欢迎进入太原为达科贸有限公司官方网站!
今天是 2020年 09月 15日 星期二
公司动态
公司动态
公司动态
行业动态 您的位置: > 公司动态 > >
APP开发者使用SDK合规建议
2020-08-26

今天带大家来看业内人士对于APP开发者使用SDK的合规建议。
1

SDK选择
选择第三方SDK时,应以选择满足相应功能和性能需求为基础,不应只考虑价格问题,还需考虑安全问题。涉及SDK申请及使用的所有权限,均应且只应满足APP开发者所需的功能。超出APP所使用的功能,即使功能合理,也应当进行裁剪。如果有替代方案可通过不采集个人信息或不使用敏感权限的前提下也能够实现所需功能,应当采取替代方案。需要单独为SDK申请的隐私敏感权限,应进行严格控制。检查SDK是否通过国家安全等级保护的测评和备案,是否达到国际信息安全管理体系等国际权威认证标准的要求,并获得相应的认证。

2

安全评估
对第三方SDK应进行代码审计和漏洞检测,通过SDK反编译,评估来源可靠性、代码质量、潜在安全风险。对SDK所申请的敏感隐私权限、采集用户个人信息的字段、频率、回传服务端场景等进行安全评估,确认引入SDK所需使用的权限最小化。对SDK的权限的申请及获取进行限制,如安卓系统统一通过APP进行权限声明、禁止SDK热更新(若禁止热更影响SDK性能,需要求SDK出具自律声明)等。关注引入SDK的安全动态和版本更新情况,及时修复安全问题,更新代码。对引入SDK的代码进行混淆保护、加壳、加密等处理。

3

建立供应商管理制度
在网络安全等级保护测评要求或国际信息安全管理体系中,均有供应商管理要求。APP开发者应在第三方SDK签订的服务协议或安全责任书中明确后期的技术支持和服务承诺等内容、明确双方的安全责任及应实施的个人信息安全措施,协议应包括信息安全风险处理要求,就信息安全要求达成一致,并形成文件。应定期监视、评审和审核SDK的服务。

4

个人信息安全影响评估 
应在接入第三方SDK前开展个人信息安全影响评估(PIA),并依据评估结果采取有效的保护个人信息主体的措施。PIA应综合考虑:SDK数据接收方基本情况、数据收集的目的、类型、目的实现是否可以通过不收集数据或去标识化数据方式达成、数据对个人信息主体可能造成的侵害、数据对社会和个人潜在收益与风险、不收集数据是否会造成损害、是否有任何法定限制或其他因素对数据收集的限制、收集数据是否持续性的还是临时性的、收集数据是否已经达成目的、是否需要继续收集数据、是否与自身拥有同等网络安全和数据保护能力、动态重新审查PIA,是否有新的变化。

5

获得用户的同意
《SDK安全与合规白皮书》中提到:某些情况下SDK以自己的名义向用户提供服务,通过激活一个SDK接口而调用或者启动该用户已安装的另一个APP的服务,因为第三方SDK提供者有机会将自身品牌进行披露,用户对其使用的哪家企业实际提供的特定服务是有明显感知,可以采用三重授权原则,即用户授权+平台授权+用户授权,解决正当性问题。
另外一些SDK在收集用户信息时,用户并不能有明显感知,由于第三方SDK不直接面对用户,需要APP开发者提供代为告知用户(如增加告知链接、弹窗告知、变更隐私政策等)并获得用户“同意”。APP开发者可以在关于Cookie或同类技术的使用中,加入SDK的使用情况,向用户告知SDK收集个人信息的目的、数据收集的类型,涉及敏感信息时,还需要告知接收方的身份和数据安全能力,并征得明示同意,甚至可以直接增加第三方SDK隐私政策链接。并在用户撤回同意后,帮助用户删除在第三方SDK的相关数据。
App开发者还需要基于合同相对性,针对第三方SDK收集使用用户个人信息的情况,对用户承担合同法下的违约责任以及网络安全法下的行政责任,同时还有义务将各项合规义务传导至第三方SDK提供者。

 

实践中,阿里系企业在取得ISO27000体系认证后,也会要求其服务商也需要取得相应的认证。腾讯的微信登录今年增加了随机头像、随机昵称登录,并在微信中的小程序ID是独立的,同一个用户在不同的小程序间ID是不一样的,减少第三方对数据的关联度,保护用户的个人信息。
但是大部分初创型APP开发者对于第三方SDK并没有话语权,SDK不会和初创型APP开发者单独签订合同或者采取特殊网络安全保护措施,所以对于初创型APP开发者更应当妥善留存SDK接入有关合同和管理的记录,确保可供相关方查阅,做好前期PIA并根据情况重新审查,完善隐私政策取得用户对SDK收集数据的同意,开展技术检测确保SDK个人信息收集、使用行为符合约定要求,定期对SDK收集个人信息的行为进行审计。以保证发生数据安全事件或侵犯用户个人信息及隐私时,减轻或免除APP开发者的责任。
二维码
太原为达科贸有限公司 电话:400-705-0068 传真:400-705-0068 邮箱:admin@sxwl.com.cn 地址:太原市杏花岭区旱西关街中保大厦506
Copyright © 1998-2020 太原为达科贸有限公司版权所有      
    <bdo id='MSPJP'><label></label></bdo><dfn id='Zd'><ol></ol></dfn>
    <sup id='jg'><ol></ol></sup><marquee id='VXC'><thead></thead></marquee><blink id='koO'><bdo></bdo></blink>
    <xmp id='VXvy'><ol></ol></xmp><small id='dqBdxOgU'><q></q></small>