APP合规一直是一个经久不衰的话题，随着相关要求的不断明确和细化，相关监管力度愈发严格。除常规APP外，小程序、快应用等应用程序也逐渐受到监管重视，监管范围覆盖APP开发者和运营者、内嵌第三方软件开发工具包（SDK）提供者、应用商店、技术服务提供者等多个主体，未来监管部门将发力应用程序全链条治理工作。然而，APP合规领域仍然问题频出。2022年度，工信部、网信部门、公安部门、国家计算机病毒应急处理中心等监管部门多次通报多款违法违规APP。近期，中国信通院、电信终端产业协会将在工信部的指导下联合多家行业重点企业制定并发布实施相关标准，规范APP“乱跳转”问题。

APP合规相关法律要求纷繁复杂，运营者在实践中难免出现疑惑，在日常工作中我们亦常常回应客户提出的与APP合规相关问题。我们将通过本系列解读，基于法律要求和过往经验，对APP合规实操中的常见问题进行解读和分享。

在实践中，APP运营者往往可能被认定为保护APP用户个人信息安全的首要责任人，需对所有APP用户个人信息相关的处理行为负责（包括SDK提供者的违法违规处理个人信息行为），成为监管机关的“被通报者”。不过如问题中所统计的工信部通报数据所示，监管也逐渐开始通报SDK提供者并披露具体问题，这是一个良好开端。在（2022）粤01民终3937号唯品会个人信息保护纠纷一案中，法院亦认为，唯品会无需对其未参与过的SDK通过APP实施的信息收集、上传、储存行为承担披露义务。

根据《网络安全标准实践指南—移动互联网应用程序（APP）使用软件开发工具包（SDK）安全指引》（v1.0-202011），APP运营者和SDK提供者主要有如下四种个人信息保护责任承担方式：

因此，APP运营者合规使用SDK的第一步就是评估SDK的安全性及合规性，梳理APP运营者与SDK提供者之间的法律关系，并通过制度制定、合同签署等方式明确双方的数据流向和权利义务分配。在集成SDK前，建议APP运营者采取如下措施防范风险：

（1）遵循合法、正当、必要的原则使用SDK，尽量选择提供者基本信息明确、沟通反馈渠道有效的SDK；

（2）对SDK的来源安全性、代码安全性及行为安全性进行评估，妥善留存评估报告，此处需特别注意SDK是否嵌入了其他SDK；

（3）梳理APP和SDK之间的数据流图，如数据是否由SDK直接收集，SDK收集的数据是否将回传APP、SDK是否本地化部署、APP是否向SDK传输数据等等。

（4）根据APP运营者和SDK提供者对个人信息处理方式和处理目的的决定权判断双方的法律关系，是委托处理、共同处理还是分别处理？在此基础上，建议APP运营者与SDK提供者签署相应的数据保护协议约定双方的权利义务并采取相应的第三方管理措施。

在集成SDK后，APP运营者需保持对SDK的持续动态监测或定期进行安全评估。在实践中，APP运营者可能因技术能力、评估方式、检测成本及谈判地位等因素可能难以在事前有效、全面地评估SDK的安全性和合规性，或对SDK提供者的行为进行有效约束，此时对集成后SDK行为的监测就显得更为重要，可重点关注如下方面：

（1）如嵌入开源SDK，建议根据APP实际情况及时调整相关代码进一步完善个人信息保护；

（2）对SDK的个人信息处理行为保持持续动态监测，及时拦截SDK通过APP违法违规处理个人信息的行为；

（3）及时修复已经发现的SDK安全漏洞或者采用其它替代方案，并从SDK官方渠道及时更新最新版本SDK。对于已经发现存在恶意行为的SDK，及时停止使用；

（4）对于具有热更新功能的SDK，对SDK的热更新内容进行内容校验，对于非官方的热更新内容进行阻断，对于发现问题的热更新内容应及时停用；

（5）通过接口调用SDK功能的，对接口增加鉴权机制；

（6）当双方合作存在重大变更时，建议重新达成合作协议。

同时，集成SDK还需考虑SDK的披露问题。《工业和信息化部关于开展信息通信服务感知提升行动的通知》要求APP运营者应简洁、清晰列出内嵌SDK的已收集个人信息清单及与SDK进行共享时的个人信息清单。参考被列入工信部首批设立“双清单”、提升客服热线响应能力、优化隐私政策和权限调用展示方式的互联网企业名单的39家企业的做法，前述企业基本将SDK的个人信息收集和共享情况共同披露在同一张清单中，在该清单中披露SDK名称、公司名称、使用目的、使用场景、收集个人信息种类、官网链接/隐私政策链接及共享方式等信息。

（大众点评App内嵌SDK名单：https://fe-config.meituan.com/bm/config/80bia162j1a6e7a44g.html）

（京东APP涉及嵌入第三方代码、插件传输个人信息的情形逐项列举：https://h5.m.jd.com/babelDiy/Zeus/2TUXHKBMgpgckQbcrDvhX4mxjLc7/index.html?showhead=no）

根据《信息安全技术 个人信息安全规范》（GB/T 35273-2020）对共享的定义，其与《个人信息保护法》中的对外提供内涵相似。但在实践中，“共享”往往可能涵盖委托处理、对外提供、共同处理等多重情形，使得普通用户难以区分。为更清晰地说明APP运营者和SDK提供者之间的个人信息处理情况，APP运营者可考虑基于前期对SDK的安全评估、数据流图梳理及合同签署等工作，在清单中披露APP运营者和SDK提供者之间的法律关系及数据流向，但这一做法暂未在实践中发现较好的范例，建议APP运营者基于法律风险、用户体验及商业需要等因素审慎考虑。

同时，建议APP运营者基于分别处理、委托处理和对外提供等不同个人信息处理场景在APP中设置相应的告知或获取同意路径。如存在SDK需向用户单独告知个人信息处理规则的情形，建议APP运营者为其中无单独页面的SDK提供向用户告知的便捷渠道。

此外，如SDK的集成不涉及个人信息的处理，为进一步降低风险，建议APP运营者仍披露相关SDK的基本情况，在收集/共享的个人信息种类处填写“无”。

（酷狗音乐App接入第三方SDK目录：https://activity.kugou.com/story/v-f230cf60/index.html）

在停用某SDK后，建议运营者及时从APP中移除该SDK的代码和调用该SDK的代码，存在通过本APP收集个人信息或运营者向SDK提供者传输个人信息等情形的，建议敦促SDK提供者按照合作协议约定，删除相应个人信息或做匿名化处理。

如下为本团队整理的APP使用SDK清单模板、App运营者使用SDK自查清单及工信部SDK通报清单，供APP运营者在实践中参考。