信安标委发布SDK使用安全指引：APP提供者原则上是首要责任人

近日，全国信息安全标准化技术委员会发布《网络安全标准实践指南——移动互联网应用程序（APP）使用软件开发工具包（SDK）安全指引》（以下简称《安全指引》。

该文件针对当前APP使用SDK过程中可能面临的SDK安全漏洞、恶意行为、违法违规收集使用个人信息，给出了APP使用SDK的安全实践指引，旨在减少因SDK造成的APP安全与个人信息保护问题。

原则上，APP提供者是首要责任人

SDK即软件开发工具包，它是协助软件开发的相关二进制文件、文档、范例和工具的集合。《安全指引》中的SDK，是指对实现 APP特定功能的代码进行封装，向外提供简捷的调用接口的二进制文件。

当前，SDK被广泛应用于各类APP开发中，常见的SDK可划分为框架类、广告类、推送类、统计类、地图类等16种。

《安全指引》中指出，APP使用SDK可能面临的安全问题包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。恶意行为可能在SDK嵌入APP初期就具有，也可能通过热更新（即不重新下载和安装 APP，通过动态加载实现 APP的更新）动态加载恶意代码实施恶意行为。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

如果SDK收集使用个人信息方面存在安全问题，APP使用SDK时将对App用户个人信息构成安全风险。主要体现在：SDK超范围收集个人信息；未说明APP嵌入的SDK收集使用个人信息的目的、类型、方式；SDK未经用户同意收集、使用或对外提供个人信息；APP对嵌入SDK的安全管理监督不足。

对于APP使用SDK的相关方和责任，《安全指引》进行了明确。

从APP个人信息安全的角度来看，原则上APP提供者是APP个人信息控制者及保护用户个人信息安全的首要责任人，SDK提供者按照APP使用SDK的不同方式承担相应的个人信息安全责任。

具体而言，当APP嵌入开源SDK或与SDK方是同一方时，由APP方担责；当APP方委托SDK方处理个人信息，由APP方担责、SDK方需配合履行相关责任；如双方以单独身份提供服务，且均自行决定处理数据的目的与方式时，SDK方承担个人信息控制者责任，APP方承担个人信息控制者和接入第三方管理的责任；如果双方共同决定数据的处理目的与方式时，则二者均为个人信息共同控制者，需通过合同等形式约定各自承担的责任。如存在侵害个人信息权益，应承担连带责任。

SDK使用应遵循个人信息安全规范原则

《安全指引》对SDK使用的基本原则和安全措施提出了要求。

APP使用 SDK处理个人信息时，APP提供者、SDK提供者应满足今年10月1日起开始实施的《信息安全技术 个人信息安全规范》相关角色要求，并均应遵循《个人信息安全规范》的七项基本原则，包括权责一致、目的明确、选择同意、最小必要、公开透明、确保安全和主体参与。

基于《个人信息安全规范》的安全原则，APP提供者采取充分的安全措施保证使用SDK时不引入安全风险。这些安全措施包括但不限于：遵循合法、正当、必要的原则选择使用SDK；集成SDK前对SDK进行安全性评估，例如来源安全性评估、代码安全性评估、行为安全性评估；使用提供者基本信息明确、沟通反馈渠道有效的SDK等。

《安全指引》建议，SDK 提供者采取以下安全措施：收集使用个人信息和申请敏感权限应遵循合理、最小、必要原则；对功能独立的模块，宜进行拆分或提供单独的开启关闭选项，允许APP提供者按需进行选择使用或开启关闭，不应强制捆绑无关功能并以此为由申请无关权限或收集无关的个人信息；收集个人信息的频率应是实现自身业务功能所必需的最低频率，在未使用SDK相关业务功能时，不应强制申请权限或通过自启动、关联启动等方式开始收集个人信息等。

SDK信息安全问题成监管重点

早在2018年，SDK的安全问题就已引发关注。腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到一个恶意推送软件开发工具包（SDK）的病毒——“寄生推”，通过预留的“后门”云控开启恶意功能，进行恶意广告行为和应用推广。

腾讯方面发现，“寄生推”推送SDK涉及300多款应用，潜在可影响近2千万用户，数十万被感染用户设备ROM内被植入恶意子包。同时，“寄生推”推送SDK开发商可通过后门云控开启恶意功能。“寄生推”推送，就属于SDK可能面临的安全问题中的SDK恶意行为。

此后，关于SDK的安全问题被监管层面重视。今年7月16日的央视“315”晚会上，曝光了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件，均存在未经用户许可或在用户不知情的情况下窃取隐私的嫌疑，涉及包括国美易卡、萝卜商城、取点花等不同类型的平台与软件。

针对上述SDK违规收集用户个人信息的问题，7月17日工信部发文称，已组织相关单位进行认真核查，依法依规严厉查处涉事企业。

7月24日，工信部发布关于开展纵深推进APP侵害用户权益专项整治行动的通知，整治对象中任务中就包括APP、SDK违规处理用户个人信息方面。

10月27日，工信部发布关于侵害用户权益行为的APP通报（2020年第五批）。通报显示，输入法类、旅游出行类、电商类、音视频类等APP检测发现问题较多，SDK企业存在违规收集用户个人信息的行为。

21世纪经济报道此前报道，据国家网信办11月17日消息，APP违法违规收集使用个人信息治理工作组评估近期发现，35款APP存在个人信息收集使用问题。其中，新浪微博、营销助手、一起中学学生、网易蜗牛读书等APP存在未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型等问题。