工信部通报13款违规SDK！治理APP侵权为何要规范SDK？本文转自：东方网当你第一次

本文转自：东方网
当你第一次下载使用某应用软件（APP）时，多半会被要求通过微信、QQ或者支付宝授权一键登录。对用户来说，这有可能增加了个人信息泄露风险，甚至直接被SDK收集了更多的个人信息。
那么， SDK是什么？它是如何嵌入一款APP的？治理APP侵权为何要规范SDK？
SDK是什么？
“SDK就是软件开发工具包。”知乎博主刘看山说， “用以辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK 。”一项功能被封装成SDK ，就可以出售给不想从头搞研发又需要这项功能的公司。
“对于APP来说，嵌入SDK是非常普遍的一个现象。”赛迪智库网络安全研究所所长刘权对《中国消费者报》采访人员说，
“对于用户而言，一个APP的身份认证、数据加密、支付、信用查询、信息核验、安全服务、数据统计等服务功能，被打成一个包，直接通过SDK调用第三方的应用。SDK在APP上的应用很多，其作用就是为程序开发人员提供便捷，通过调用别人做好的模块，需要什么功能就按文档来调用对应接口，具体功能不需要自己开发。”
【工信部通报13款违规SDK！治理APP侵权为何要规范SDK？】SDK违规行为不易察觉
近日，工信部最新公布的侵权APP名单里，将13款第三方SDK纳入该名单，公开其存在的具体违规问题。

文章图片

文章图片

“目前SDK应用存在诸多问题，如没有明示SDK功能、收集使用信息的规则、目的、方式、范围、用途等。”刘权说。
“基于开发便利和用户研究的需要，往往需要大量的手机用户信息，因为在使用这些信息前往往不能判断哪些信息有价值，所以就会过量地收集一些看起来不必要的信息。”业内观察人士马继华说。
比如很常见的一键登录SDK ，实现功能相同，有的收集IMSI（国际移动用户识别码）、WiFi网络信息，有的获取系统设置项等信息，有的则需要WLAN状态等权限， APP想要兼容多个登录入口，就必须声明获取上述全部信息，这就增加了APP过度收集个人信息的风险。
又如，用户为实现订餐功能授权APP调用位置权限，但技术分析发现， APP内嵌的广告类、用户画像类SDK也趁机调用了位置权限。
“SDK的问题相对比较隐蔽，用户往往感觉不到，只是后台的开发者、程序员们才能了解，但这种信息的收集也有可能被用于非法的目的。”马继华说， “因此，有关部门应该定期通过专业技术进行检查测试，保护普通用户的合法权益。”
“SDK作为个人信息保护的一环被关注的时间较短，相关标准和经验较少。”刘权说， “从技术上讲，应组织开发检测平台、软件和工具，鼓励APP厂商或服务商开展自我检查或委托第三方进行检测。从标准上讲，应组织制定SDK信息披露方式及模板，将SDK功能、收集使用信息的规则、目的、方式、范围、用途等问题清晰地逐一列出，以保证用户知情权。”
国家计算机网络应急技术处理协调中心相关负责人指出，部分头部企业已开始重视SDK权限的管理，增加了SDK控制中间件等技术手段，用于管控各类SDK对系统权限的滥用。
如何防范SDK侵权？
“SDK本身不是什么需要防范的东西，它就是一段代码， APP里面也全是代码。”TalkingData法务合规负责人及数据合规官葛梦莹说， “实际上， APP是可以在嵌入之前做好SDK的合规性评估，并向个人用户明确告知其所嵌入的SDK类型、收集的数据类型、处理的目的和方式的， APP对SDK是可以尽到谨慎的选择和评估义务的，是可控的。目前都要求APP在隐私政策里公布SDK的类型、作用范围等。”