中国信通院：软件开发包（SDK）安全与合规报告（2020）（75页）.pdf

1、软件开发包（SDK）安全与 合规报告 软件开发包（SDK）安全与 合规报告 （2020）（2020） 中国信息通信研究院安全研究所 北京市环球律师事务所 2020 年 9 月 中国信息通信研究院安全研究所 北京市环球律师事务所 2020 年 9 月 版权声明版权声明 本报告版权属于中国信息通信研究院、北京市环球律师 事务所，并受法律保护。转载、摘编或利用其它方式使用本 报告文字或者观点的， 应注明 “来源： 中国信息通信研究院、 北京市环球律师事务所”。违反上述声明者，本院将追究其 相关法律责任。 本报告版权属于中国信息通信研究院、北京市环球律师 事务所，并受法律保护。转载、摘编或利用其它方式

2、使用本 报告文字或者观点的， 应注明 “来源： 中国信息通信研究院、 北京市环球律师事务所”。违反上述声明者，本院将追究其 相关法律责任。 编写团队编写团队 编写单位： 中国信息通信研究院安全研究所 北京市环球律师事务所 编写组成员：（姓氏笔画为序） 陈湉、张淑怡、孟洁、秦博阳、薛颖、覃庆玲、魏亮 联系人： 陈湉陈湉 电话：010-62308820 邮箱： 孟洁孟洁 电话：010-65846768 邮箱： 前言前言 我国移动互联网市场经历了将近 20 年的快速发展，已经形成了 庞大的产业规模，创造了可观的经济效益，并且在业务模式和商业模 式创新方面引领全球。同时，移动互联网正在向传统产业加速渗

3、透， 人工智能、大数据、物联网等信息技术与实体经济持续深度融合，不 断催生传统产业服务新业态，逐步改造着医疗、教育、交通、旅游、 金融、传媒等传统行业的服务模式。在此过程中，移动应用软件，即 App，发挥了不可替代的入口作用，全天候、全方位深度参与到了广 大网民日常生活的方方面面。 App 在提供各类便捷、高效、普惠服务的同时，也在无时不刻地 收集、使用用户的个人信息，与 App 存在密切联系的第三方软件开发 包（SDK）收集个人信息问题也已经进入各方视野。2019 年下半年起 至 2020 年，不论是立法动态还是监管角度，均将 SDK 违法违规收集 个人信息作为审查的重点之一。 僻如，在立法

4、和国家标准制定方面，数据安全管理办法（征求 意见稿）GB/T 35273-2020 信息安全技术 个人信息安全规范 网络安全标准实践指南 移动互联网应用程序（App）中的第三方软 件开发工具包（SDK）安全指引（征求意见稿）信息安全技术 个 人信息告知同意指南（征求意见稿）等国家标准的研究也开始涉及 第三方介入（包括 SDK）这一特定领域。 在监管方面，中央网信办、工业和信息化部、公安部、市场监督 总局四部委组建的 App 专项治理工作组在全国范围开展较大规模的 App 的审查与治理行动，从曝光的结果来看，不难看出已对 App 中嵌 入的违规 SDK 厂商， 采取了包括但不限于约谈企业负责人、

5、 网上曝光、 App 下架等措施。该治理工作组在今年 5 月发布的App 违法违规收 集使用个人信息专项治理报告（2019），更是明确指出“第三方 SDK 自身的安全性，以及其收集使用个人信息行为，也成为移动生态 中个人信息保护的风险点建议将 SDK 收集使用个人信息行为纳 入专项治理范围，以促进 SDK 行业加强数据收集使用规范性”。由此 可见，2020 年，SDK 的合规性已经成为监管的重点。 并且，2020 年 3 月疫情期间爆出的 Zoom 接入 SDK 问题，2020 年 7 月“315”晚会曝光私自收集个人信息的 SDK 未经用户许可窃取 个人信息问题，更是引发了公众对 SDK 安

6、全与合规的极大关注。 特别地，2020 年 7 月中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信 息治理工作， 提到今年年度的治理重点时专门提到了对第三方 SDK 的 治理：制定发布 SDK 个人信息安全评估要点，对用户规模大、问题反 映集中的小程序等进行深度评估。 本报告将在 2019 年版本的基础上，进一步梳理当前应用较为广 泛的第三方 SDK 类型和市场情况， 结合实际案例分析第三方 SDK 存在 的主要安全问题以及第三方SDK提供者与App开发者合作过程中面临 的法律合规问题。 通过调研欧盟、 美国的相关经验做法， 从法律