中国信通院：软件开发包（SDK）安全与合规白皮书（2019）（52页）.pdf

1、 软件开发包（SDK）安全不合觃 白皮书（2019） 二零一九年八月二零一九年八月 软件开収包（SDK）安全不合觃白皮书（2019） I 编写团队 编写单位： 中国信息通信研究院安全研究所 北京市环球律师事务所 编写组成员：（姓氏笔画为序） 陈湉、张淑怡、孟洁、秦博阳、晏尔凡、薛颖、魏亮 软件开収包（SDK）安全不合觃白皮书（2019） II 版权声明 本白皮书版权属于中国信息通信研究院安全研究所、北 京市环球律师事务所，并受法律保护。转载、摘编或利用其 它方式使用本报告文字或者观点的，应注明“来源：软件 开发包（SDK）安全与合规白皮书（2019）”。违反上述 声明者，将追究其相关法律责任。

2、 软件开収包（SDK）安全不合觃白皮书（2019） III 前 言 我国移动互联网市场经历了将近 20 年的快速发展，已经形成了 庞大的产业规模，创造了可观的经济效益，并且在业务模式和商业模 式创新方面引领全球。同时，移动互联网正在向传统产业加速渗透， 人工智能、大数据、物联网等信息技术与实体经济持续深度融合，不 断催生传统产业服务新业态，逐步改造着医疗、教育、交通、旅游、 金融、传媒等传统行业的服务模式。在此过程中，移动应用软件，即 App，发挥了不可替代的入口作用，全天候、全方位深度参与到了广 大网民日常生活的方方面面。 App 在提供各类便捷、高效、普惠服务的同时，也在无时不刻地 收集、

3、使用用户的个人信息。近年来新闻媒体曝光的涉及 App 个人信 息保护相关事件显示，App 强制授权、过度索权、超范围收集个人信 息等问题已经十分突出。为此，今年 1 月份，中央网信办、工信部、 公安部、 市场监管总局四部门联合开展 App 违法违规收集使用个人信 息专项治理，重拳出击，整治乱象。随着 App 个人信息保护治理工作 的深入推进，与 App 存在密切联系的第三方软件开发包（SDK）收集 个人信息问题也逐渐进入各方视野。 本报告聚焦于第三方 SDK，梳理当前应用较为广泛的第三方 SDK 类型和市场情况， 结合实际案例分析第三方 SDK 存在的主要安全问题 软件开収包（SDK）安全不合

4、觃白皮书（2019） IV 以及第三方SDK提供者与App开发者合作过程中面临的法律合规问题。 通过调研欧盟、美国的相关经验做法，从法律法规、企业责任、技术 标准、行业自律等方面结合我国实际情况提出了有针对性的建议。 软件开収包（SDK）安全不合觃白皮书（2019） V 目 录 一、第三方一、第三方 SDK 的业内现状的业内现状 . 1 （一）第三方（一）第三方 SDK 常见类型及应用情况常见类型及应用情况 . 1 （二）第三方（二）第三方 SDK 普遍应用的原因分析普遍应用的原因分析 . 14 二、第三方二、第三方 SDK 的主要安全问题及分析的主要安全问题及分析 . 14 （一）第三方（一

5、）第三方 SDK 自身安全性不容乐观自身安全性不容乐观 . 15 （二）第三方（二）第三方 SDK 成为病毒传播新途径成为病毒传播新途径 . 15 （三）第三方（三）第三方 SDK 隐蔽收集个人信息问题逐步显现隐蔽收集个人信息问题逐步显现 . 16 三、第三方三、第三方 SDK 的主要合规问题及分析的主要合规问题及分析 . 16 四、第三方四、第三方 SDK 管理的域外经验管理的域外经验 . 19 （一）欧盟的第三方（一）欧盟的第三方 SDK 管理经验管理经验 . 19 （二）美国的第三方（二）美国的第三方 SDK 管理经验管理经验 . 24 五、针对我国第三方五、针对我国第三方 SDK 管理

6、的相关建议管理的相关建议 . 28 （一）尽快完善相关法律法规，明确相关主体的责任义务（一）尽快完善相关法律法规，明确相关主体的责任义务 . 28 （二）（二）APP开发者需要积极履行数据共享合规义务开发者需要积极履行数据共享合规义务 . 29 （三）第三方（三）第三方 SDK 提供者需要加快构建数据安全合规体系提供者需要加快构建数据安全合规体系 . 30 （四）加快研究制定（四）加快研究制定 SDK 安全标准及指南安全标准及指南 . 32 （五）鼓励第三方（五）鼓励第三方 SDK 企业开展行业自律企业开展行业自律 . 32 附录附录 第三方第三方 SDK 产品的安全与合规实践产品的安全与合规