原標題：工信部通報13款第三方SDK違規問題 釋放出哪些信號？

　　21世紀經濟報道記者 王俊 實習生 溫瑩雪 北京報道

　　近日，工業和信息化部信息通信管理局通報了侵害用戶權益行為的APP（SDK）名單，將13款第三方SDK納入該名單，公開其存在的具體違規問題。

　　隨著對個人信息保護治理的推進，監管思路更加清晰，第三方SDK同APP一同被納入監管范圍之內，讓過去隱藏于“宿主App”之下的SDK能夠更容易被檢測。此次對侵權SDK存在的具體問題進行通報，可見對違法違規收集個人信息的治理更實更深。

　　不過，受訪專家也指出，目前監管側對采集側的檢測關注度高，建議重視數據收集后處理使用、共享交換等活動，形成個人信息保護的閉環管理。

　　SDK——隱藏的App黑盒

　　嵌入SDK的相關App，通常被稱為“宿主APP”，從該稱呼也能一窺SDK與App之間的關系。

　　所謂SDK（Software Development Kit），就是軟件開發工具包。一般是一些被軟件工程師用于為特定軟件包、軟件框架、硬件平臺、作業系統等創建應用軟件的開發工具集合。

　　SDK無法獨立展示前臺頁面，其各種告知行為需要借助“宿主App”傳達給用戶。但如果部分SDK未向宿主APP告知自身收集的個人信息，或SDK公開了收集規則但宿主App卻未向用戶表明，那么就有可能違規泄露用戶隱私。

　　截止2021年9月底，愛加密大數據平臺共計收錄Android移動App 347萬款，其中34.17%的App嵌入工具類的SDK。根據移動互聯網系統與應用安全國家工程實驗室和愛加密移動應用大數據平臺聯合發布的2021年Q3《全國移動App風險監測評估報告》稱，第三方SDK通常是造成用戶個人信息在網上“裸奔”的罪魁禍首。

　　早在2020年7月，央視播出的“3·15”晚會報道了SDK存在的隱私問題。此后工信部發文要求嚴查涉事SDK企業。

　　去年10月，工信部曾下架96款侵害用戶權益APP、通報3款違規SDK，稱檢測發現字節跳動“穿山甲”SDK、騰訊“優量匯”SDK、快手廣告SDK問題較多，分別占問題總量比例的37.4%、29.9%、8.0%。

　　但當時沒有提及違規SDK存在的具體問題，本次通報列明了13款SDK違規收集個人信息的具體問題：8款SDK涉及收集設備Android ID，4款涉及收集設備IMEI號，3款涉及收集設備MAC地址，兩款涉及收集設備IMSI號，1款涉及收集設備ICCID號，以上違規收集的信息均屬于違規獲取設備ID。“身份ID”一經泄露有可能導致被SDK開發者跟蹤，存在隱私保護不合規的問題。

　　除此之外，還有1款SDK涉及收集設備傳感器信息，另有1款SDK涉及收集設備安裝列表。

　　北京尚隱科技有限公司CEO張仁卓告訴向21世紀經濟報道記者解釋稱，傳感器信息可能會收集用戶的計步信息、健身信息、血壓信息等等，并且收集傳感器的型號、版本號等容易形成設備指紋，用以辨識設備。而“設備安裝列表畫像”往往用以描繪用戶畫像，可能泄露一些用戶的特征，譬如是某銀行的客戶、愛好某款游戲等。

　　做實做細對SDK的監管路徑

　　工信部對侵權SDK進行通報，可見對違法違規收集個人信息的治理將更實更深。

　　上述提及，自2020年開始，第三方SDK便漸漸被納入監管范圍內。當年7月22日，中央網信辦、工業和信息化部、公安部、國家市場監管總局四部門啟動 2020 年 App 違法違規收集使用個人信息治理工作，對SDK的治理被列為年度治理重點。

　　隨著對于第三方SDK的規范陸續出臺，第三方服務的開發者也逐漸被明確責任。

　　2020年10月起，《信息安全技術 個人信息安全規范》明確了第三方接入者的責任。2021年3月，《常見類型移動互聯網應用程序必要個人信息范圍規定》約束了第三方SDK收集的信息范圍需要與APP等同。2021年4月，《移動互聯網應用程序個人信息保護管理暫行規定》對第三方服務提供者履行信息保護義務提出了要求。

　　可以看出，政府部門的監管思路更加清晰，將第三方SDK同APP一同納入監管范圍之內，更容易檢測過去隱藏于宿主APP之下的SDK合規風險。

　　2021年11月工信部更進一步，發布《關于開展信息通信服務感知提升行動的通知》，被稱為“524行動”。該通知中的“2”即要求企業建立個人信息保護“雙清單”，即已收集個人信息清單和第三方共享個人信息清單。

　　“核心目的，就是讓APP和SDK的開發者遵循‘收集的個人信息清單’和‘實際收集的行為’保持一致。”北京漢華飛天信安科技有限公司總經理彭根對21世紀經濟報道記者說。

　　在張仁卓看來，“雙清單”的要求至少是將SDK收集的個人信息呈現在“陽光下”，企業要證明其收集的合規性，對監管機關而言也有了檢測的基線。 

　　加強個人信息保護的閉環管理

　　然而想要監管躲在App背后的SDK，并非易事。

　　目前App研發企業大多通過隱私政策的方式對SDK進行了解，但尚無對應的技術手段、檢測思路以及動力對第三方SDK進行檢測，從而發現其實際的個人信息收集行為是否與隱私政策中描述的一致。

　　彭根認為，通過事后攔截的方式可以更快速地解決App合規性問題。他認為對于被要求整改的宿主APP來說，目前無外乎四個方案：等待被通報的SDK自行整改、替換相同功能的SDK、自主研發相同功能以及刪除相應SDK。但以上方案都面臨著無法掌控或研發周期長等業務風險。他建議引入一個“合規審核員”，即動態行為攔截技術，對代碼每一次收集用戶個人信息的行為進行合規審計，攔截掉違規收集行為。

　　張仁卓則指出，目前對SDK的監管較強依賴于第三方檢測，這種檢測方式類似于當前的APP檢測，已經相對成熟。

　　不過，他也提出，目前監管僅關注采集側的檢測，建議加強對數據收集后處理使用、共享交換等活動關注度，這樣最后的管理效果更好。

　　“個人信息保護的閉環管理終究是要落地在‘個人信息管理’上。隱私政策、聲明以及權限管理等僅是完成個人信息保護的載體之一，是必要而非充分條件。后續仍需加強對數據處理使用、共享交換等活動的管理。”張仁卓表示。

　　（作者：王俊，實習生溫瑩雪 編輯：吳立洋）

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：鄧健