TCSAC006-2023移動互聯網應用程序（App）接入軟件開發(fā)工具包（SDK）個人信息安全指南

ICS35.110

CCSL79

T/CSAC

團體標準

T/CSAC006—2023

移動互聯網應用程序（App）接入軟件開發(fā)

工具包（SDK）個人信息安全指南

Personalinformationsecurityguidelinesforintegratingsoftwaredevelopmentkitto

mobileinternetapplications

學兔兔標準下載

2023-9-22發(fā)布2023-9-22實施

中國網絡空間安全協會發(fā)布

III

移動互聯網應用程序（App）接入軟件開發(fā)工具包（SDK）個人信息

安全指南

1范圍

本文件規(guī)定了App提供者和SDK提供者在App接入SDK的全生命周期內需遵循的信息安全指南，主

要涵蓋和涉及設計、開發(fā)、運營和退出四個階段。

本文件適用于App提供者和SDK提供者對自身的信息安全防護和個人信息保護行為機制進行設計和

評估，也適用于第三方評估機構和相關部門進行審查和評估。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術術語

GB/T41391—2022信息安全技術移動互聯網應用程序（App）收集個人信息基本要求

GB/T42582—2023信息安全技術移動互聯網應用程序（App）個人信息安全測評規(guī)范

3術語和定義

GB/T25069—2020界定的以及下列術語和定義適用于本文件。

3.1

移動互聯網應用程序mobileinternetapplication：App

運行在移動智能終端上的應用程序。

注：包括移動智能終端預置、下載安裝的應用程序和小程序。

[來源:GB/T42582-2023，3.1]

3.2

移動互聯網應用程序提供者mobileinternetapplicationprovider

移動互聯網應用程序的開發(fā)者、運營者或所有者，簡稱App提供者。

3.3

軟件開發(fā)工具包softwaredevelopmentkit

協助軟件開發(fā)的軟件庫。

注：軟件開發(fā)工具包通常包括相關二進制文件、文檔、范例和工具的集合，簡稱SDK。

學兔兔[來源:GB/T41391-2022，3.14，有修改]標準下載

3.4

第三方軟件開發(fā)工具包third-partysoftwaredevelopmentkit

由移動互聯網應用程序運營者之外的其他法人實體提供的軟件開發(fā)工具包。

[來源:GB/T41391-2022，3.15]

3

學兔兔標準下載

T/CSAC006—2023

3.5

軟件開發(fā)工具包提供者softwaredevelopmentkitprovider

軟件開發(fā)工具包的開發(fā)者、運營者或所有者，簡稱SDK提供者。

3.6

自啟動self-startup

在用戶沒有直接操作某個APP的情況下，APP內的SDK自行拉起自身進程并成功運行。

3.7

關聯啟動coupling-startup

在用戶沒有直接使用某個SDK或APP對應的功能時，其進程已被另一個SDK或APP拉起并成功

運行。

3.8

個人信息personalinformation

以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的

信息。

[來源：《中華人民共和國個人信息保護法》]

3.9

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人

信息

注：敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周

歲未成年人的個人信息。

[來源：《中華人民共和國個人信息保護法》，有修改]

3.10

開源opensource

源代碼公開，指軟件的使用者可以獲得其源代碼。

3.11

閉源closedsource

源代碼不公開，指軟件的使用者無法獲得其源代碼。

學兔兔4縮略語標準下載

下列縮略語適用于本文件。

App：移動互聯網應用程序（MobileInternetApplication）

API：應用程序編程接口（ApplicationProgrammingInterface）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

5概述

4

5.1SDK概述

SDK是一組工具集，提供獨立、明確的功能，被廣泛應用于各類App開發(fā)中，以提高App開發(fā)和運營

的效率。其具體分類可參考TC260-PG-20205A3.2。

5.2SDK使用場景與角色關系

圖1App接入SDK示意圖

如圖1所示，SDK的使用場景通常涉及到SDK提供者、App提供者和用戶三方角色：

a)SDK提供者：作為SDK的設計和開發(fā)者，SDK提供者負責對SDK的功能代碼封裝成模塊，并對外

提供API接口、API文檔、SDK接入文檔、個人信息處理規(guī)則說明文檔。

b)App提供者：作為App的設計和開發(fā)者，App提供者通過調用SDK所提供的接口來將其嵌入到App

中，從而實現SDK相應功能的引入；另外，倘若SDK具有相對獨立的交互界面（或界面元素），

App提供者宜通過雙方協商將將其嵌入到App的交互界面中。

c)用戶：作為App的最終使用者，用戶一般通過App交互界面使用App的相應功能來間接使用SDK，

SDK的嵌入對用戶而言通常是沒有感知的；但倘若SDK具有相對獨立的交互界面（或界面元素），

用戶可能會感知到SDK的存在。

通常而言，SDK提供者和App提供者可能為同一方（即指App提供者使用自行開發(fā)的SDK），也可能分

屬不同法人實體。對于二者分屬不同法人實體的情況，通常將所涉及的SDK稱為第三方SDK。在未明確說

明的情況下，本文中所提到的SDK均指的是第三方SDK。

5.3App與SDK責任劃分

SDK提供者和App提供者需按照自身角色承擔相應的責任和義務：

a)SDK提供者需對該SDK的安全防護負責，需詳細告知App提供者安全使用和配置SDK的要求。

b)SDK提供者需對該SDK的個人信息保護負責，需向App提供者披露收集使用個人信息的相關情

況。

c)App提供者需對SDK的引入負責，需整體把控SDK的使用和配置，具有審查和安全管理義務。

學兔兔d)APP提供者需對其自身和第三方SDK的個人信息處理規(guī)則的公示負標準下載責，需向用戶披露接入的第

三方SDK的個人信息收集使用的情況，協助第三方SDK提供者取得APP用戶的授權同意。

6SDK安全風險

5

學兔兔標準下載

T/CSAC006—2023

6.1SDK安全漏洞

SDK自身可能存在安全漏洞并由此對App的安全性造成威脅，其常見分類和具體漏洞信息可參考

TC260-PG-20205A4.1。

6.2SDK惡意行為

SDK的主觀惡意行為可能會破壞App的安全性、對用戶的個人信息和合法權益造成威脅，其詳細信息

可參考TC260-PG-20205A4.2。

6.3SDK違規(guī)處理個人信息

6.3.1個人信息收集

SDK收集個人信息時，違法收集個人信息、過度收集個人信息、未充分告知處理目的及未經用戶授

權同意收集個人信息的風險。

6.3.2個人信息存儲

SDK存儲個人信息時，未采取充分安全的保護措施及機制造成個人信息泄露的風險；存儲時間超過

個人信息主體授權使用目的所必需的最短時間。

6.3.3個人信息使用

SDK提供者在使用個人信息時，超范圍使用個人信息、展示的個人信息未做去標識化處理等導致數

據個人信息等風險。

6.3.4個人信息加工

SDK提供者在加工個人信息時，在不具備合法性基礎的前提下對個人信息過度挖掘、造成用戶焦慮

恐慌的風險。

6.3.5個人信息傳輸

SDK在傳輸個人信息時，未對個人信息進行加密或未采取充分安全的傳輸協議導致個人信息泄露的

風險。

6.3.6個人信息對外提供

SDK提供者對除了APP提供者之外的機構或個人提供個人信息時，在無其他合法性基礎情況下，未對

用戶針對個人信息對外提供目的、期限、處理方式、個人信息種類以及可能產生的后果等進行充分告知

的風險，以及未取得用戶單獨同意的風險。

SDK提供者委托第三方處理個人信息時，在無其他合法性基礎情況下，未對用戶針對個人信息處理

的目的、期限、處理方式、個人信息種類以及可能產生的后果進行充分告知、未與受托方約定個人信息

學兔兔接收方的責任和義務的風險。標準下載

6.3.7個人信息公開

SDK提供者在無其他合法性基礎情況下，超出合理范圍公開個人信息、未向用戶告知公開披露個人

信息的目的、類型，并征得其明示同意或公開個人信息給用戶權益造成重大影響的風險。

6.3.8個人信息刪除

6

SDK完成業(yè)務功能及目的、用戶撤回同意、SDK提供者停止提供產品或服務或超出最短存儲期限后，

在無其他合法性基礎情況下，未及時刪除或匿名化處理用戶個人信息的風險。

6.3.9個人信息跨境提供

SDK提供者未經用戶同意、未履行法律規(guī)定的相關要求，向中華人民共和國境外提供個人信息的風

險。

7App接入SDK安全原則

在App接入SDK的全流程中，App提供者和SDK提供者需遵循以下九項安全原則：

a)全周期管理：針對所接入的SDK，App提供者需對其進行接入前審核、使用中監(jiān)控、和退出時

審計追溯，在發(fā)現違規(guī)行為時確保能夠及時終止。

b)權責一致：App提供者和SDK提供者需按照自身角色承擔相應的責任和義務。

c)目的明確：選用SDK時，App提供者需首先明確自身的業(yè)務需求并選擇與此具有直接關聯且個

人信息處理目的合理、清晰、明確的SDK。

d)最小必要：在選用SDK時，APP提供者需在滿足自身業(yè)務需求的前提下選擇最少夠用的SDK。另

外，SDK提供者需在實現相應業(yè)務功能的前提下申請最少夠用的個人信息處理權限，不超范圍、

超頻次申請權限。

e)公開透明：SDK提供者需以合理清晰的方式向App提供者公開披露SDK處理個人信息的范圍、目

的和規(guī)則等，且其實際行為需與該聲明保持一致。

f)告知同意：App提供者需以合理清晰的方式向用戶披露所嵌入的SDK及其處理個人信息的范圍、

目的、規(guī)則和SDK隱私政策等，且需征得用戶授權同意。

g)確保安全：在接入SDK的過程中，App提供者需使用足夠的技術手段和管理措施來保證用戶個

人信息的安全性，且SDK提供者需在此過程中提供相應的幫助和支持。

h)權限可控：App提供者需將SDK的所有個人信息處理權限申請和使用納入管理范圍，確保能夠

有效防止個人信息的非授權處理。

i)主體參與：SDK提供者需保證用戶的主體權益，向用戶或APP提供者提供得以查詢、更正、刪

除其個人信息以及進行撤回授權同意和投訴建議的有效方法，且App提供者需協助在交互界面

上向用戶明示SDK提供者實現用戶權益相應的途徑。

8App接入SDK安全指南

8.1App接入SDK生命周期

如圖2所示，在瀑布模型的基礎上，結合移動應用安全開發(fā)生命周期管理的特點，本文件將App接入

SDK的生命周期劃分為四個階段：設計、開發(fā)、運營和退出。

學兔兔標準下載

7

學兔兔標準下載

T/CSAC006—2023

注：這里的“退出”主要包含五種情況：（1）App下線；（2）SDK下線；（3）App停用SDK；（4）用戶不再使用App；

（5）用戶不再使用SDK。

圖2App接入SDK生命周期示意圖

8.2設計階段

8.2.1App提供者

學兔兔設計階段App提供者需滿足以下安全要求：標準下載

a)App提供者需明確自身業(yè)務需求并在此基礎上充分評估接入SDK的必要性。若確有必要接入

SDK，需在滿足業(yè)務需求的前提下控制接入SDK的數量和在App中的應用范圍。

b)App提供者需建立針對SDK引入的安全合規(guī)審核機制并制定明確的審核標準，且審核過程中需

當嚴格把控，違法違規(guī)、基本信息不明確、來源不明、沒有有效的溝通反饋渠道、沒有風險控

制能力、可能泄露用戶個人信息、與業(yè)務需求無直接關聯的SDK均不宜通過審核。

c)App提供者宜優(yōu)先選用SDK的穩(wěn)定或官方推薦版本。

8

d)對于開源SDK，App提供者需根據其公開代碼和文檔自行對SDK進行充分的安全合規(guī)評估，明確

SDK的功能、信息收集范圍和安全要求等并據此形成用于安全合規(guī)審核的評審文檔。

e)對于閉源SDK，App提供者需利用SDK提供者所提供的的評審文檔進行安全合規(guī)審核，如：信息

安全資質、安全技術能力和管理水平、SDK信息處理規(guī)則、用戶個人信息保護能力等。

f)對于委托第三方定制開發(fā)的SDK，App提供者需根據自身業(yè)務需求明確SDK的功能、信息收集范

圍和安全要求并與SDK提供者簽訂委托合同；在SDK開發(fā)完成后，App提供者需利用SDK提供者所

提供的的評審文檔進行安全合規(guī)審核。

g)若SDK涉及將數據對外共享或傳輸給任何App提供者以外的第三方機構或人員的行為，則App提

供者需對其數據權限進行單獨評估和審批，并取得用戶的同意。

h)對于涉及到個人信息處理的，App提供者需通過合同、合作協議等形式與SDK提供者達成合作

約定，明確SDK的功能、信息收集范圍和安全要求，約定雙方在個人信息保護方面各自需要承

擔的責任、義務以及需要采取的安全措施等。當雙方合作過程中發(fā)生重大變更時，需重新簽訂

合同或合作協議。

8.2.2SDK提供者

設計階段SDK提供者需滿足以下安全要求：

a)SDK提供者需明確自身功能需求并在此基礎上充分評估收集使用個人信息和申請敏感權限的

必要性，其所收集使用的個人信息和申請的敏感權限不宜超出其業(yè)務功能的直接關聯范圍。若

確有必要，需將收集使用個人信息和申請敏感權限的頻率降低至實現自身業(yè)務功能所必需的最

低頻率。

b)SDK提供者需配合App提供者進行SDK的安全合規(guī)評審，在評審文檔中以明確、易懂和合理的方

式向App提供者完整、準確、及時地說明SDK的相關信息，不宜故意隱瞞和欺騙。宜包括的內容

有：SDK提供者的基本信息和溝通反饋渠道；SDK的基本信息、功能和實現方式；SDK的隱私政

策、收集使用的個人信息（及其目的）和申請的敏感權限（及其目的）；SDK的安全檢測報告

（包括數據安全存儲、數據安全交互、關鍵組件安全配置、代碼及資源文件安全等方面）；自

啟動和關聯啟動行為的合理性評估報告等。

c)對于委托第三方定制開發(fā)的SDK，SDK提供者需根據App提供者所提出的功能、信息收集范圍和

安全要求進行SDK的設計和開發(fā)并簽訂委托合同，開發(fā)期間需配合App提供者進行SDK的修改和

完善。

d)對于涉及到個人信息處理的，SDK提供者需通過合同、合作協議等形式與App提供者達成合作

約定，明確SDK的功能、信息收集范圍和安全要求，約定雙方在個人信息保護方面各自需要承

擔的責任、義務以及需要采取的安全措施等。當雙方合作過程中發(fā)生重大變更時，需重新簽訂

合同或合作協議。

8.3開發(fā)階段

8.3.1App提供者

開發(fā)階段App提供者需滿足以下安全要求：

a)App提供者需對SDK進行接入版本確認，包括但不限于：版本發(fā)布記錄，版本名稱，修訂時間，

修訂說明等。

b)App提供者需確認根據自身業(yè)務需求，使SDK收集使用個人信息和申請敏感權限遵循合理、最

小、必要原則。

學兔兔c)App版本升級不得改變SDK系統(tǒng)權限設置。標準下載

d)App提供者需確認正確配置SDK，根據業(yè)務和場景需求對SDK聲明的可選字段或權限功能進行選

擇使用或開啟關閉。

e)App提供者需明確SDK初始化時機，無合理理由，不得在用戶授權同意前初始化SDK。

f)App提供者宜審核監(jiān)督SDK申請權限的時機、頻率和必要性。

9

學兔兔標準下載

T/CSAC006—2023

g)App提供者需確認調用SDK收集個人信息的頻率是實現自身業(yè)務功能所必需的最低頻率。在用

戶無操作以及無合理場景時，App不宜調用SDK能力收集任何個人信息。

h)App提供者需確認向用戶告知所接入的SDK的相關信息，包括但不限于：SDK名稱，SDK收集的

個人信息類型、目的和方式，申請的敏感權限、申請目的、隱私政策鏈接等，并征得用戶同意。

i)若SDK需向用戶單獨告知收集使用個人信息的行為，App提供者需確認為其中無單獨頁面的SDK

提供向用戶告知的便捷渠道。

8.3.2SDK提供者

開發(fā)階段SDK提供者需滿足以下安全要求：

a)SDK提供者需配合App提供者進行SDK的接入版本確認，需要說明的內容包括但不限于：版本發(fā)

布記錄，版本名稱，修訂時間，修訂說明，停止維護時間等；當SDK更新時，SDK提供者宜及時

提醒和告知App提供者使用最新版本。

b)SDK收集使用個人信息和申請敏感權限需遵循合理、最小、必要原則。

c)對于可選字段或權限，SDK提供者宜進行功能拆分或提供單獨的開啟關閉選項，允許App提供

者根據業(yè)務和場景需求進行選擇使用或開啟關閉，不宜強制捆綁無關功能并以此為由申請無關

權限或收集無關的個人信息。

d)SDK提供者需在隱私政策或接入文檔中向App提供者聲明合理的SDK初始化時機，無合理理由，

不得在用戶授權同意前初始化SDK。

e)在用戶或App提供者未使用SDK相關業(yè)務功能時，SDK不宜提前、頻繁、強制申請權限。非由用

戶主動觸發(fā)SDK功能，且沒有該權限參與此業(yè)務功能無法實現的場景下，SDK不宜主動向用戶申

請權限。

f)SDK收集個人信息的頻率宜為實現自身業(yè)務功能所必需的最低頻率。在App用戶或App提供者未

使用SDK相關業(yè)務功能，或App未提供合理功能場景時，SDK不宜采集和回傳任何個人信息。

g)SDK提供者需在隱私政策或接入文檔中明確披露其收集的個人信息字段和收集目的以及申請

的敏感權限和申請目的，并征得用戶同意。

h)在用戶或App提供者未使用相應SDK功能時，SDK不宜提前申請權限或者通過自啟動、關聯啟動

等方式自行運行。

i)在用戶或App提供者未使用相應功能時，SDK不宜關聯啟動其它SDK或App。

j)SDK提供者需響應App提供者的請求和反饋，提供SDK接入技術指導及合規(guī)性建議，基于國家法

律法規(guī)要求變化及時優(yōu)化SDK功能代碼、保護用戶個人信息安全。

8.4運營階段

8.4.1App提供者

運營階段App提供者需滿足以下安全要求：

a)App提供者需履行對SDK的安全管理義務，確保用戶在同意隱私政策之后再使用SDK相關業(yè)務功

能。

學兔兔b)App提供者需對所接入的SDK持續(xù)進行安全監(jiān)測或定期進行安全檢標準下載測，并建立預警機制；若發(fā)

現新的安全漏洞，需及時通知SDK提供者并督促其進行修復。

c)App提供者需對所接入的SDK的實際運行行為進行持續(xù)動態(tài)監(jiān)測，若發(fā)現其存在惡意行為，需

及時停止使用；對于情節(jié)嚴重者，宜終止與SDK提供者的合作協議并向SDK提供者追究責任。

d)App提供者需遵守國家法律法規(guī)要求并持續(xù)跟進國家法律法規(guī)要求變化，在相關法律法規(guī)要求

發(fā)生變化時，宜及時通知SDK提供者并提醒其進行更新。

10

e)App提供者需持續(xù)跟進SDK的功能和數據處理規(guī)則更新，及時修復個人信息相關問題、落實相

應功能變化并更新隱私政策文本。若隱私政策文本發(fā)生實質性變化，需再次征求用戶授權同意。

若使用的SDK發(fā)生重大版本變更，需再次進行安全合規(guī)評估。

f)App提供者需在App界面上為所接入的SDK實現便捷的用戶反饋和投訴建議訪問途徑。

8.4.2SDK提供者

運營階段SDK提供者需滿足以下安全要求：

g)SDK提供者需對自身SDK持續(xù)進行安全監(jiān)測或定期進行安全檢測，并建立預警機制；若發(fā)現新

的安全漏洞，需立即告知App提供者并及時進行修復。

h)SDK提供者需遵守國家法律法規(guī)要求并持續(xù)跟進國家法律法規(guī)要求變化，在相關法律法規(guī)要求

發(fā)生變化時，需及時遵照要求更新SDK功能代碼、保護用戶個人信息安全，還需同步更新個人

信息處理規(guī)則和App開發(fā)指引并告知App提供者。

i)SDK提供者需根據業(yè)務所需的最小期限存儲個人信息，法律法規(guī)另有規(guī)定的除外。

j)SDK提供者需對用戶敏感個人信息采取加密等安全、技術措施進行保護，禁止對用戶敏感個人

信息進行明文存儲和傳輸。

k)SDK提供者需建立完善的用戶反饋和投訴建議機制并將相關信息明確告知App提供者，且需配

合App提供者對用戶的相關請求進行處理。

8.5退出階段

8.5.1App提供者

退出階段App提供者需滿足以下安全要求：

a)APP提供者宜建立第三方SDK服務終止和系統(tǒng)下線的相關機制。

b)App提供者需配合SDK提供者將查詢、更正、刪除個人信息和撤回授權同意的渠道展示在App的

交互界面上，且訪問該渠道的方法需盡可能便捷。

c)當用戶提出查詢、更正、刪除個人信息或撤回授權同意的請求與SDK相關時，App提供者需及

時將其轉達給SDK提供者并配合其進行處理。

d)當SDK停止運營時，App提供者需及時從App中移除與該SDK相關的代碼模塊。

e)有下列情形之一的，App提供者需敦促SDK提供者及時刪除或匿名化處理從APP提供者處接收的

個人信息，且立即停止與其共享信息：

1)用戶撤回授權同意；

2)App不再使用相應的SDK；

3)App停止運營