9月27日，中国信通院安全研究所和北京环球律师事务所在深圳举办“加快推进数据要素市场化背景下——数据安全与治理研讨会”。会上，主办方发布《软件开发包（SDK）安全与合规报告（2020）》（下称报告）。

今年3月，会议软件Zoom被曝出在未明确告知用户的情况下，接入SDK向Facebook偷偷传送用户手机型号、时区、城市、广告唯一标记符等信息。这引起了公众对SDK安全的关注。

所谓SDK是指集成在App里的软件开发工具包，可以帮助App高效率、低成本地实现一系列功能，目前常见的SDK类型包括第三方登录分享类、支付类、推送类、广告类、统计分析类、地图类。

上述报告发现，App使用第三方SDK已成为普遍现象。各类App平均使用第三方SDK的数量在10个以上，且SDK的功能逐渐多样化，应用于不同领域的大量App中。

报告以推送类SDK为例，除了不断完善给予用户画像的实时、智能、多场景下的精准推送外，这类SDK往往还会统计分析产品运营情况，帮助App进行产品优化升级，甚至部分SDK提供者还同步推出登录验证功能。

报告指出，“第三方SDK已成为事实上链接各类业务功能App的数据枢纽，有机会获取来自各类App不同业务场景下多类别的个人信息。”

也就是说，SDK和App一样有收集个人信息的能力，但在实践中第三方SDK收集了哪些个人信息，用户往往难以感知，App开发者也未必完全知悉。

隐私护卫队此前报道，在Zoom向Facebook发送用户数据的事件爆发后，该公司CEO曾回应，一直到3月25日才发现Facebook SDK收集了不必要的设备信息，而后决定修改相关功能，并移除这款SDK。

上述报告指出，目前大多数App开发者不会对第三方SDK收集了哪些个人信息进行技术验证。在这种情况下，第三方的数据收集和处理活动对于App开发者而言，相当于一个缺乏透明度的“黑盒子”。

报告建议，App开发者积极履行数据合规义务，厘清App开发者与第三方SDK的合作关系，完善《隐私政策》或者制定单独的《第三方SDK收集使用个人信息声明》。

隐私护卫队注意到，目前现行有效的法律或者法规层级的文件，对第三方SDK的责任与义务、安全要求的规定仍较为缺失。不过，第三方SDK的安全问题已经引起官方重视，接下来将成为监管的重点。

今年7 月 22 日，中央网信办、工业和信息化部等四部门宣布启动2020年App违法违规收集使用个人信息治理工作，SDK、小程序首次被纳入评估范围。9月20日，由App专项治理工作组发布的《网络安全标准实践指南—移动互联网应用程序（App）中的第三方软件开发工具包（SDK）安全指引》开始征求意见。

报告建议，尽快完善相关法律法规，明确相关主体的责任义务。并且在法律法规中引入惩罚性条款，比如须对App开发者超出SDK提供者的请求范围提供个人信息，以及SDK提供者超出授权范围和使用目的收集使用个人信息行为进行处罚。

报告还建议，在App中加入用户自主调控SDK开启或者关闭界面。隐私护卫队注意到，上述安全指引的征求意见稿也提到，当用户不希望使用第三方SDK提供的服务时，可通过“Opt-out”机制行使退出权利。第三方SDK宜在官网或个人信息保护政策中透出“Opt-out”的链接，以便用户行使权利。

采写：南都记者李玲

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

李玲

蒋琳