9.7 第三方接入管理

當個人信息控制者在其產品或服務中接入具備收集個人信息功能的第三方產品或服務且不適用本標準9.1和9.6的，對個人信息控制者的要求包括:

a) 建立第三方產品或服務接入管理機制和工作流程，必要時應建立安全評估等機制設置接入條件；

b) 應與第三方產品或服務提供者通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施；

c) 應向個人信息主體明確標識產品或服務由第三方提供；

d) 應妥善留存平臺第三方接入有關合同和管理記錄，確保可供相關方查閱；

e) 應要求第三方根據本標準相關要求向個人信息主體征得收集個人信息的授權同意，核驗其實現的方式；

f) 應要求第三方產品或服務建立響應個人信息主體請求和投訴等的機制，并妥善留存、及時更新，以供個人信息主體查詢、使用；

g) 應督促和監督第三方產品或服務提供者加強個人信息安全管理，發現第三方產品或服務沒有落實安全管理要求和責任的，應及時督促整改，必要時停止接入；

h) 涉及第三方嵌入或接入的自動化工具（如代碼、腳本、接口、算法模型、軟件開發工具包、小程序等）的，宜：

1) 開展技術檢測確保其個人信息收集、使用行為符合約定要求；

2) 對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計，發現超出約定的行為，及時切斷接入。