ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T 43435—2023 信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求 Information security technology—Security requirements for software development kit（SDK）in mobile internet applications（App） 2023-11-27发布 2024-06-01实施 国家市场监督管理总局 国家标准化管理委员会 发布 目录 前言 1 范围 2 规范性引用文件 3 术语和定义 4 概述 4.1 SDK使用场景 4.2 SDK安全风险 5 SDK设计、开发、发布、运营、终止运营等阶段安全要求 5.1 设计 5.2 开发 5.3 发布 5.4 运营 5.5 终止运营 6 SDK个人信息处理安全要求 6.1 个人信息收集 6.2 个人信息存储 6.3 个人信息使用和加工 6.4 个人信息传输 6.5 个人信息提供 6.6 个人信息公开 6.7 个人信息删除 附录A（资料性）常见SDK服务类型 附录B（资料性）常见SDK安全漏洞 附录C（资料性）常见SDK恶意行为 附录D（资料性）常见SDK处理个人信息安全问题 前言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：每日互动股份有限公司、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院、北京百度网讯科技有限公司、安徽工程大学、蚂蚁科技集团股份有限公司、华为技术有限公司、公安部第一研究所、国家计算机病毒应急处理中心、高德软件有限公司、北京快手科技有限公司、罗克佳华科技集团股份有限公司、荣耀终端有限公司、友盟同欣（北京）科技有限公司、公安部第三研究所、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、浙江省大数据联合计算中心有限公司、北京奇虎科技有限公司、北京小桔科技有限公司、小米通讯技术有限公司、OPPO广东移动通信有限公司、阿里巴巴（北京）软件服务有限公司、北京抖音信息服务有限公司、秒针信息技术有限公司、上海兆言网络科技有限公司、杭州云深科技有限公司、浙江大学、复旦大学、神策网络科技（北京）有限公司、启明星辰信息技术集团股份有限公司、北京智游网安科技有限公司、上海合合信息科技股份有限公司、华住酒店管理有限公司、上海游昆信息技术有限公司、科大讯飞股份有限公司、同盾科技有限公司、贝壳找房（北京）科技有限公司、深圳海云安网络安全技术有限公司、北京指掌易科技有限公司、北京腾云天下科技有限公司、泰尔卓信科技（北京）有限公司。 本文件主要起草人：董霖、方毅、刘行、周程、胡影、金岩、世杰、樊华、田晴云、何延哲、李浩川、武林娜、常浩伦、李颖莹、韩淼淼、彭婕、邓婷、徐雨晴、安泽亮、白晓媛、衣强、韩煜、刘彦、张鑫、黄玥澎、王昕、郭变香、赵晓娜、贾紫薇、田宇轩、张艳、曹岳、林星辰、王一宇、易立、姚一楠、张娜、黄香敏、付艳艳、黄天宁、田申、李姝婧、高雅、严涵、吕繁荣、尹祖勇、王秋、解伯延、汤立波、臧磊、周亚金、郑磊、李腾、魏超、张昀、王彬、沈林、余明明、史景、桑文锋、姚栋、谭成、李彪、谢朝海、骆红卫、蔡欣奕、刘笑岑、张朝、葛梦莹、刘。 1 范围 本文件规定了移动互联网应用程序（App）软件开发工具包（SDK）设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求。 本文件适用于SDK开发、运营，并供SDK安全检测和评估参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2022 信息安全技术术语 GB/T 34975—2017 信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法 GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 37964—2019 GB/T 41391—2022 3 术语和定义 GB/T 25069—2022界定的术语和定义适用于本文件。