T/CSAC 006-2023 移动互联网应用程序（App）接入软件开发工具包（SDK）个人信息安全指南

ICS35.110

CCSL79

T/CSAC

团体标准

T/CSAC006—2023

移动互联网应用程序（App）接入软件开发

工具包（SDK）个人信息安全指南

Personalinformationsecurityguidelinesforintegratingsoftwaredevelopmentkitto

mobileinternetapplications

2023-9-22发布2023-9-22实施

中国网络空间安全协会发布

III

目  次

前  言..............................................................................2

1范围................................................................................3

2规范性引用文件......................................................................3

3术语和定义..........................................................................3

4缩略语..............................................................................4

5概述................................................................................4

5.1SDK概述.........................................................................5

5.2SDK使用场景与角色关系...........................................................5

5.3App与SDK责任划分...............................................................5

6SDK安全风险.........................................................................5

6.1SDK安全漏洞.....................................................................6

6.2SDK恶意行为.....................................................................6

6.3SDK违规处理个人信息.............................................................6

7App接入SDK安全原则.................................................................7

8App接入SDK安全指南.................................................................7

8.1App接入SDK生命周期.............................................................7

8.2设计阶段........................................................................8

8.3开发阶段........................................................................9

8.4运营阶段.......................................................................10

8.5退出阶段.......................................................................11

参考文献.......................................................................13

1

T/CSAC006—2023

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由网络空间安全协会提出并归口。

本文件起草单位：北京抖音信息服务有限公司、北京市政务信息安全保障中心、国家计算机网络应

急技术处理协调中心北京分中心、OPPO广东移动通信有限公司、深圳市和讯华谷信息技术有限公司、蚂

蚁科技集团股份有限公司、北京百度网讯科技有限公司、小米科技有限责任公司、华为技术有限公司、

三六零安全科技股份有限公司、阿里云计算有限公司、郑州云智信安安全技术有限公司、极客谷数字信

息安全产业园、北京航空航天大学、北京邮电大学。

本文件主要起草人：杜蕾、杨骁涵、安潇羽、李思凡、李昳婧、李若愚、王敏、赵乃萱、吴少卿、

谷元坤、靳鑫亚、荣晓燕、李媛、程颖博、姚菲、秦世勉、史坤坤、陈光炎、马超、卢威、李娜、付艳

艳、白晓媛、蒋思思、黄飞、杨智、彭铭、李实、吴汇洋、刘闯、黄天宁、关振宇、张熙。

2

移动互联网应用程序（App）接入软件开发工具包（SDK）个人信息

安全指南

1范围

本文件规定了App提供者和SDK提供者在App接入SDK的全生命周期内需遵循的信息安全指南，主

要涵盖和涉及设计、开发、运营和退出四个阶段。

本文件适用于App提供者和SDK提供者对自身的信息安全防护和个人信息保护行为机制进行设计和

评估，也适用于第三方评估机构和相关部门进行审查和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T41391—2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求

GB/T42582—2023信息安全技术移动互联网应用程序（App）个人信息安全测评规范

3术语和定义

GB/T25069—2020界定的以及下列术语和定义适用于本文件。

3.1

移动互联网应用程序mobileinternetapplication：App

运行在移动智能终端上的应用程序。

注：包括移动智能终端预置、下载安装的应用程序和小程序。

[来源:GB/T42582-2023，3.1]

3.2

移动互联网应用程序提供者mobileinternetapplicationprovider

移动互联网应用程序的开发者、运营者或所有者，简称App提供者。

3.3

软件开发工具包softwaredevelopmentkit

协助软件开发的软件库。

注：软件开发工具包通常包括相关二进制文件、文档、范例和工具的集合，简称SDK。

[来源:GB/T41391-2022，3.14，有修改]

3.4

第三方软件开发工具包third-partysoftwaredevelopmentkit

由移动互联网应用程序运营者之外的其他法人实体提供的软件开发工具包。

[来源:GB/T41391-2022，3.15]

3

T/CSAC006—2023

3.5

软件开发工具包提供者softwaredevelopmentkitprovider

软件开发工具包的开发者、运营者或所有者，