【国家标准】 信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求

ICS35.030
CCS L 80
中华人民共和国国家标准
GB/T43435—2023
移动互联网应用程序（App）
信息安全技术租
软件开发工具包（SDK)安全要求Information security technologySecurity requirements for software developmentkit （SDK） in mobile internet applications （App）2023-11-27发布
国家市场监督管理总局
国家标准化管理委员会
2024-06-01实施
规范性引用文件
术语和定义
SDK使用场景
SDK安全风险
5SDK设计、开发、发布、运营、终止运营等阶段安全要求5.1
终止运营
6SDK个人信息处理安全要求
个人信息收集
个人信息存储
个人信息使用和加工
个人信息传输
个人信息提供
6.6个人信息公开
个人信息删除
附录A（资料性）
附录B（资料性）
附录C（资料性）
附录D（资料性）
常见SDK服务类型
常见SDK安全漏洞
常见SDK恶意行为
常见SDK处理个人信息安全问题
GB/T43435—2023
GB/T43435—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：每日互动股份有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院、北京百度网讯科技有限公司、安徽工程大学、蚂蚁科技集团股份有限公司、华为技术有限公司、公安部第一研究所、国家计算机病毒应急处理中心、高德软件有限公司、北京快手科技有限公司、罗克佳华科技集团股份有限公司、荣耀终端有限公司、友盟同欣（北京）科技有限公司、公安部第三研究所、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、浙江省大数据联合计算中心有限公司、北京奇虎科技有限公司、北京小秸科技有限公司、小来通讯科技有限公司、OPPO广东移动通信有限公司、阿里巴巴（北京）软件服务有限公司、北京抖音信息服务有限公司、秒针信息技术有限公司、上海兆言网络科技有限公司、杭州云深科技有限公司、浙江大学、复且大学、神策网络科技(北京)有限公司、启明星辰信息技术集团股份有限公司、北京智游网安科技有限公司、上海合合信息科技股份有限公司、华住酒店管理有限公上海游昆信息技术有限公司、科大讯飞股份有限公司、同盾科技有限公司、贝壳找房（北京）科技有限公司、深圳海云安网络安全技术有限公司、北京指掌易科技有限公司、北京腾云关下科技有限公司、泰尔卓信科技（北京)有限公司。本文件主要起草人：董霖、方毅、刘行、周程、胡影、金岩、世杰、樊华、田晴云、何延哲、李浩川、武林娜、常浩伦、李颖莹、韩淼淼、彭婕、邓婷、徐雨晴、安泽亮、白晓媛、衣强、韩煜、刘彦、张鑫、黄玥澎、王昕、郭变香、赵晓娜、贾紫薇、田宇轩、张艳、曹岳、林星辰、王一宇、易立、姚一楠、张娜、黄香敏、付艳艳、黄天宁、田申、李肤婧、高雅、严涵、吕繁荣、尹祖勇、王秋、解伯延、汤立波、藏磊、周亚金、郑磊、李腾、魏超、张昀、王彬、沈林、余明明、史景、桑文锋、姚栋、谭成、李彪、谢朝海、落红卫、蔡欣奕、刘笑岑、张朝、葛梦莹、刘。
1范围
信息安全技术移动互联网应用程序（App）软件开发工具包（SDK）安全要求GB/T43435—2023
本文件规定了移动互联网应用程序（App)软件开发工具包（SDK)设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求本文件适用于SDK开发、运营，并供SDK安全检测和评估参考使用。2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。
GB/T25069—2022
GB/T34975—2017
信息安全技术术语
信息安全技术移动智能终端应用软件安全技术要求和测试评价方法GB/T35273—2020
信息安全技术个人信息安全规范GB/T37964—2019
GB/T41391—2022
：术语和定义
信息安全技术个人信息去标识化指南信息安全技术移动互联网应用程序（App)收集个人信息基本要求GB/T25069一2022、GB/T35273一2020、GB/T41391一2022界定的以及下列术语和定义适用于本文件。
软件开发工具包
softwaredevelopmentkit;SDK
协助软件开发的软件库。
注：软件开发工具包通常包括相关二进制文件、API、文档、范例和工具的集合。［来源：GB/T41391—2022，3.14，有修改」3.2
softwaredevelopmentkitoperator软件开发工具包运营者
软件开发工具包的开发者、所有者、管理者或提供者注：简称SDK运营者，也包括SDK相关的个人信息处理者。3.3
移动互联网应用程序运营者
mobileinternetapplicationoperator移动互联网应用程序的开发者、所有者、管理者或提供者。注：简称App运营者，也包括App相关的个人信息处理者。［来源：GB/T41391—2022，3.2，有修改］1
GB/T43435—2023
最终用户enduser
在移动终端设备上使用移动互联网应用程序的用户。3.5
热更新hotupdate
通过动态下发和加载代码，在ApPp或SDK不重新下载和安装的情况下，改变其原有代码逻辑或资源文件。
公共仓库publicrepository
方便开发者上传和下载源码或者二进制程序的公共平台。4概述
4.1SDK使用场景
SDK运营者将实现特定功能的代码开发并封装成SDK，ApP运营者将SDK嵌其开发的APP中，最终用户通过APP使用SDK提供的功能，例如广告、推送等，常见SDK服务类型见附录A4.2
SDK安全风险
最终用户在SDK使用过程中存在的安全风险主要包括：SDK安全漏洞，由于SDK技术方案不合理或者因自身代码缺陷产生的技术层面的安全隐患a)
和风险，例如弱加密算法漏洞等，常见SDK安全漏洞见附录B；SDK恶意行为，利用SDK进行违法、非正当的行为，例如广告刷量等，常见SDK恶意行为见b）
附录C；bzxZ.net
SDK处理个人信息安全同题，SDK运营过程中涉及个人信息处理的安全问题，例如超范围收集个人信息等，常见SDK处理个人信息安全问题见附录D。5SDK设计、开发、发布、运营、终止运营等阶段安全要求5.1设计
SDK设计阶段的安全要求包括：
a）SDK应仅包含与其声明功能相符合的功能，功能设计应符合正当、必要的原则；b）SDK宜提供单独控制热更新功能开启或关闭的选项，并确保App运营者在不接受热更新功能的情况下仍可正常使用SDK其他功能；c）在非服务所必需或者无合理场景下，SDK不应自启动或者关联启动其他App。5.2开发
SDK开发阶段的安全要求包括：
应满足GB/T34975—2017中4.1.5.1、4.1.5.2、4.1.5.3的要求；a）
SDK运营者应对SDK进行安全自评估，如代码审计、安全漏洞扫描、隐私合规检测等：c）
SDK运营者宜对广告、支付、认证、安全风控等安全要求较高的SDK进行第三方安全测评；d)
SDK运营者应对SDK中集成使用的第三方代码和/或组件进行安全检测。2
5.3发布
SDK发布阶段的安全要求包括：
GB/T43435—2023
SDK运营者应通过官方网站、开源社区、公共仓库或以其他方式提供SDK下载文件、集成文a)
档和API文档、隐私政策、问题反馈和投诉渠道等信息；SDK运营者应在官方网站、开源社区或集成文档中提供隐私政策，并在隐私政策中声明SDKb)
所具有的全部功能和个人信息处理规则，告知的信息应完整、准确、及时，不存在故意隐瞒、欺骗等行为；
SDK运营者发布SDK时应提供相关的数字签名（包括SDK运营者和/或第三方安全测评机构签发的数字签名）；
通过公共仓库进行SDK发布时，SDK运营者应对公共仓库账号进行妥善保管，避免因公共仓d）
库账号泄露引发的安全风险。
5.4运营
SDK运营阶段的安全要求包括：
SDK运营者应向App运营者提供SDK安全能力说明及安全评估报告（包括自评估和/或第三a）
方安全测评机构报告），如数据安全存储、数据安全交互、关键组件安全配置、代码及资源文件安全等方面：
如SDK存在热更新机制,SDK运营者应在热更新推送前向APP运营者告知本次热更新的具b）
体内容及可能造成的影响，在涉及用户利益受损的紧急情况下，SDK运营者应当在紧急情况消除后及时告知；如热更新内容涉及个人信息处理目的、方式和范围的变更，应通过邮件、电话等逐一送达方式告知App运营者，并宜通过App征得用户同意后再推送更新；c）
SDK运营者如在运营期间发现SDK安全漏洞，应告知APP运营者，并按照有关规定完成漏洞处置以及配合App运营者重新集成修复后的SDK；如ApP运营者与SDK运营者分属不同的法人实体，SDK运营者应与ApP运营者通过合同等d）
形式明确双方的安全责任及应实施的个人信息安全措施，约定APP运营者应当通过隐私政策等文件将SDK在ApP中实际处理个人信息的目的、方式、处理的个人信息种类、保存期限、个人信息主体行使权利的方式等规则告知最终用户：SDK运营者如发现APP运营者未能向最终用户告知SDK个人信息处理规则，或授权同意方e）
式不符合要求的，应主动提示其及时改进；如果APP运营者在约定时间内未完成改进的，SDK运营者应当停止向其继续提供服务；SDK运营者应建立响应个人信息主体请求和投诉机制，个人信息主体可通过APP运营者向f）
SDK运营者进行请求和投诉；
因SDK引发个人信息安全事件的，SDK运营者应按照GB/T35273一2020的第10章关于个人信息安全事件处置的要求进行处置；h）SDK运营者应按照GB/T35273一2020的第11章落实组织的个人信息安全管理要求5.5终止运营
SDK终止运营阶段的安全要求包括：SDK运营者在终止运营前，应提前告知受影响的App运营者；a）
SDK运营者在终止运营后，应按照6.7c)的要求对个人信息进行处理，b)
GB/T43435—2023
6SDK个人信息处理安全要求
1个人信息收集
SDK个人信息收集的安全要求包括以下内容。应满足GB/T35273—2020中第5章的要求。a）
b）SDK运营者应明确个人信息处理规则和保护责任，包括：SDK收集的个人信息的目的、方式、范围；1）
SDK申请的系统权限和申请目的；3）
SDK收集的个人信息的保存期限、被停止嵌人后的个人信息处理方式；个人信息安全责任和保护措施；4）
SDK是否存在热更新机制；
SDK是否存在自启动、关联启动；SDK收集的个人信息是否涉及向境外提供；SDK自行或协助App响应用户个人信息权利请求的措施。8）
SDK收集的个人信息不应超出隐私政策等方式中声明的个人信息收集范围。SDK在保证功能正常前提下应以最小范围收集个人信息。d)
注：范围通常涉及收集个人信息的类型、率、数量、精度等。e)
SDK应仅声明和申请实现SDK服务目的最小范围的系统权限，不应申请与SDK功能无关的系统权限。
在最终用户或App运营者未使用SDK提供的某项业务功能时，SDK不应主动通过App申请或使用App已申请的该项业务功能所需的权限，SDK收集个人信息前，应通过ApP征得最终用户同意g）
h）SDK收集敏感个人信息前，应通过App征得最终用户单独同意。2个人信息存储
SDK个人信息存储的安全要求包括：应满足GB/T35273—2020中6.1的要求；a
SDK运营者应对SDK运行所使用的文件、数据库中的敏感个人信息进行加密存储以及完整b)s
性校验，避免个人信息泄露或被寡改。3个人信息使用和加工
SDK个人信息使用和加工的安全要求包括：应满足GB/T35273—2020中第7章的要求；a
SDK运营者对个人信息的使用和加工方式应与隐私政策等形式中声明的内容保持一致，如汇聚融合、用户画像等；
SDK运营者如果需要对收集个人信息的使用或加工的目的进行变更，应重新告知ApP运营c）
者，并通过ApP告知用户并征得用户同意；SDK运营者人员访问通过SDK收集的个人信息，应进行访问控制，并遵循最小必要授权d）
原则；
SDK应优先在移动终端本地使用和加工个人信息。SZIC
6.4个人信息传输
SDK个人信息传输的安全要求包括：GB/T43435—2023
SDK传输敏感个人信息前应提供区别其他个人信息的安全保障，如采取合适的方式对敏感个人信息进行单独加密；
b）SDK运营者与App运营者之间传输敏感个人信息应采取加密处理等技术安全措施。5个人信息提供
SDK个人信息提供的安全要求包括：a）
应满足GB/T35273一2020中9.1、9.2、9.6的要求SDK运营者向ApP运营者之外的其他机构或个人提供其处理的个人信息，应按照法律法规规b）
定取得直接或间接用户授权，在间接用户授权的情况下，SDK运营者应当对用户授权情况进行核查、并留存核查记录；
注：直接用户授权指最终用户授权SDK运营者向App运营者之外的其他机构或个人提供其个人信息；间接用户授权指最终用户授权APP运营者之外的其他机构或个人从SDK运营者共享个人信息，SDK运营者向ApP运营者之外的其他机构或个人提供其处理的个人信息时，宜进行名化或c）
去标识化处理，去标识化处理的过程可依据GB/T37964一2019的第5章；SDK运营者向App运营者之外的其他机构或个人提供个人信息时，应与数据接收方通过合同d）
等形式明确双方的责任和义务，6.6个人信息公开
SDK运营者不应公开其处理的个人信息。6.7个人信息删除
SDK个人信息删除的安全要求包括：SDK运营者应向App运营者提供个人信息删除机制，最终用户可通过App行使个人信息删a）
除权利，SDK运营者应在接收到APP运营者关于最终用户的个人信息删除的请求后，在服务器端删除其收集的个人信息或做匿名化处理；b）App运营者停止接人SDK并通知SDK运营者后，SDK运营者应停止继续通过该App收集个人信息，若SDK运营者存在收集个人信息的，应按照双方合作协议中约定的个人信息处理要求和最终用户的授权范围，在服务器端删除其收集的个人信息或做匿名化处理；c）
SDK停止运营后，应在服务器端删除其收集的个人信息或做匿名化处理。5