存儲個人信息時，未采取充分安全的保護(hù)措施及機(jī)制造成數(shù)據(jù)泄露的風(fēng)險；存儲時間超過個人信息主體授權(quán)使用目的所必需的最短時間。個人信息使用SDK提供者在使用個人信息時，超范圍使用個人信息、過多授權(quán)人員使用個人信息、展示的個人信息未做去標(biāo)識化處理等導(dǎo)致數(shù)據(jù)泄露等風(fēng)險。個人信息加工SDK提供者在加工個人信息時，在不具備合法性基礎(chǔ)的前提下對個人信息過度挖掘、造成用戶焦慮恐慌的風(fēng)險。個人信息傳輸SDK在傳輸個人信息時，未對個人信息進(jìn)行加密或未采取充分安全的傳輸協(xié)議導(dǎo)致數(shù)據(jù)泄露的風(fēng)險。個人信息對外提供SDK提供者對除了APP6SDK提供者委托第三方處理個人信息時，在無其他合法性基礎(chǔ)情況下，未對用戶針對個人信息處理個人信息公開SDK提供者在無其他合法性基礎(chǔ)情況下，超出合理范圍公開個人信息、未向用戶告知公開披露個人信息的目的、類型，并征得其明示同意或公開個人信息給用戶權(quán)益造成重大影響的風(fēng)險。個人信息刪除SDK完成業(yè)務(wù)功能及目的、用戶撤回同意、SDK提供者停止提供產(chǎn)品或服務(wù)或超出最短存儲期限后，在無其他合法性基礎(chǔ)情況下，未及時刪除或匿名化處理用戶個人信息的風(fēng)險。個人信息跨境提供SDK提供者未經(jīng)用戶同意、未履行法律規(guī)定的相關(guān)要求，向中華人民共和國境外提供個人信息的風(fēng)險。AppSDK在App接入SDK的全流程中，App提供者和SDK提供者應(yīng)遵循以下九項安全原則：全周期管理：針對所接入的SDK，App提供者應(yīng)對其進(jìn)行接入前審核、使用中監(jiān)控、和退出時審計追溯，在發(fā)現(xiàn)違規(guī)行為時確保能夠及時終止。權(quán)責(zé)一致：App提供者和SDK提供者應(yīng)按照自身角色承擔(dān)相應(yīng)的責(zé)任和義務(wù)。目的明確：選用SDK時，App提供者應(yīng)當(dāng)首先明確自身的業(yè)務(wù)需求并選擇與此具有直接關(guān)聯(lián)且個人信息處理目的合理、清晰、明確的SDK。最小必要SDK提供者應(yīng)在滿足自身業(yè)務(wù)需求的前提下選擇最少夠用的SDK公開透明提供者應(yīng)以合理清晰的方式向App提供者公開披露SDK目的和規(guī)則等，且其實際行為應(yīng)與該聲明保持一致。告知同意：App提供者應(yīng)以合理清晰的方式向終端用戶披露所嵌入的SDK及其處理個人信息的范圍、目的、規(guī)則和SDK隱私政策等，且應(yīng)當(dāng)征得用戶授權(quán)同意。確保安全：在接入SDK的過程中，App提供者應(yīng)當(dāng)使用足夠的技術(shù)手段和管理措施來保證用戶個人信息的安全性，且SDK提供者應(yīng)當(dāng)在此過程中提供相應(yīng)的幫助和支持。權(quán)限可控：App提供者應(yīng)將SDK的所有個人信息處理權(quán)限申請和使用納入管理范圍，確保能夠有效防止個人信息的非授權(quán)處理。主體參與：SDK提供者應(yīng)當(dāng)保證用戶的主體權(quán)益，向用戶或APP提供者提供得以查詢、更正、刪除其個人信息以及進(jìn)行撤回授權(quán)同意和投訴建議的有效方法，且App提供者應(yīng)當(dāng)協(xié)助在交互界面上向用戶明示SDK提供者實現(xiàn)用戶權(quán)益相應(yīng)的途徑。AppSDKAppSDK如圖2App接入SDK的生命周期劃分為四個階段：設(shè)計、開發(fā)、運營和退出。7圖2App接入SDK生命周期示意圖注：這里的“退出”主要包含五種情況：（1）App下線；（2）SDK下線；（3）App停用SDK；（4）用戶不再使用App；（5）用戶不再使用SDK。設(shè)計階段AppApp提供者應(yīng)明確自身業(yè)務(wù)需求并在此基礎(chǔ)上充分評估接入SDKApp提供者應(yīng)當(dāng)建立針對SDK引入的安全合規(guī)審核機(jī)制并制定明確的審核標(biāo)準(zhǔn)，且審核過程中App提供者宜優(yōu)先選用SDK的穩(wěn)定或官方推薦版本。8對于開源提供者應(yīng)當(dāng)根據(jù)其公開代碼和文檔自行對SDK明確SDK的功能、信息收集范圍和安全要求等并據(jù)此形成用于安全合規(guī)審核的評審文檔。對于閉源提供者應(yīng)當(dāng)利用SDK對于委托第三方定制開發(fā)的提供者應(yīng)根據(jù)自身業(yè)務(wù)需求明確SDKSDK提供者應(yīng)當(dāng)利用SDK提供者所提供的的評審文檔進(jìn)行安全合規(guī)審核。若SDK涉及將數(shù)據(jù)對外共享或傳輸給任何App提供者以外的第三方機(jī)構(gòu)或人員的行為，則App提供者應(yīng)對其數(shù)據(jù)權(quán)限進(jìn)行單獨評估和審批，并取得用戶的同意。對于涉及到個人信息處理的，App提供者應(yīng)通過合同、合作協(xié)議等形式與SDK提供者達(dá)成合作SDKSDKSDK提供者應(yīng)明確自身功能需求并在此基礎(chǔ)上充分評估收集使用個人信息和申請敏感權(quán)限的必要性，其所收集使用的個人信息和申請的敏感權(quán)限不應(yīng)超出其業(yè)務(wù)功能的直接關(guān)聯(lián)范圍。若確有必要，應(yīng)將收集使用個人信息和申請敏感權(quán)限的頻率降低至實現(xiàn)自身業(yè)務(wù)功能所必需的最低頻率。SDK提供者應(yīng)當(dāng)配合App提供者進(jìn)行SDKSDK的隱私政策、收集使用的個人信息（及其目的）和申請的敏感權(quán)限（及其目的）；SDK的安全檢測報告（包括數(shù)據(jù)安對于委托第三方定制開發(fā)的提供者應(yīng)根據(jù)App對于涉及到個人信息處理的，SDK提供者應(yīng)通過合同、合作協(xié)議等形式與App提供者達(dá)成合作SDK開發(fā)階段AppApp提供者應(yīng)對SDKApp提供者應(yīng)確認(rèn)根據(jù)自身業(yè)務(wù)需求，盡可能使SDK收集使用個人信息和申請敏感權(quán)限遵循合理、最小、必要原則。APP版本升級不得改變SDK系統(tǒng)權(quán)限設(shè)置。App提供者應(yīng)確認(rèn)正確配置SDK聲明的可選字段或權(quán)限功能進(jìn)行選擇使用或開啟關(guān)閉。App提供者應(yīng)明確SDK初始化時機(jī)，在用戶授權(quán)同意之后，調(diào)用相應(yīng)代碼段以初始化SDK。App提供者宜審核監(jiān)督SDK申請權(quán)限的時機(jī)、頻率和必要性。App提供者應(yīng)確認(rèn)調(diào)用SDK收集個人信息的頻率是實現(xiàn)自身業(yè)務(wù)功能所必需的最低頻率。在用戶無操作以及無合理場景時，App不應(yīng)調(diào)用SDK能力收集任何個人信息。App提供者應(yīng)確認(rèn)向用戶告知所接入的SDK的相關(guān)信息，包括但不限于：SDK名稱，SDK收集的個人信息類型、目的和方式，申請的敏感權(quán)限、申請目的、隱私政策鏈接等，并征得用戶同意。若SDK提供者需確認(rèn)為其中無單獨頁面的SDK提供向用戶告知的便捷渠道。9SDKSDK提供者應(yīng)當(dāng)配合App提供者進(jìn)行SDKSDK提供者宜及時提醒和告知App提供者使用最新版本。SDK收集使用個人信息和申請敏感權(quán)限應(yīng)遵循合理、最小、必要原則。對于可選字段或權(quán)限，SDK提供者宜進(jìn)行功能拆分或提供單獨的開啟關(guān)閉選項，允許App提供SDK提供者應(yīng)在隱私政策或接入文檔中向App提供者聲明合理的SDK在用戶或App提供者未使用SDKSDKApp用戶或App提供者未使用SDK相關(guān)業(yè)務(wù)功能，或App未提供合理功能場景時，SDK不應(yīng)采集和回傳任何個人信息。SDK（區(qū)分必需字段和可選字段）以及申請的敏感權(quán)限和申請目的（區(qū)分必需權(quán)限和可選權(quán)限），并征得用戶同意。在用戶或App提供者未使用相應(yīng)SDK在用戶或App提供者未使用相應(yīng)功能時，SDK不應(yīng)關(guān)聯(lián)啟動其它SDK或App。SDK提供者應(yīng)響應(yīng)App提供者的請求和反饋，提供SDK接入技術(shù)指導(dǎo)及合規(guī)性建議，基于國家法律法規(guī)要求變化應(yīng)及時優(yōu)化SDK功能代碼、保護(hù)用戶個人信息安全。運營階段AppApp提供者應(yīng)當(dāng)履行對SDKSDK相關(guān)業(yè)務(wù)功能。App提供者應(yīng)當(dāng)對所接入的SDK持續(xù)進(jìn)行安全監(jiān)測或定期進(jìn)行安全檢測，并建立預(yù)警機(jī)制；若發(fā)現(xiàn)新的安全漏洞，應(yīng)當(dāng)及時通知SDK提供者并督促其進(jìn)行修復(fù)。App提供者應(yīng)當(dāng)對所接入的SDK的實際運行行為進(jìn)行持續(xù)動態(tài)監(jiān)測，若發(fā)現(xiàn)其存在惡意行為，應(yīng)及時停止使用；對于情節(jié)嚴(yán)重者，宜終止與SDK提供者的合作協(xié)議。AppApp提供者應(yīng)當(dāng)持續(xù)跟進(jìn)SDK的功能和數(shù)據(jù)處理規(guī)則更新，及時修復(fù)個人信息相關(guān)問題、落實App提供者應(yīng)當(dāng)在App界面上為所接入的SDK實現(xiàn)便捷的用戶反饋和投訴建議訪問途徑。SDKSDK提供者應(yīng)當(dāng)對自身SDK持續(xù)進(jìn)行安全監(jiān)測或定期進(jìn)行安全檢測，并建立預(yù)警機(jī)制；若發(fā)現(xiàn)新的安全漏洞，應(yīng)當(dāng)立即告知App提供者并及時進(jìn)行修復(fù)。10SDKSDK提供者需根據(jù)業(yè)務(wù)所需的最小期限存儲個人信息，法律法規(guī)另有規(guī)定的除外。SDK提供者應(yīng)對用戶敏感個人信息SDK提供者應(yīng)建立完善的用戶反饋和投訴建議機(jī)制并將相關(guān)信息明確告知App提供者，且應(yīng)當(dāng)配合App提供者對用戶的相關(guān)請求進(jìn)行處理。退出階段AppAPP提供者宜建立第