我國移動互聯網市場經歷了將近20年的快速發展，已經形成了龐大的產業規模，創造了可觀的經濟效益，并且在業務模式和商業模式創新方面引領全球。同時，移動互聯網正在向傳統產業加速滲透，人工智能、大數據、物聯網等信息技術與實體經濟持續深度融合，不斷催生傳統產業服務新業態，逐步改造著醫療、教育、交通、旅游、金融、傳媒等傳統行業的服務模式。在此過程中，移動應用軟件，即APP，發揮了不可替代的入口作用，全天候、全方位深度參與到了廣大網民日常生活的方方面面。

APP在提供各類便捷、高效、普惠服務的同時，也在無時不刻地收集、使用用戶的個人信息。近年來新聞媒體曝光的涉及APP個人信息保護相關事件顯示，APP強制授權、過度索權、超范圍收集個人信息等問題已經十分突出。為此，今年1月份，中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合開展APP違法違規收集使用個人信息專項治理，重拳出擊，整治亂象。隨著APP個人信息保護治理工作的深入推進，與APP存在密切聯系的第三方軟件開發包（SDK）收集個人信息問題也逐漸進入各方視野。

本報告聚焦于第三方SDK，梳理當前應用較為廣泛的第三方SDK類型和市場情況，結合實際案例分析第三方SDK存在的主要安全問題以及第三方SDK提供者與APP開發者合作過程中面臨的法律合規問題。通過調研歐盟、美國的相關經驗做法，從法律法規、企業責任、技術標準、行業自律等方面結合我國實際情況提出了有針對性的建議。

一、 第三方SDK的業內現狀

（一）第三方SDK常見類型及應用情況

（二）第三方SDK普遍應用的原因分析

二、 第三方SDK的主要安全問題及分析

（一）第三方SDK自身安全性不容樂觀

（二）第三方SDK成為病毒傳播新途徑

（三）第三方SDK隱蔽收集個人信息問題逐步顯現

三、 第三方SDK的主要合規問題及分析

（一）第三方SDK作為數據處理者時，主要合規問題分析

（二）第三方SDK作為共同數據控制者時，主要合規問題分析

四、 第三方SDK管理的域外經驗

（一）歐盟的第三方SDK管理經驗

（二）美國的第三方SDK管理經驗

五、 針對我國第三方SDK管理的相關建議

（一）盡快完善相關法律法規，明確相關主體的責任義務

（二）APP開發者需要積極履行數據共享合規義務

（三）第三方SDK提供者需要加快構建數據安全合規體系

（四）加快研究制定SDK安全標準及指南

（五）鼓勵第三方SDK企業開展行業自律

附錄  第三方SDK產品的安全與合規實踐

    軟件開發包（SDK）安全與合規白皮書.pdf