中國消費者報報道 當你第一次下載使用某應用軟件（APP）時，多半會被要求你通過微信、QQ或者支付寶授權一鍵登錄。對用戶來說，雖然很簡單，但有可能增加了個人信息泄露風險，甚至直接被SDK收集了更多的個人信息。

　　那么，SDK是什么？它是如何嵌入一款APP的？治理APP侵權為何要規范SDK？記者對用戶關心的問題進行了深入的采訪。

　　用SDK降低開發成本

　　“SDK就是軟件開發工具包。”知乎博主劉看山說，“用以輔助開發某一類軟件的相關文檔、范例和工具的集合都可以叫做SDK。”一項功能被封裝成SDK，就可以出售給不想從頭搞研發又需要這項功能的公司。

　　“APP都是一個一個的信息孤島，但各個APP需要和其他APP產生聯系，比如互相調用或者開放接口進行信息交換，由此會產生很多能與這個APP連接到一起的開發行為。”業內觀察人士馬繼華對《中國消費者報》記者說，“APP就會將一些需要的程序打包提供給開發者，這就是SDK。”

　　“對于APP來說，嵌入SDK是非常普遍的一個現象。”賽迪智庫網絡安全研究所所長劉權對《中國消費者報》記者說，“對于用戶而言，一個APP的身份認證、數據加密、支付、信用查詢、信息核驗、安全服務、數據統計等服務功能，被打成一個包，直接通過SDK調用第三方的應用。SDK在APP上的應用很多，其作用就是為程序開發人員提供便捷，通過調用別人做好的模塊，需要什么功能就按文檔來調用對應接口，具體功能不需要自己開發。”

　　國家計算機網絡應急技術處理協調中心、中國網絡空間安全協會此前發布的《APP違法違規收集使用個人信息監測分析報告》顯示，從監測數據可以看出，一款APP平均會嵌入10款以上SDK，通過SDK實現認證登錄、消息推送、訪問統計等功能。更有甚者，一些自主開發水平較低的中小APP，甚至主要功能也依靠SDK實現。

　　SDK違規行為不易察覺

　　“SDK違規收集個人信息（設備Android ID）”“SDK違規收集個人信息（設備MAC地址）”“SDK違規收集個人信息（設備傳感器信息）”……工信部最新公布的侵權APP名單里，明確列出了SDK的違規收集行為。

　　“目前SDK應用存在諸多問題，如沒有明示SDK功能、收集使用信息的規則、目的、方式、范圍、用途等。”劉權說。

　　“第三方SDK收集行為不規范，引發的APP違規問題日益凸顯。”TalkingData法務合規負責人及數據合規官葛夢瑩告訴《中國消費者報》記者，“一是同類型SDK收集的個人信息范圍存在較大差異，缺乏統一標準；二是SDK的權限調用和聲明行為不規范。目前，手機操作系統并未提供單獨的SDK權限管理機制，而是由SDK直接調用APP的已有權限，部分SDK借此強制要求APP捆綁聲明權限，或者調用APP權限過度收集個人信息。”

　　“基于開發便利和用戶研究的需要，往往需要大量的手機用戶信息，因為在使用這些信息前往往不能判斷哪些信息有價值，所以就會過量地收集一些看起來不必要的信息。”馬繼華說。

　　比如很常見的一鍵登錄SDK，實現功能相同，但有的收集IMSI（國際移動用戶識別碼）、WiFi網絡信息，有的獲取系統設置項等信息，有的則需要WLAN狀態等權限，APP想要兼容多個登錄入口，就必須聲明獲取上述全部信息，這就增加了APP過度收集個人信息的風險。又如，用戶為實現訂餐功能授權APP調用位置權限，但技術分析發現，APP內嵌的廣告類、用戶畫像類SDK也趁機調用了位置權限。

　　應從技術上界定SDK行為

　　“SDK的問題相對比較隱蔽，用戶往往感覺不到，只是后臺的開發者、程序員們才能了解，但這種信息的收集也有可能被用于非法的目的。”馬繼華說，“因此，有關部門應該定期通過專業技術進行檢查測試，保護普通用戶的合法權益。”

　　“目前主要是靠APP主動去下載SDK的安裝包鏈接，再自行嵌入至其APP的代碼中，以實現相關功能。”葛夢瑩說。從SDK的版本層面說，有些是標準化的版本，有些是根據APP的要求定制的私有化部署版本。從SDK的個人信息處理行為看，有些是SDK僅作為技術工具，個人信息最終收集至APP的服務器，這種情況下，SDK和APP之間不涉及數據傳輸和交互等處理活動，就無需界定SDK的法律角色。但有些是SDK自行收集至自己的服務器，就需要從技術上加以區分。從SDK的角色來說，有些SDK是以獨立的處理者身份面向最終用戶的，例如支付類、地圖類，這種情況下，個人信息的處理行為就應該由SDK自行向個人用戶負責。有些SDK與APP是共同處理者，雙方共同決定個人信息的處理目的、方式，這種情況就可視為APP的一部分。”

　　“SDK作為個人信息保護的一環被關注的時間較短，相關標準和經驗較少。”劉權說，“從技術上講，應組織開發檢測平臺、軟件和工具，鼓勵APP廠商或服務商開展自我檢查或委托第三方進行檢測。從標準上講，應組織制定SDK信息披露方式及模板，將SDK功能、收集使用信息的規則、目的、方式、范圍、用途等問題清晰地逐一列出，以保證用戶知情權。”

　　國家計算機網絡應急技術處理協調中心相關負責人指出，部分頭部企業已開始重視SDK權限的管理，增加了SDK控制中間件等技術手段，用于管控各類SDK對系統權限的濫用。

　　多層面規范SDK行為

　　專家們認為，應該從技術、標準和法律層面規范SDK權限的管理，管控各類SDK對系統權限的濫用。

　　“從政策上講，應將SDK隱私政策內容加入APP隱私政策要求中，同時加大對違規企業的處罰力度。”劉權說。

　　“法律和標準層面上，SDK相關的國家標準已經在制定中。SDK作為個人信息處理者，需要遵循相關法律法規，在自身的隱私政策中及時、完整地披露。而隱私政策作為向個人用戶告知個人信息處理行為的必要載體，是用戶感知最為明顯的重要手段，不僅是APP所必備的，也是SDK廠商須對外披露的。”葛夢瑩說，“除了很多SDK沒有隱私政策的問題，隱私政策寫得過于晦澀難懂，也是一個廣受個人用戶詬病的問題。隱私政策的寫法、展示方式等，也需要嚴格符合相關法律法規和國家標準，例如落實《個人信息保護法》要求的‘處理個人信息應當具有明確合理的目的’‘收集個人信息，應當限于實現處理目的的最小范圍’‘單獨同意’等。在合規的前提下還須充分考慮個人用戶的閱讀習慣，并且能夠切實保障用戶權利的行使，這些也是接下來APP合規工作的重點。”

　　如何防范SDK侵權

　　“SDK本身不是什么需要防范的東西，它就是一段代碼，APP里面也全是代碼。”葛夢瑩說，“實際上，APP是可以在嵌入之前做好SDK的合規性評估，并向個人用戶明確告知其所嵌入的SDK類型、收集的數據類型、處理的目的和方式的，APP對SDK是可以盡到謹慎的選擇和評估義務的，是可控的。目前都要求APP在隱私政策里公布SDK的類型、作用范圍等。”

　　“因為SDK的服務對象是APP，不是個人用戶，所以最終向個人用戶負責的應該是APP。”葛夢瑩認為，對監管者來說，首先需要從技術層面上判斷SDK的法律角色定位、處理個人信息的合法性基礎以及特定角色。以自己名義獨立提供服務的第三方才需要自己獲得用戶同意，自己承擔責任。例如支付寶這樣的SDK以及其他給企業提供服務的SDK，都是由被嵌入的APP一并獲得用戶同意，并且APP自己承擔責任的。其次要判斷SDK處理行為的合規性，可以利用官方的有相關資質的檢測工具做檢測，對SDK實際收集的個人信息與其隱私政策中所披露的內容進行一致性判斷，對比相關字段是否一致。如果檢測出SDK實際收集字段小于其隱私政策所披露的字段，則可認為其符合一致性。

　　據葛夢瑩介紹，工信部此前已經要求互聯網企業建立個人信息保護雙清單（已收集個人信息清單和與第三方共享個人信息清單），并在APP二級菜單中展示，以便用戶查詢。首批設立雙清單的企業包括騰訊、阿里、美團、快手、拼多多等39家。披露的內容包括已收集個人信息清單應簡潔、清晰列出APP包括內嵌第三方SDK，已經收集到的用戶個人信息基本情況，包括信息種類、使用目的、使用場景等。

　　馬繼華認為，此次專門提出對SDK的管理，也是保護個人信息向深度發展的體現。監管部門應該聯合相關開發企業、消費者代表等，制定個人信息最高收集標準以及相關的處罰規定。

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：李昂