工信部通报13款违规SDK!治理APP侵权为何要规范SDK?

本文转自:东方网
当你第一次下载使用某应用软件(APP)时 , 多半会被要求通过微信、QQ或者支付宝授权一键登录 。对用户来说 , 这有可能增加了个人信息泄露风险 , 甚至直接被SDK收集了更多的个人信息 。
那么 , SDK是什么?它是如何嵌入一款APP的?治理APP侵权为何要规范SDK?
SDK是什么?
“SDK就是软件开发工具包 。”知乎博主刘看山说 , “用以辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK 。”一项功能被封装成SDK , 就可以出售给不想从头搞研发又需要这项功能的公司 。
“对于APP来说 , 嵌入SDK是非常普遍的一个现象 。”赛迪智库网络安全研究所所长刘权对《中国消费者报》采访人员说 ,
“对于用户而言 , 一个APP的身份认证、数据加密、支付、信用查询、信息核验、安全服务、数据统计等服务功能 , 被打成一个包 , 直接通过SDK调用第三方的应用 。SDK在APP上的应用很多 , 其作用就是为程序开发人员提供便捷 , 通过调用别人做好的模块 , 需要什么功能就按文档来调用对应接口 , 具体功能不需要自己开发 。”
【工信部通报13款违规SDK!治理APP侵权为何要规范SDK?】SDK违规行为不易察觉
近日 , 工信部最新公布的侵权APP名单里 , 将13款第三方SDK纳入该名单 , 公开其存在的具体违规问题 。
工信部通报13款违规SDK!治理APP侵权为何要规范SDK?
文章图片

文章图片

“目前SDK应用存在诸多问题 , 如没有明示SDK功能、收集使用信息的规则、目的、方式、范围、用途等 。”刘权说 。
“基于开发便利和用户研究的需要 , 往往需要大量的手机用户信息 , 因为在使用这些信息前往往不能判断哪些信息有价值 , 所以就会过量地收集一些看起来不必要的信息 。”业内观察人士马继华说 。
比如很常见的一键登录SDK , 实现功能相同 , 有的收集IMSI(国际移动用户识别码)、WiFi网络信息 , 有的获取系统设置项等信息 , 有的则需要WLAN状态等权限 , APP想要兼容多个登录入口 , 就必须声明获取上述全部信息 , 这就增加了APP过度收集个人信息的风险 。
又如 , 用户为实现订餐功能授权APP调用位置权限 , 但技术分析发现 , APP内嵌的广告类、用户画像类SDK也趁机调用了位置权限 。
“SDK的问题相对比较隐蔽 , 用户往往感觉不到 , 只是后台的开发者、程序员们才能了解 , 但这种信息的收集也有可能被用于非法的目的 。”马继华说 , “因此 , 有关部门应该定期通过专业技术进行检查测试 , 保护普通用户的合法权益 。”
“SDK作为个人信息保护的一环被关注的时间较短 , 相关标准和经验较少 。”刘权说 , “从技术上讲 , 应组织开发检测平台、软件和工具 , 鼓励APP厂商或服务商开展自我检查或委托第三方进行检测 。从标准上讲 , 应组织制定SDK信息披露方式及模板 , 将SDK功能、收集使用信息的规则、目的、方式、范围、用途等问题清晰地逐一列出 , 以保证用户知情权 。”
国家计算机网络应急技术处理协调中心相关负责人指出 , 部分头部企业已开始重视SDK权限的管理 , 增加了SDK控制中间件等技术手段 , 用于管控各类SDK对系统权限的滥用 。
如何防范SDK侵权?
“SDK本身不是什么需要防范的东西 , 它就是一段代码 , APP里面也全是代码 。”TalkingData法务合规负责人及数据合规官葛梦莹说 , “实际上 , APP是可以在嵌入之前做好SDK的合规性评估 , 并向个人用户明确告知其所嵌入的SDK类型、收集的数据类型、处理的目的和方式的 , APP对SDK是可以尽到谨慎的选择和评估义务的 , 是可控的 。目前都要求APP在隐私政策里公布SDK的类型、作用范围等 。”