IIIT/CSACICS35.110 CCSL79 T/CSAC006—2023 移动互联网应用程序（App）接入软件开发 工具包（SDK）个人信息安全指南 Personalinformationsecurityguidelinesforintegratingsoftwaredevelopmentkitto mobileinternetapplications 2023-9-22发布 2023-9-22实施 中国网络空间安全协会 发布团 体 标 准 全国团体标准信息平台 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á全国团体标准信息平台 1目  次 前  言..............................................................................2 1范围................................................................................3 2规范性引用文件......................................................................3 3术语和定义..........................................................................3 4缩略语..............................................................................4 5概述................................................................................4 5.1SDK概述.........................................................................5 5.2SDK使用场景与角色关系...........................................................5 5.3App与SDK责任划分...............................................................5 6SDK安全风险.........................................................................5 6.1SDK安全漏洞.....................................................................6 6.2SDK恶意行为.....................................................................6 6.3SDK违规处理个人信息.............................................................6 7App接入SDK安全原则.................................................................7 8App接入SDK安全指南.................................................................7 8.1App接入SDK生命周期.............................................................7 8.2设计阶段........................................................................8 8.3开发阶段........................................................................9 8.4运营阶段.......................................................................10 8.5退出阶段.......................................................................11 参考文献.......................................................................13 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC006—2023 2前  言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由网络空间安全协会提出并归口。 本文件起草单位：北京抖音信息服务有限公司、北京市政务信息安全保障中心、国家计算机网络应 急技术处理协调中心北京分中心、OPPO广东移动通信有限公司、深圳市和讯华谷信息技术有限公司、蚂 蚁科技集团股份有限公司、北京百度网讯科技有限公司、小米科技有限责任公司、华为技术有限公司、 三六零安全科技股份有限公司、阿里云计算有限公司、郑州云智信安安全技术有限公司、极客谷数字信 息安全产业园、北京航空航天大学、北京邮电大学。 本文件主要起草人：杜蕾、杨骁涵、安潇羽、李思凡、李昳婧、李若愚、王敏、赵乃萱、吴少卿、 谷元坤、靳鑫亚、荣晓燕、李媛、程颖博、姚菲、秦世勉、史坤坤、陈光炎、马超、卢威、李娜、付艳 艳、白晓媛、蒋思思、黄飞、杨智、彭铭、李实、吴汇洋、刘闯、黄天宁、关振宇、张熙。 ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 3移动互联网应用程序（App）接入软件开发工具包（SDK）个人信息 安全指南 1范围 本文件规定了App提供者和SDK提供者在App接入SDK的全生命周期内需遵循的信息安全指南，主 要涵盖和涉及设计、开发、运营和退出四个阶段。 本文件适用于App提供者和SDK提供者对自身的信息安全防护和个人信息保护行为机制进行设计和 评估，也适用于第三方评估机构和相关部门进行审查和评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2022信息安全技术术语 GB/T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求 GB/T42582—2023信息安全技术移动互联网应用程序（App）个人信息安全测评规范 3术语和定义 GB/T25069—2020界定的以及下列术语和定义适用于本文件。 3.1 移动互联网应用程序mobileinternetapplication：App 运行在移动智能终端上的应用程序。 注：包括移动智能终端预置、下载安装的应用程序和小程序。 [来源:GB/T42582-2023，3.1] 3.2 移动互联网应用程序提供者mobileinternetapplicationprovider 移动互联网应用程序的开发者、运营者或所有者，简称App提供者。 3.3 软件开发工具包softwaredevelopmentkit 协助软件开发的软件库。 注：软件开发工具包通常包括相关二进制文件、文档、范例和工具的集合，简称SDK。 [来源:GB/T41391-2022，3.14，有修改] 3.4 第三方软件开发工具包third-partysoftwaredevelopmentkit 由移动互联网应用程序运营者之外的其他法人实体提供的软件开发工具包。 [来源:GB/T41391-2022，3.15] ÖйúÍøÂç¿Õ¼ä°²È«Ð­»á 全国团体标准信息平台 T/CSAC006—2023 43.5 软件开发工具包提供者softwaredevelopmentkitprovider 软件开发工具包的开发者、运营者或所有者，简称SDK提供者。 3.6 自启动self-startup 在用户没有直接操作某个APP的情况下，APP内的SDK自行拉起自身进程并成功运行。 3.7 关联启动coupling-startup 在用户没有直接使用某个SDK或APP对应的功能时，其进程已被另一个SDK或APP拉起并成功 运行。 3.8 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的 信息。 [来源：《中华人民共和国个人信息保护法》] 3.9 敏感个人信息sensitivepersonalinformation 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息 注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周 岁未成年人的个人信息。 [来源：《中华人民共和国个人信息保护法》，有修改] 3.10 开源opensource 源代码公开，指软件的使用者可以获得其源代码。 3.11 闭源closedsource 源代码不公开，指软件的使用者无法获得其源代码。 4缩略语 下列缩略语适用