工信部通报13款违规SDK!“偷”隐私套路曝光[通俗易懂]

工信部通报13款违规SDK!“偷”隐私套路曝光[通俗易懂]当你第一次下载使用某应用软件时,多半会被要求通过微信、QQ或者支付宝授权一键登录。对用户来说,这有可能增加了个人信息泄露风险,甚至直接被SDK收

欢迎大家来到IT世界,在知识的湖畔探索吧!

工信部通报13款违规SDK!“偷”隐私套路曝光[通俗易懂]

当你第一次下载使用某应用软件(APP)时,多半会被要求通过微信、QQ或者支付宝授权一键登录。对用户来说,这有可能增加了个人信息泄露风险,甚至直接被SDK收集了更多的个人信息。

那么,SDK是什么?

它是如何嵌入一款APP的?

治理APP侵权为何要规范SDK?

👇👇👇

用SDK降低开发成本












SDK是什么?



“SDK就是软件开发工具包。”知乎博主刘看山说,“用以辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK。”一项功能被封装成SDK,就可以出售给不想从头搞研发又需要这项功能的公司。

“对于APP来说,嵌入SDK是非常普遍的一个现象。”赛迪智库网络安全研究所所长刘权对《中国消费者报》记者说,

“对于用户而言,一个APP的身份认证、数据加密、支付、信用查询、信息核验、安全服务、数据统计等服务功能,被打成一个包,直接通过SDK调用第三方的应用。SDK在APP上的应用很多,其作用就是为程序开发人员提供便捷,通过调用别人做好的模块,需要什么功能就按文档来调用对应接口,具体功能不需要自己开发。”

SDK违规行为不易察觉












近日,
工信部
最新
公布的侵权
APP名单里,将13款第三方SDK纳入该名单,公开其存在的具体违规问题。

工信部通报13款违规SDK!“偷”隐私套路曝光[通俗易懂]

工信部通报13款违规SDK!“偷”隐私套路曝光[通俗易懂]

工信部通报13款违规SDK!“偷”隐私套路曝光[通俗易懂]

“目前SDK应用存在诸多问题,如没有明示SDK功能、收集使用信息的规则、目的、方式、范围、用途等。”刘权说。

“基于开发便利和用户研究的需要,往往需要大量的手机用户信息,因为在使用这些信息前往往不能判断哪些信息有价值,所以就会过量地收集一些看起来不必要的信息。业内观察人士马继华说。


比如很常见的一键登录SDK,实现功能相同,有的收集IMSI(国际移动用户识别码)、WiFi网络信息,有的获取系统设置项等信息,有的则需要WLAN状态等权限,APP想要兼容多个登录入口,就必须声明获取上述全部信息,这就增加了APP过度收集个人信息的风险

又如,用户为实现订餐功能授权APP调用位置权限,但技术分析发现,APP内嵌的广告类、用户画像类SDK也趁机调用了位置权限。


“SDK的问题相对比较隐蔽,用户往往感觉不到,只是后台的开发者、程序员们才能了解,但这种信息的收集也有可能被用于非法的目的。”马继华说,“因此,有关部门应该定期通过专业技术进行检查测试,保护普通用户的合法权益。”

“SDK作为个人信息保护的一环被关注的时间较短,相关标准和经验较少。”刘权说,“从技术上讲,应组织开发检测平台、软件和工具,鼓励APP厂商或服务商开展自我检查或委托第三方进行检测。从标准上讲,应组织制定SDK信息披露方式及模板,将SDK功能、收集使用信息的规则、目的、方式、范围、用途等问题清晰地逐一列出,以保证用户知情权。”

国家计算机网络应急技术处理协调中心相关负责人指出,部分头部企业已开始重视SDK权限的管理,增加了SDK控制中间件等技术手段,用于管控各类SDK对系统权限的滥用。

如何防范SDK侵权












“SDK本身不是什么需要防范的东西,它就是一段代码,APP里面也全是代码。”TalkingData法务合规负责人及数据合规官葛梦莹说,“实际上,APP是可以在嵌入之前做好SDK的合规性评估,并向个人用户明确告知其所嵌入的SDK类型、收集的数据类型、处理的目的和方式的,APP对SDK是可以尽到谨慎的选择和评估义务的,是可控的。目前都要求APP在隐私政策里公布SDK的类型、作用范围等。”

“因为SDK的服务对象是APP,不是个人用户,所以最终向个人用户负责的应该是APP。”葛梦莹认为,对监管者来说,首先需要从技术层面上判断SDK的法律角色定位、处理个人信息的合法性基础以及特定角色。以自己名义独立提供服务的第三方才需要自己获得用户同意,自己承担责任。

其次要判断SDK处理行为的合规性,可以利用官方的有相关资质的检测工具做检测,对SDK实际收集的个人信息与其隐私政策中所披露的内容进行一致性判断,对比相关字段是否一致。如果检测出SDK实际收集字段小于其隐私政策所披露的字段,则可认为其符合一致性。

据葛梦莹介绍,工信部此前已经要求互联网企业建立个人信息保护双清单(已收集个人信息清单和与第三方共享个人信息清单),并在APP二级菜单中展示,以便用户查询。披露的内容包括已收集个人信息清单应简洁、清晰列出APP包括内嵌第三方SDK,已经收集到的用户个人信息基本情况,包括信息种类、使用目的、使用场景等。

马继华认为,此次专门提出对SDK的管理,也是保护个人信息向深度发展的体现。监管部门应该联合相关开发企业、消费者代表等,制定个人信息最高收集标准以及相关的处罚规定。

中国消费者报新媒体编辑部出品


来源/中国消费者报·中国消费网
记者/武晓莉

编辑/裴莹

监制/何永鹏 任震宇

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/18068.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信