中國消費者報報道(記者武曉莉)當(dāng)你第一次下載使用某應(yīng)用軟件(APP)時,,多半會被要求你通過微信、QQ或者支付寶授權(quán)一鍵登錄,。對用戶來說,,雖然很簡單,但有可能增加了個人信息泄露風(fēng)險,,甚至直接被SDK收集了更多的個人信息,。
那么,SDK是什么,?它是如何嵌入一款A(yù)PP的,?治理APP侵權(quán)為何要規(guī)范SDK?記者對用戶關(guān)心的問題進行了深入的采訪,。
用SDK降低開發(fā)成本
“SDK就是軟件開發(fā)工具包,。”知乎博主劉看山說,,“用以輔助開發(fā)某一類軟件的相關(guān)文檔,、范例和工具的集合都可以叫做SDK?!币豁椆δ鼙环庋b成SDK,,就可以出售給不想從頭搞研發(fā)又需要這項功能的公司。
“APP都是一個一個的信息孤島,,但各個APP需要和其他APP產(chǎn)生聯(lián)系,,比如互相調(diào)用或者開放接口進行信息交換,由此會產(chǎn)生很多能與這個APP連接到一起的開發(fā)行為,?!睒I(yè)內(nèi)觀察人士馬繼華對《中國消費者報》記者說,“APP就會將一些需要的程序打包提供給開發(fā)者,,這就是SDK,。”
“對于APP來說,,嵌入SDK是非常普遍的一個現(xiàn)象,。”賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)對《中國消費者報》記者說,,“對于用戶而言,,一個APP的身份認(rèn)證、數(shù)據(jù)加密,、支付,、信用查詢,、信息核驗、安全服務(wù),、數(shù)據(jù)統(tǒng)計等服務(wù)功能,,被打成一個包,直接通過SDK調(diào)用第三方的應(yīng)用,。SDK在APP上的應(yīng)用很多,,其作用就是為程序開發(fā)人員提供便捷,通過調(diào)用別人做好的模塊,,需要什么功能就按文檔來調(diào)用對應(yīng)接口,,具體功能不需要自己開發(fā)?!?/p>
國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,、中國網(wǎng)絡(luò)空間安全協(xié)會此前發(fā)布的《APP違法違規(guī)收集使用個人信息監(jiān)測分析報告》顯示,從監(jiān)測數(shù)據(jù)可以看出,,一款A(yù)PP平均會嵌入10款以上SDK,,通過SDK實現(xiàn)認(rèn)證登錄、消息推送,、訪問統(tǒng)計等功能,。更有甚者,一些自主開發(fā)水平較低的中小APP,,甚至主要功能也依靠SDK實現(xiàn),。
SDK違規(guī)行為不易察覺
“SDK違規(guī)收集個人信息(設(shè)備Android ID)”“SDK違規(guī)收集個人信息(設(shè)備MAC地址)”“SDK違規(guī)收集個人信息(設(shè)備傳感器信息)”……工信部最新公布的侵權(quán)APP名單里,明確列出了SDK的違規(guī)收集行為,。
“目前SDK應(yīng)用存在諸多問題,,如沒有明示SDK功能、收集使用信息的規(guī)則,、目的,、方式、范圍,、用途等,。”劉權(quán)說,。
“第三方SDK收集行為不規(guī)范,,引發(fā)的APP違規(guī)問題日益凸顯?!盩alkingData法務(wù)合規(guī)負(fù)責(zé)人及數(shù)據(jù)合規(guī)官葛夢瑩告訴《中國消費者報》記者,,“一是同類型SDK收集的個人信息范圍存在較大差異,缺乏統(tǒng)一標(biāo)準(zhǔn),;二是SDK的權(quán)限調(diào)用和聲明行為不規(guī)范,。目前,,手機操作系統(tǒng)并未提供單獨的SDK權(quán)限管理機制,而是由SDK直接調(diào)用APP的已有權(quán)限,,部分SDK借此強制要求APP捆綁聲明權(quán)限,,或者調(diào)用APP權(quán)限過度收集個人信息?!?/p>
“基于開發(fā)便利和用戶研究的需要,,往往需要大量的手機用戶信息,因為在使用這些信息前往往不能判斷哪些信息有價值,,所以就會過量地收集一些看起來不必要的信息,。”馬繼華說,。
比如很常見的一鍵登錄SDK,,實現(xiàn)功能相同,但有的收集IMSI(國際移動用戶識別碼),、WiFi網(wǎng)絡(luò)信息,,有的獲取系統(tǒng)設(shè)置項等信息,有的則需要WLAN狀態(tài)等權(quán)限,,APP想要兼容多個登錄入口,,就必須聲明獲取上述全部信息,這就增加了APP過度收集個人信息的風(fēng)險,。又如,用戶為實現(xiàn)訂餐功能授權(quán)APP調(diào)用位置權(quán)限,,但技術(shù)分析發(fā)現(xiàn),,APP內(nèi)嵌的廣告類、用戶畫像類SDK也趁機調(diào)用了位置權(quán)限,。
應(yīng)從技術(shù)上界定SDK行為
“SDK的問題相對比較隱蔽,用戶往往感覺不到,,只是后臺的開發(fā)者,、程序員們才能了解,但這種信息的收集也有可能被用于非法的目的,?!瘪R繼華說,“因此,,有關(guān)部門應(yīng)該定期通過專業(yè)技術(shù)進行檢查測試,,保護普通用戶的合法權(quán)益?!?/p>
“目前主要是靠APP主動去下載SDK的安裝包鏈接,,再自行嵌入至其APP的代碼中,,以實現(xiàn)相關(guān)功能?!备饓衄撜f。從SDK的版本層面說,,有些是標(biāo)準(zhǔn)化的版本,,有些是根據(jù)APP的要求定制的私有化部署版本。從SDK的個人信息處理行為看,,有些是SDK僅作為技術(shù)工具,,個人信息最終收集至APP的服務(wù)器,這種情況下,,SDK和APP之間不涉及數(shù)據(jù)傳輸和交互等處理活動,,就無需界定SDK的法律角色。但有些是SDK自行收集至自己的服務(wù)器,,就需要從技術(shù)上加以區(qū)分,。從SDK的角色來說,有些SDK是以獨立的處理者身份面向最終用戶的,,例如支付類,、地圖類,這種情況下,,個人信息的處理行為就應(yīng)該由SDK自行向個人用戶負(fù)責(zé),。有些SDK與APP是共同處理者,雙方共同決定個人信息的處理目的,、方式,,這種情況就可視為APP的一部分?!?/p>
“SDK作為個人信息保護的一環(huán)被關(guān)注的時間較短,,相關(guān)標(biāo)準(zhǔn)和經(jīng)驗較少?!眲?quán)說,,“從技術(shù)上講,應(yīng)組織開發(fā)檢測平臺,、軟件和工具,,鼓勵A(yù)PP廠商或服務(wù)商開展自我檢查或委托第三方進行檢測。從標(biāo)準(zhǔn)上講,,應(yīng)組織制定SDK信息披露方式及模板,,將SDK功能、收集使用信息的規(guī)則,、目的,、方式,、范圍、用途等問題清晰地逐一列出,,以保證用戶知情權(quán),。”
國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心相關(guān)負(fù)責(zé)人指出,,部分頭部企業(yè)已開始重視SDK權(quán)限的管理,,增加了SDK控制中間件等技術(shù)手段,用于管控各類SDK對系統(tǒng)權(quán)限的濫用,。
多層面規(guī)范SDK行為
專家們認(rèn)為,,應(yīng)該從技術(shù)、標(biāo)準(zhǔn)和法律層面規(guī)范SDK權(quán)限的管理,,管控各類SDK對系統(tǒng)權(quán)限的濫用,。
“從政策上講,應(yīng)將SDK隱私政策內(nèi)容加入APP隱私政策要求中,,同時加大對違規(guī)企業(yè)的處罰力度,。”劉權(quán)說,。
“法律和標(biāo)準(zhǔn)層面上,,SDK相關(guān)的國家標(biāo)準(zhǔn)已經(jīng)在制定中。SDK作為個人信息處理者,,需要遵循相關(guān)法律法規(guī),,在自身的隱私政策中及時、完整地披露,。而隱私政策作為向個人用戶告知個人信息處理行為的必要載體,,是用戶感知最為明顯的重要手段,不僅是APP所必備的,,也是SDK廠商須對外披露的,。”葛夢瑩說,,“除了很多SDK沒有隱私政策的問題,,隱私政策寫得過于晦澀難懂,也是一個廣受個人用戶詬病的問題,。隱私政策的寫法,、展示方式等,也需要嚴(yán)格符合相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn),,例如落實《個人信息保護法》要求的‘處理個人信息應(yīng)當(dāng)具有明確合理的目的’‘收集個人信息,,應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍’‘單獨同意’等。在合規(guī)的前提下還須充分考慮個人用戶的閱讀習(xí)慣,并且能夠切實保障用戶權(quán)利的行使,,這些也是接下來APP合規(guī)工作的重點,。”
如何防范SDK侵權(quán)
“SDK本身不是什么需要防范的東西,,它就是一段代碼,,APP里面也全是代碼?!备饓衄撜f,,“實際上,APP是可以在嵌入之前做好SDK的合規(guī)性評估,,并向個人用戶明確告知其所嵌入的SDK類型、收集的數(shù)據(jù)類型,、處理的目的和方式的,,APP對SDK是可以盡到謹(jǐn)慎的選擇和評估義務(wù)的,是可控的,。目前都要求APP在隱私政策里公布SDK的類型,、作用范圍等?!?/p>
“因為SDK的服務(wù)對象是APP,,不是個人用戶,所以最終向個人用戶負(fù)責(zé)的應(yīng)該是APP,?!备饓衄撜J(rèn)為,對監(jiān)管者來說,,首先需要從技術(shù)層面上判斷SDK的法律角色定位,、處理個人信息的合法性基礎(chǔ)以及特定角色。以自己名義獨立提供服務(wù)的第三方才需要自己獲得用戶同意,,自己承擔(dān)責(zé)任,。例如支付寶這樣的SDK以及其他給企業(yè)提供服務(wù)的SDK,都是由被嵌入的APP一并獲得用戶同意,,并且APP自己承擔(dān)責(zé)任的,。其次要判斷SDK處理行為的合規(guī)性,可以利用官方的有相關(guān)資質(zhì)的檢測工具做檢測,,對SDK實際收集的個人信息與其隱私政策中所披露的內(nèi)容進行一致性判斷,,對比相關(guān)字段是否一致。如果檢測出SDK實際收集字段小于其隱私政策所披露的字段,,則可認(rèn)為其符合一致性,。
據(jù)葛夢瑩介紹,工信部此前已經(jīng)要求互聯(lián)網(wǎng)企業(yè)建立個人信息保護雙清單(已收集個人信息清單和與第三方共享個人信息清單),并在APP二級菜單中展示,,以便用戶查詢,。首批設(shè)立雙清單的企業(yè)包括騰訊、阿里,、美團,、快手、拼多多等39家,。披露的內(nèi)容包括已收集個人信息清單應(yīng)簡潔,、清晰列出APP包括內(nèi)嵌第三方SDK,已經(jīng)收集到的用戶個人信息基本情況,,包括信息種類,、使用目的、使用場景等,。
馬繼華認(rèn)為,,此次專門提出對SDK的管理,也是保護個人信息向深度發(fā)展的體現(xiàn),。監(jiān)管部門應(yīng)該聯(lián)合相關(guān)開發(fā)企業(yè),、消費者代表等,制定個人信息最高收集標(biāo)準(zhǔn)以及相關(guān)的處罰規(guī)定,。
官方微信公眾號
官方微博
