SDK侵犯个人信息 你了解吗?

2022-03-03 10:14:10 来源:中国消费者报

打印 放大 缩小

本报记者 武晓莉

当你第一次下载使用某应用软件(APP)时,多半会被要求通过微信、QQ或者支付宝授权一键登录。对用户来说,虽然很简单,但有可能会增加个人信息泄露风险,甚至直接被SDK收集更多的个人信息。

那么,SDK是什么?它是如何嵌入APP的?治理APP侵权为何要规范SDK?记者对这些用户关心的问题进行了深入的采访。

用SDK降低开发成本

“SDK就是软件开发工具包。”知乎博主刘看山说,“用以辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK。”一项功能被封装成SDK,就可以出售给不想从头搞研发又需要这项功能的公司。

“APP都是一个一个的信息孤岛,但各个APP 需要和其他APP产生联系,比如互相调用或者开放接口进行信息交换,由此会产生很多能与这个APP连接到一起的开发行为。”业内观察人士马继华对《中国消费者报》记者说,“APP就会将一些需要的程序打包提供给开发者,这就是SDK。”

“对于APP来说,嵌入SDK是非常普遍的一个现象。”赛迪智库网络安全研究所所长刘权对《中国消费者报》记者说,“对于用户而言,一个APP的身份认证、数据加密、支付、信用查询、信息核验、安全服务、数据统计等服务功能,被打成一个包,直接通过SDK调用第三方的应用。SDK在APP上的应用很多,其作用就是为程序开发人员提供便利,通过调用别人做好的模块,需要什么功能就按文档来调用对应接口,具体功能不需要自己开发。”

国家计算机网络应急技术处理协调中心、中国网络空间安全协会此前发布的《APP违法违规收集使用个人信息监测分析报告》显示,一款APP平均会嵌入10款以上SDK,并通过SDK实现认证登录、消息推送、访问统计等功能。更有甚者,一些自主开发水平较低的中小APP,甚至主要功能也依靠SDK实现。

SDK违规不易察觉

“SDK违规收集个人信息(设备Android ID)”“SDK违规收集个人信息(设备MAC地址)”“SDK违规收集个人信息(设备传感器信息)”……工信部最新公布的侵权APP名单里,明确列出了SDK的违规收集行为。

“目前SDK应用存在诸多问题,如没有明示SDK功能、收集使用信息的规则、目的、方式、范围、用途等。”刘权说。

“第三方SDK收集行为不规范,引发的APP违规问题日益凸显。”TalkingData法务合规负责人及数据合规官葛梦莹告诉《中国消费者报》记者,“一是同类型SDK收集的个人信息范围存在较大差异,缺乏统一标准;二是SDK的权限调用和声明行为不规范。目前,手机操作系统并未提供单独的SDK权限管理机制,而是由SDK直接调用APP的已有权限,部分SDK借此强制要求APP捆绑声明权限,或者调用APP权限过度收集个人信息。”

“基于开发便利和用户研究的需要,往往需要大量的手机用户信息,因为在使用这些信息前往往不能判断哪些信息有价值,所以就会过量地收集一些看起来不必要的信息。”马继华说。

比如很常见的一键登录SDK,实现功能相同,但有的收集IMSI(国际移动用户识别码)、WiFi网络信息,有的获取系统设置项等信息,有的则需要WLAN状态等权限,APP想要兼容多个登录入口,就必须声明获取上述全部信息,这就增加了APP过度收集个人信息的风险。又如,用户为实现订餐功能授权APP调用位置权限,但技术分析发现,APP内嵌的广告类、用户画像类SDK也趁机调用了位置权限。

用技术界定SDK是否合规

“SDK的问题相对比较隐蔽,用户往往感觉不到,只是后台的开发者、程序员们才能了解,但这种信息的收集也有可能被用于非法的目的。”马继华说,“因此,有关部门应该定期通过专业技术进行检查测试,保护普通用户的合法权益。”

“目前主要是靠APP主动去下载SDK的安装包链接,再自行嵌入至其APP的代码中,以实现相关功能。”葛梦莹说,从SDK的版本层面说,有些是标准化的版本,有些是根据APP的要求定制的个性化版本。从SDK的个人信息处理行为看,有些SDK仅作为技术工具,个人信息最终收集至APP的服务器,这种情况下,SDK和APP之间不涉及数据传输和交互等处理活动,就无需界定SDK的法律角色。但有些是SDK自行收集至自己的服务器,这就需要从技术上加以区分。从SDK的角色来说,有些SDK是以独立的处理者身份面向最终用户的,例如支付类、地图类,这种情况下,个人信息的处理行为就应该由SDK自行向个人用户负责。有些SDK与APP是共同处理者,双方共同决定个人信息的处理目的、方式,这种情况就可视为APP的一部分。

“SDK作为个人信息保护的一环被关注的时间较短,相关标准和经验较少。”刘权说,“从技术上讲,应组织开发检测平台、软件和工具,鼓励APP厂商或服务商开展自我检测或委托第三方进行检测。从标准上讲,应组织制定SDK信息披露方式及模板,将SDK功能、收集使用信息的规则、目的、方式、范围、用途等清晰地逐一列出,以保证用户知情权。”

国家计算机网络应急技术处理协调中心相关负责人指出,部分头部企业已开始重视SDK权限的管理,增加了SDK控制中间件等技术手段,用于管控各类SDK对系统权限的滥用。

多层面规范SDK权限

专家们认为,应该从技术、标准和法律层面规范SDK权限的管理,管控各类SDK对系统权限的滥用。

“从政策上讲,应将SDK隐私政策内容加入APP隐私政策中,同时加大对违规企业的处罚力度。”刘权说。

“法律和标准层面上,SDK相关的国家标准已经在制定中。SDK作为个人信息处理者,需要遵循相关法律法规,对自身的隐私政策要及时、完整地披露。而隐私政策作为向个人用户告知个人信息处理行为的必要载体,是用户感知最为明显的重要手段,不仅是APP所必备的,也是SDK厂商须对外披露的。”葛梦莹说,“除了很多SDK没有隐私政策的问题,隐私政策写得过于晦涩难懂,也是一个广受个人用户诟病的问题。隐私政策的写法、展示方式等,也需要严格符合相关法律法规和国家标准,例如落实《个人信息保护法》要求的‘处理个人信息应当具有明确合理的目的’‘收集个人信息,应当限于实现处理目的的最小范围’‘单独同意’等。在合规的前提下还须充分考虑个人用户的阅读习惯,并且切实保障用户权利的行使,这些也是接下来APP合规工作的重点。”

如何防范SDK侵权

“SDK本身不需要防范,它就是一段代码,APP里也全是代码。”葛梦莹说,“实际上,APP是可以在嵌入之前做好SDK的合规性评估,并向个人用户明确告知其所嵌入的SDK类型、收集的数据类型、处理的目的和方式的,APP对SDK是可以尽到谨慎的选择和评估义务的,是可控的。目前都要求APP在隐私政策里公布SDK的类型、作用范围等。”

“因为SDK的服务对象是APP,不是个人用户,所以最终向个人用户负责的应该是APP。”葛梦莹认为,对监管者来说,首先需要从技术层面上判断SDK的法律角色定位、处理个人信息的合法性基础以及特定角色。以自己名义独立提供服务的第三方才需要自己获得用户同意,自己承担责任。例如支付宝这样的SDK以及其他给企业提供服务的SDK,都是由被嵌入的APP一并获得用户同意,并且APP自己承担责任。其次要判断SDK处理行为的合规性,可以利用官方有相关资质的检测工具做检测,对SDK实际收集的个人信息与其隐私政策中所披露的内容进行一致性判断,对比相关字段是否一致。如果检测出SDK实际收集字段小于其隐私政策所披露的字段,则可认为其符合一致性。

据葛梦莹介绍,工信部此前已经要求互联网企业建立个人信息保护双清单(已收集个人信息清单和与第三方共享个人信息清单),并在APP二级菜单中展示,以便用户查询。首批设立双清单的企业包括腾讯、阿里、美团、快手、拼多多等39家。按照规定,已收集个人信息清单应简洁、清晰列出APP包括内嵌第三方SDK,已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。

马继华认为,此次专门提出对SDK的管理,是保护个人信息向深度发展的体现。监管部门应该联合相关开发企业、消费者代表等,严格制定个人信息收集标准以及相关的处罚规定。

关键词: 个人信息

责任编辑:ERM523

精彩推送

SDK侵犯个人信息 你了解吗? 31省份新增本土确诊病例54例 其中广东28例
上海原油期货主力合约涨停,涨幅约11%,续创上市以来新高 特斯拉CEO马斯克:加利福尼亚工厂正考虑大幅扩建
中方提醒美方还钱不是慷慨是天经地义 规范格式条款,完善“七日无理由退货”……最高法发布网络消费纠纷司法解释
面膜摇身变成“械字号”产品?不少企业打“擦边球” 2021年我国共发布医疗器械标准181项 数量同比增长21%
未按期交房!恒大人寿要求中天金融退还19.16亿价款 俄富豪阿布拉莫维奇将出售英超切尔西俱乐部
危机波及全球供应链 大众、宝马、三菱、雷诺等多家车企停工 民革中央:育龄人群生殖障碍问题不容忽视,建议治疗费入医保
动力电池回收迎来“高光时刻” 市场缺口巨大买家高价抢货 借充电宝却被投保“悟空保”,泰康全民保被指百万医疗险仅能报销30%…这些“套路保”可要长点心!
生态环境保护亮“硬核”答卷 开局之年态势良好 中国驻乌克兰使馆提醒:不要随意拍照和做容易引起误解的动作
马斯克@拜登 油价波动 上海原油期货助国内企业“减压”
稳坐钓鱼台!OPEC+“小碎步”增产 ,油价飙涨何时休? 油价"五连涨"来袭 部分地区或进入"8元时代"
拜登再次忽略特斯拉!马斯克:没人看国情咨文!他俩为何如此不对付? 股价腰斩,解禁来袭,顺丰控股推20亿回购计划,能奏效吗?
浆价震荡上行 多家纸企顺势启动涨价周期 万亿级汽车售后市场变革 个体汽修厂、夫妻店、4S店承压
美国部分航空公司宣布其航班将避开俄罗斯领空 房地产市场暖意初现
“北溪-2”天然气管道公司证实尚未申请破产 李东生建议:打击网络暴力、完善网络治理法律法规
波音暂停向俄罗斯各家航空公司提供技术支持 猪企流血加马力:温氏股份、正邦科技亏损超百亿元 行业拐点遥遥无期
耳聋“最后的10%”迎来治疗新希望 苹果暂停 在俄产品销售
国际油价突破110美元 急坏了这些A股投资者 失去诺奖赢得专利 华裔科学家张峰所持 “基因剪刀”公司股价暴涨
万亿级售后市场变革 谁在围猎个体汽修厂 俄乌冲突推动能化品全线暴涨 业内建议“谨慎追高”
外媒:俄方称现阶段俄罗斯的盟友是陆军和海军 但外交手段仍是必需的 俄媒:美航空管理部门称俄飞机在美领空可能会被拦截
还在打仗,推特上就有人提议让“鹰眼”扮演泽连斯基,被批“没有同情心” 通化化工董事长回应为儿子公司担保借款:与购买私人飞机无关
快讯!俄媒:俄代表团已出发前往俄乌谈判地点 小麦管得怎样?种子有无保障?农机够用吗?——透视全国春季农业生产关键问题
特斯拉再度加码澳洲锂矿:未来四年供应11万吨锂辉石精矿 全国政协委员刘永好:饲料综合成本连涨5年,养殖企业生存困难迫切需要外部支持
国家卫健委:累计报告接种新冠病毒疫苗313559.8万剂次 首个国产重组新冠病毒蛋白疫苗获批上市
降降降降降降降降!连降八月!价格几乎腰斩!它,直接影响彩电定价! 好丽友被指中外产品定价“双标” 回应称“价格调整周期不尽相同”
暴雷房企有没有公约数?闽系、粤系、川渝系房企成重灾区,并购是毒药 一图看懂|多地调整公积金政策,买房有什么新变化?
建行董事长:希望未来租房比例提高到30%以上 最高法:入网餐饮服务提供者不得以委托他人加工制作为由免责
德国加速实现可再生能源目标,中国光伏出口有望受益 两部门:到2025年力争在高端制造等重点领域建设若干国家级质量标准实验室
安徽出台多项举措遏制耕地“非农化”“非粮化” 北京市消协:2021年直播带货虚假宣传占比超3成 抖音淘宝快手舆情突出
让“杀熟”者有痛感 给“算法变算计”示警 两会直通车:网红村“千村一面”如何提质升级?
第二轮俄乌谈判将在3月2日举行 第七款!智飞生物重组新型冠状病毒蛋白疫苗获批上市
日本本田汽车公司决定暂停向俄出口轿车和摩托车 签收即视为商品质量合格?最高法:无效!
大发地产公告一笔美元债2227.5万美元利息逾期,拟对境外债务进行重组 最高法:明确虚假刷单、刷评、刷流量合同无效
新直播间上线老面孔出镜 “蜜蜂”探路薇娅复出? 最高法:网络直播营销要标明实际销售者
水银体温计逐步退市 电子体温计精度屡遭投诉 气价飙升致减产、停窑,广东陶瓷企业谨慎前行
全国人大代表张琳:建议央行支持豁免惠民保业务的支付通道费 “拯救者”拯救不了联想手机
爱奇艺发布新财报,龚宇首次将“盈亏平衡”设为目标 热点问答:俄军威慑力量进入“特殊战备”意味几何
罗永浩调侃俞敏洪“教育界下岗人员转行做主播”?刚刚,交个朋友回应…… 侠客岛:未来,我们这样“老吾老”
中乌两国领导人近期是否有通话打算?外交部回应 春节后家政市场火热!订单暴增、求职者翻倍!年轻、高学历成行业新趋势……
进出口银行董事长:支持外贸出口绝对不是“出口补贴” 农业农村部与联合国粮农组织推动南南合作促进农业发展
固定期限的银行存房和租房会是未来趋势吗?金融业的国家队这样说 罗永浩调侃“俞敏洪下岗人员做主播”?交个朋友:光看图有误解
全国政协委员、360创始人周鸿祎:建议把数字安全纳入新基建 刘永好:新希望争取每年提升1%的饲料使用综合效率
中房协发出书面调研函 摸底房企债务、资产处置及风险化解情况 哈啰出行申请“小哈修车”商标
知识帖!全国两会是哪两会? 中国援柬3号公路改扩建项目举行通车典礼
节后家政市场火爆:有月嫂年薪30万 “男家政”日益吃香 国家发改委:强化煤炭市场预期管理 规范价格指数行为
调查显示:深圳女性买房子更爱大户型 2月北京二手房成交量降三成,看房升温能否助推市场止跌回升?
国家药监局附条件批准安徽智飞龙科马生物重组新冠病毒蛋白疫苗 工信部:杜绝随意停限产等“一刀切”行为
让“杀熟”者有痛感,给“算法变算计”示警 国家药监局:停止经营蜜芝泉沁透焕肤日霜等化妆品
北京共有产权房出租管理细则出台 政府产权份额收取定额收益 小霸王因生产销售不合格产品被罚900元
载有近4000辆汽车的货轮因起火沉入大西洋,其中1100辆保时捷也“葬身海底”!理赔金额或高达9.8亿元 《士兵突击》制片人吴毅涉嫌职务侵占犯罪被立案侦查
1-2月百强房企拿地额同比下降超六成,联合拿地模式遇冷 新势力2月交付量爆冷!理想汽车夺冠,蔚来连续两月跌出前三