四部委启动个人信息保护专项行动：SDK仍为治理重点

近年来，软件开发工具包（SDK）作为移动互联网生态重要组成部分，在降低开发成本、提升应用收益、推动服务创新的同时，也面临着行业野蛮生长、安全合规重视不足等问题。4月2日，中央网信办、工业和信息化部、公安部、市场监管总局发布公告，正式启动2025年个人信息保护系列专项行动，并将SDK违法违规收集使用个人信息列为六大治理重点之一，标志着SDK治理进入“全覆盖监管”新阶段。

公告提出将聚焦SDK个人信息保护五类问题开展治理，一是SDK未制定、公开隐私政策等收集使用个人信息规则文档问题，督促SDK履行明示告知义务。二是超出明示范围或约定类型收集、使用或共享个人信息问题。三是SDK违反最小必要原则调用敏感系统权限或收集与实现业务功能无关的个人信息问题。四是SDK未提供有效的个人信息相关投诉举报途径问题。五是提供个性化推送服务，但未提供停止收集个人信息或关闭功能选项问题。以上五大重点治理方向形成了对当前SDK收集使用个人信息、用户权益保护相关痛点、堵点问题的全面覆盖。

从标准层面看，2023年发布的国家标准GB/T 43435-2023《信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求》（以下简称“GB/T 43435”）作为我国首部针对SDK的专门性国家标准，提出SDK全生命周期管理思路，要求SDK运营者提供隐私政策、建立投诉举报渠道并遵循最小必要原则申请权限或采集信息，并在标准附录中对SDK个人信息处理活动中常见的安全合规问题进行了梳理。从主要内容来看，GB/T 43435提出的部分要求与本次专项行动治理重点高度重合，标准中各类规范、细则、附录资料等对于SDK运营者提升产品安全合规水平有着一定参考意义。

图 1 GB/T 43435-2023附录 D（节录）

2020年全国信息安全标准化技术委员会发布《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》（以下简称“安全指引”），旨在减少因SDK造成的App安全与个人信息保护问题，提出App使用SDK时应遵循的七项原则，与本次专项行动治理重点方向高度一致，在一定程度上可为App开发者进行SDK选型以及SDK运营者完善自身合规机制提供有益指引。此外，安全指引中部分具体建议，如“SDK建立选择退出机制，用户不希望使用SDK服务时可自主行使退出权利”等，在本次专项行动中也有所体现，但对适用场景进行了限缩，聚焦了当前社会高度关注、用户反映强烈的“个性化推荐相关功能”并明确要求SDK向App提供关闭选项，为非必要服务选择退出机制落地提供了突破口，推动相关规则从“形式合规”转向“实质落地”。

从已有规范性文件角度看，2023年工业和信息化部发布《进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26号）（以下简称“26号文”），要求SDK建立信息公示机制、优化功能配置、加强服务协同，其中针对SDK明示个人信息处理规则、遵循最小必要原则收集个人信息等均在本次专项行动治理范围之内，体现了相关要求的延续性、连贯性。同时，26号文要求“SDK运营者提供合规使用指南引导App使用”，并要求“App与SDK约定各方权利和义务”，而本次专项行动也将对SDK“未按照与App明确的规则处理个人信息”行为进行治理，体现了当前SDK合规工作中，App开发者与SDK运营者“分责、共治”的理念，双方通过签署服务合同、合作协议，可有效实现个人信息保护相关责任、义务的划分，明确限定收集使用范围，确保处理活动依法合规。

作为SDK开发者，应贯彻透明化、最小化设计理念。一是针对SDK业务功能所需个人信息、系统权限进行严格把控，以实现业务功能所需的最小必要为原则，严格限制SDK收集个人信息类型、频率。二是编制完整清晰的隐私政策、合规指引，完整明示SDK收集个人信息目的及范围、申请的系统权限和用途、用户个人信息行权渠道等重要信息。三是通过预设API接口、配置信息等方式，提供可选系统权限（非业务功能必需，但对业务功能有合理的辅助、增强作用）、个性化推荐等功能的开关控制，并编制合规指引、集成说明、接口文档等方式指导App开发者进行配置、选择。

作为App开发者，应首先加强SDK选型与接入审核。一方面针对SDK隐私政策、合规指引等文件完整性、时效性进行查验，评估SDK开发者合规意愿及落实情况。另一方面，通过参考相关文件，可完善App自身隐私政策内容，确保明示内嵌SDK名称、功能、处理个人信息规则等信息，提升自身合规水平。此外，App开发者应加强已集成SDK管理，通过签署合同、协议等文件，明确双方责任义务，并定期检查履行情况，并通过技术检测、报告审核等方式对SDK收集使用个人信息行为、安全风险漏洞等进行识别，发现违法违规情形立即停止相关服务并要求整改。如SDK业务功能涉及《个人信息保护法》第五十五条法定场景，App开发者则应要求SDK运营者提供其业务个人信息保护影响评估报告，以确保相关处理活动合法合规。

图 2 《个人信息保护法》第五十五条

2025年个人信息保护系列专项行动对SDK合规工作的重视，标志着SDK违法违规收集使用个人信息治理工作正从“分散规范”迈向“全面覆盖”，将进一步明确App开发者、SDK开发者在安全合规领域的责任、义务，并通过对典型问题的整治，逐步形成个人信息保护协同治理网络，促成构建覆盖SDK开发运营全生命周期的合规体系。行业各方应加强技术创新与协同治理，以个人信息保护为契机，凝聚行业共识，完善标准体系，通过严谨、科学的检验、评价工作，赋能优秀SDK产品，真正实现“以管促用”，推动移动互联网健康、蓬勃发展。