近年來,軟件開發工具包(SDK)作為移動互聯網生態重要組成部分,在降低開發成本、提升應用收益、推動服務創新的同時,也面臨著行業野蠻生長、安全合規重視不足等問題。4月2日,中央網信辦、工業和信息化部、公安部、市場監管總局發布公告,正式啟動2025年個人信息保護系列專項行動,并將SDK違法違規收集使用個人信息列為六大治理重點之一,標志著SDK治理進入“全覆蓋監管”新階段。
公告提出將聚焦SDK個人信息保護五類問題開展治理,一是SDK未制定、公開隱私政策等收集使用個人信息規則文檔問題,督促SDK履行明示告知義務。二是超出明示范圍或約定類型收集、使用或共享個人信息問題。三是SDK違反最小必要原則調用敏感系統權限或收集與實現業務功能無關的個人信息問題。四是SDK未提供有效的個人信息相關投訴舉報途徑問題。五是提供個性化推送服務,但未提供停止收集個人信息或關閉功能選項問題。以上五大重點治理方向形成了對當前SDK收集使用個人信息、用戶權益保護相關痛點、堵點問題的全面覆蓋。
從標準層面看,2023年發布的國家標準GB/T 43435-2023《信息安全技術 移動互聯網應用程序(App)軟件開發工具包(SDK)安全要求》(以下簡稱“GB/T 43435”)作為我國首部針對SDK的專門性國家標準,提出SDK全生命周期管理思路,要求SDK運營者提供隱私政策、建立投訴舉報渠道并遵循最小必要原則申請權限或采集信息,并在標準附錄中對SDK個人信息處理活動中常見的安全合規問題進行了梳理。從主要內容來看,GB/T 43435提出的部分要求與本次專項行動治理重點高度重合,標準中各類規范、細則、附錄資料等對于SDK運營者提升產品安全合規水平有著一定參考意義。
2020年全國信息安全標準化技術委員會發布《移動互聯網應用程序(App)使用軟件開發工具包(SDK)安全指引》(以下簡稱“安全指引”),旨在減少因SDK造成的App安全與個人信息保護問題,提出App使用SDK時應遵循的七項原則,與本次專項行動治理重點方向高度一致,在一定程度上可為App開發者進行SDK選型以及SDK運營者完善自身合規機制提供有益指引。此外,安全指引中部分具體建議,如“SDK建立選擇退出機制,用戶不希望使用SDK服務時可自主行使退出權利”等,在本次專項行動中也有所體現,但對適用場景進行了限縮,聚焦了當前社會高度關注、用戶反映強烈的“個性化推薦相關功能”并明確要求SDK向App提供關閉選項,為非必要服務選擇退出機制落地提供了突破口,推動相關規則從“形式合規”轉向“實質落地”。
從已有規范性文件角度看,2023年工業和信息化部發布《進一步提升移動互聯網應用服務能力的通知》(工信部信管函〔2023〕26號)(以下簡稱“26號文”),要求SDK建立信息公示機制、優化功能配置、加強服務協同,其中針對SDK明示個人信息處理規則、遵循最小必要原則收集個人信息等均在本次專項行動治理范圍之內,體現了相關要求的延續性、連貫性。同時,26號文要求“SDK運營者提供合規使用指南引導App使用”,并要求“App與SDK約定各方權利和義務”,而本次專項行動也將對SDK“未按照與App明確的規則處理個人信息”行為進行治理,體現了當前SDK合規工作中,App開發者與SDK運營者“分責、共治”的理念,雙方通過簽署服務合同、合作協議,可有效實現個人信息保護相關責任、義務的劃分,明確限定收集使用范圍,確保處理活動依法合規。
作為SDK開發者,應貫徹透明化、最小化設計理念。一是針對SDK業務功能所需個人信息、系統權限進行嚴格把控,以實現業務功能所需的最小必要為原則,嚴格限制SDK收集個人信息類型、頻率。二是編制完整清晰的隱私政策、合規指引,完整明示SDK收集個人信息目的及范圍、申請的系統權限和用途、用戶個人信息行權渠道等重要信息。三是通過預設API接口、配置信息等方式,提供可選系統權限(非業務功能必需,但對業務功能有合理的輔助、增強作用)、個性化推薦等功能的開關控制,并編制合規指引、集成說明、接口文檔等方式指導App開發者進行配置、選擇。
作為App開發者,應首先加強SDK選型與接入審核。一方面針對SDK隱私政策、合規指引等文件完整性、時效性進行查驗,評估SDK開發者合規意愿及落實情況。另一方面,通過參考相關文件,可完善App自身隱私政策內容,確保明示內嵌SDK名稱、功能、處理個人信息規則等信息,提升自身合規水平。此外,App開發者應加強已集成SDK管理,通過簽署合同、協議等文件,明確雙方責任義務,并定期檢查履行情況,并通過技術檢測、報告審核等方式對SDK收集使用個人信息行為、安全風險漏洞等進行識別,發現違法違規情形立即停止相關服務并要求整改。如SDK業務功能涉及《個人信息保護法》第五十五條法定場景,App開發者則應要求SDK運營者提供其業務個人信息保護影響評估報告,以確保相關處理活動合法合規。
2025年個人信息保護系列專項行動對SDK合規工作的重視,標志著SDK違法違規收集使用個人信息治理工作正從“分散規范”邁向“全面覆蓋”,將進一步明確App開發者、SDK開發者在安全合規領域的責任、義務,并通過對典型問題的整治,逐步形成個人信息保護協同治理網絡,促成構建覆蓋SDK開發運營全生命周期的合規體系。行業各方應加強技術創新與協同治理,以個人信息保護為契機,凝聚行業共識,完善標準體系,通過嚴謹、科學的檢驗、評價工作,賦能優秀SDK產品,真正實現“以管促用”,推動移動互聯網健康、蓬勃發展。
浙公網安備 33010502006954號 
