7月16日晚上，2020年中央廣播電視總臺3·15晚會曝光了一些手機應用中存在第三方SDK插件，竊取用戶信息的情況。

此前在小米2019開發者大會上，中國信通院安全研究所數據安全研究部副主任陳湉曾發布演講：SDK自身安全性不容樂觀，不僅如此，如果SDK存在問題，則凡是嵌入SDK的App都存在問題。她還強調，SDK“隱蔽”收集個人信息的問題逐漸顯現。

非法SDK可竊取用戶隱私數據包括驗證碼

隨著5G、物聯網等技術的快速發展，數據經濟正發揮越來越大的價值，特別是App涉及人們生活的方方面面。不過App在服務民生、方便用戶的同時，App過度索權、超范圍收集個人信息的現象大量存在。值得注意的是，除App本身收集個人信息外，絕大多數App在開發時，會嵌入第三方集成的SDK等代碼，嵌入在App里面的SDK等第三方代碼，也會收集個人信息。

據了解，SDK是集成在App里的第三方工具包。它們可以幫助App高效率、低成本地實現地圖、支付、統計、社交、廣告等一系列功能。此前南都記者曾經報道，平均每款App會使用19.3個SDK。不過，有的開發者會利用SDK收集用戶信息或執行越權操作。據悉，部分SDK會“偷偷”收集用戶的個人信息，有的還會向自家服務器明文傳輸。

3·15晚會曝光，2019年11月，上海市消費者權益保護委員會委托第三方公司對一些手機軟件中的SDK插件進行了專門的測試，發現一些SDK暗藏玄機。技術人員檢測了50多款手機軟件，其中，上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件，都存在在用戶不知情的情況下，偷偷竊取用戶隱私的嫌疑，涉及國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城、紫金普惠等50多款手機軟件。

檢測人員介紹，SDK會讀取這部設備的IMEI、IMSI、運營商信息、電話號碼、短信記錄、通訊錄、應用安裝列表和傳感器信息。讀取完成后，還會悄悄地將數據傳送到指定的服務器存儲起來。北京招彩旺旺信息技術有限公司的SDK，甚至涉嫌通過菜譜、家長幫、動態壁紙等多款軟件，竊取用戶更加隱私的信息。

在央視的報道中，這些非法SDK能潛藏在手機App中，竊取用戶隱私數據回傳至自己后臺，甚至包括驗證碼等關鍵信息。檢測人員說：“一些SDK插件會未經用戶同意，收集用戶的聯系人、短信、位置、設備信息等。因為SDK能夠收集用戶的短信，以及應用安裝信息，一旦用戶有網絡交易的驗證碼被獲取，極有可能造成嚴重的經濟損失?！?/p>

此前在小米2019開發者大會上，中國信通院安全研究所數據安全研究部副主任陳湉稱，目前SDK自身安全性不容樂觀，不僅如此，如果SDK存在問題，則凡是嵌入SDK的App都存在問題。她還強調，SDK“隱蔽”收集個人信息的問題逐漸顯現。

關于“隱蔽性”，陳湉解釋說，它包括兩種情況，一是App知道SDK在收集信息，而用戶不知道；另一方面，App和用戶都不知道SDK在收集信息。針對不同的情況，對于SDK的合規問題，陳湉建議說，可根據SDK、App承擔的角色進行分析。當SDK作為數據處理者時，App應告知用戶SDK收集、使用了哪些信息；此外，App和SDK之間應當有委托處理的授權。

值得注意的是，陳湉強調說，目前絕大多數App的隱私政策中并未列出SDK，更不用提明示授權的操作。

如果SDK和App共同作為數據控制者（相比于處理者，控制者擁有的處理信息的權限更多）時，陳湉表示，這意味著SDK需要承擔更多的合規責任。當SDK能直接接觸到用戶的時候，則需要滿足“三方授權”的原則，即用戶授權App、App到SDK的授權、用戶最終授權給SDK。當SDK不能接觸用戶時，不僅需要App幫助完成三方授權，還需要App反饋用戶的修改、查詢等需求。

有關部門已開始著手整治

有關部門也開始重視這個情況。2019年3月15日，中央網信辦、市場監管總局聯合印發《關于開展App安全認證工作的公告》，推動建立App個人信息安全認證制度。目前，認證試點工作已經啟動，首批試點對象包括15家企業的28款App。

工信部開展“電信和互聯網行業提升網絡數據安全保護能力專項行動”和“App侵害用戶權益專項整治工作”。后者重點整治違規收集使用用戶個人信息等8類問題行為，對236款App運營者下發整改通知書，公開通報56款App、下架3款App。

公安部則深入開展“凈網2019”專項行動，共檢測評估3.1萬余款App，累計調查核查相關App違法違規線索3129條，依法整改2090款App，依法查處1121款App，集中曝光100款存在違法違規收集使用個人信息行為的App。

市場監管總局開展“守護消費”暨打擊侵害消費者個人信息違法行為專項執法行動，共立案查處各類侵害消費者個人信息案件1474件，查獲涉案信息369萬余條，罰沒款1946萬余元；組織執法聯動4225次，開展行政約談3536次。

相關法律法規陸續落地

2019年12月，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合發布《App違法違規收集使用個人信息行為認定方法》（下稱《辦法》），對六類App違法違規收集使用個人信息的行為進行認定，為監督部門執法提供參考。其中，《辦法》明確，“未逐一列出App委托的第三方或嵌入的第三方代碼、插件”的行為被認定為未明示收集使用個人信息的目的、方式、范圍。

而在今年3月19日，全國信息安全標準化技術委員會秘書處發布《網絡安全標準實踐指南—移動互聯網應用程序（App）收集使用個人信息自評估指南（征求意見稿）》，并面向社會公開征求意見。

據了解，征求意見稿是在《App違法違規收集使用個人信息自評估指南》的基礎上，依據《網絡安全法》等法律法規要求，參照《App違法違規收集使用個人信息行為認定方法》和相關國家標準，結合檢測評估工作經驗歸納總結出來的。App運營者可據此評估自身的個人信息保護水平。

征求意見稿共有六個評估點，分別為是否公開收集規則，是否明示收集使用目的、方式和范圍，是否征得用戶同意，是否遵循必要原則，僅收集與提供的服務直接相關的個人信息，是否未經同意向他人提供個人信息，以及是否按法律規定提供刪除或更正個人信息功能，或公布投訴、舉報方式等信息。

采寫：南都記者 孔學劭