2021-03-07

关于GB/T 35273-2020《信息安全技术 个人信息安全规范》中“共同信息控制者”的理解

规范中说明若APP中嵌入第三方SDK，SDK未单独向用户征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。

对共同信息控制者的要求，包括通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体（用户）明确告知，如未尽到告知责任，则由APP承担因第三方引起的个人信息安全责任。