SDK安全 | 《互联网应用程序个人信息收集使用规定（征求意见稿）》公开征求意见：助力厘清并压实SDK安全合规责任

2025年1月10日，国家互联网信息办公室（以下简称“网信办”）就《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称“征求意见稿”）面向社会公开征求意见，旨在规范应用程序个人信息收集与使用行为，保障个人信息权益，推动个人信息的合理利用。在此次征求意见稿中，“软件开发工具包”（即SDK）累计出现42次，不仅明确指出“SDK运营者对SDK个人信息收集使用活动及安全保护承担主体责任”，且通过独立章节针对SDK运营活动提出了一系列专门要求。相关内容充分表明，SDK安全合规已从App个人信息保护工作的“附属产物”，转变为个人信息保护工作的独立责任主体与治理关键环节。

近年间，我国移动互联网呈持续发展态势，SDK为应用程序的创新发展提供了关键支撑，但侵害用户权益、违法违规收集与使用个人信息等问题仍长期存在。网信办新规的制定，进一步明确了SDK安全合规责任边界，有助于降低App、SDK运营活动中个人信息被滥用的风险，加强不同主体间个人信息保护工作“甩锅”“内卷”等痼疾的治理，实现行业整体安全合规水平的提升。

首先，征求意见稿再次强调软件开发工具包（SDK）需制定并公开个人信息收集使用规则，并在产品官方网站等渠道予以公示。需要注意的是，征求意见稿针对多个历史版本SDK共存的情况，要求其运营者详尽列明不同版本SDK的个人信息收集使用行为，并在收集使用目的、方式或范围出现变动时，同步更新相关规则。

与先前发布的国家标准GB/T 43435 - 2023相比，征求意见稿对SDK运营者公示收集使用规则的要求进行了更为细致的规定。运营者需要构建更为完备的运营管理以及文档更新追踪机制，切实落实“知情同意”原则，加强版本管理，防止SDK出现超出公示规则收集使用个人信息的情形。

其次，征求意见稿要求SDK向App提供基于其业务功能的个人信息配置选项，允许App开发者根据需求对SDK的收集行为予以管理。若SDK业务功能涉及自动化决策，则须提供关闭个性化推荐的选项，且在关闭后停止使用相关个人信息。此外，SDK运营者需及时响应App所转发的用户个人信息请求，并构建响应途径。相关要求意味着SDK在设计开发阶段即需考虑构建更为灵活的功能分类与接口配置，以确保App开发者可以自行选择所需实现的业务功能，并根据不同业务功能设置SDK可收集个人信息类型、频率及可申请可收集个人信息权限等。

征求意见稿明确规定SDK运营者需对个人信息的收集、使用及安全保护承担主体责任，并要求SDK运营者与App开发者就个人信息收集的目的、方式、种类、安全责任以及违约责任等事宜达成约定。此外，SDK运营者需制定内部合规制度，并采取必要的安全技术措施保护个人信息安全。相关要求明确提出SDK作为个人信息处理者需独立承担个人信息保护义务，SDK完全依赖宿主App履行全合规责任将彻底成为“过去式”。与此同时，通过促使SDK、App等主体间明确约定主体责任，将减少安全合规问题出现后的“响应困难”“追责困难”等情况，进一步压实应用程序安全合规工作。

最后，征求意见稿针对不同运营主体间的协同配合以及App开发者肩负的审核责任也提出了进一步要求。一方面，征求意见稿着重指出，App开发者需运用有效的技术手段对嵌入的SDK开展审核工作，并及时将与用户个人信息相关请求、投诉举报事宜告知SDK运营者，督促SDK作出响应或进行整改。另一方面，要求SDK运营者公示其个人信息收集使用相关规则，建立有效机制及时响应App用户个人信息查阅、复制、更正、补充、删除、限制处理等相关请求。未来，SDK将面临愈发严格的准入审核机制，SDK运营活动将从被动应对监管检查转变为主动履行安全合规义务。建议SDK运营者积极评估产品开发运营机制，制定自查自纠方案，通过打造安全合规产品服务，构筑坚实的核心竞争力。