欧宝体育官网登录:你的数据有可能被隐藏在APP里的第三方SDK收集

　　】你大概知道自己的手机里装了多少个APP，你也知道APP在收集你的个人隐私数据。但你或许不知道，除此之外，你的数据还可能同时被隐藏在APP里的第三方SDK收集。

　　SDK 是 SoftwareDevelopmentKit 的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对 APP 来说，可以将某项功能交给第三方来开发以缩短周期。

　　8 月，中国一款嵌入到 500 多个 APP 中的广告软件 SDK 被曝未经允许盗取用户数据，主要是呼叫日志，并将数据发送到公司服务器上。截至目前，这些 APP 在安卓生态系统中的下载量已经超过 1 亿次。此前，苹果商城也曾因为 256 个 APP 使用的 SDK 违规收集用户信息，将这些 APP 全部下架。

　　记者了解到，几乎所有 APP 都会使用 SDK ，而 SDK 收集用户信息的行为非常普遍。这意味着，你授权 APP 收集的个人信息被第三方获取了，而你很可能却对此毫不知情。

　　APP 通常会使用第三方 SD?K 快速实现支付、验证、统计等功能，相比自行开发耗费的资源，直接使用 SDK 性价比更高。此外， SDK 还扮演着可信第三方的角色，把监测到的 APP 流量数据提供给投资人，作为考量 APP 价值的重要依据。

　　如此一来， SDK 就不可避免地接触到 APP 的用户数据，这也催生了 SDK 提供商的一个重要服务内容：精准投放。

　　众所周知，精准推送服务是 APP 获取用户和留住用户的常用行为。据记者了解， APP 本身收集的用户数据有限，而 SDK 可以通过与多家 APP 开发公司合作获取大量用户数据，而这些数据不但可以实现用户画像，还能用来精准投放广告，这正是一个 APP 梦寐以求的。此时，在 APP 开发公司和 SDK 提供商之间，又增加了一层合作关系。

　　SDK 收集的用户信息可以详细到什么程度？北京网贷协会数据安全专家韩洪慧曾在采访中提到，“ SDK 一旦嵌入，如果你注册登录了这个 APP ，并默认授权，所有的行为数据都能记录，它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令、短信、通讯录、行动范围、位置信息等。”

　　“ SDK 比爬虫读取的数据更全，不公开数据和公开数据都可用 SDK 收集，但造成的结果就是数据常常会被滥采或滥用。”韩洪慧说。

　　高级产品研发专家马巍源曾在一篇名为《聊聊 SDK 采集数据的秘密》的文章里，揭露过移动互联网行业 SD?K 采集用户隐私乱象，并将它们按照危险级别分类。其中危险级别“高”及以上的包括采集设备上安装的所有 APP 列表、采集正在运行或最近运行的 APP 信息、采集用户的账户信息。

　　“这类用户信息的采集可以说比较无底线”，文章指出，通过采集前两类信息可以清楚了解用户设备中安装的各类 APP 信息、日启动次数及时长等，由此得知设备用户的喜好；若数据量庞大，还可推算出每款 APP 应用的市场占有率、各类竞品 APP 的情况，在用户不知情的情况下“侵犯了用户隐私”。

　　而安全危险级别同样 “极高”的采集用户移动设备账户信息，可以获取用户账户列表，将移动设备信息与用户账号关联，对设备进行唯一标识。“采集如此数据带来的风险也显而易见，若用户账号被泄露、被克隆，那对于用户产生的损失可能是利益上的、更甚是生命上的”，文章强调，“此类数据的采集对用户隐私侵害极大。”

　　如果 APP 不想被第三方 SDK “私货”影响，文章提出了两种解决方法：一是要求第三方修改 SDK ，二是换一家“干净的”。

　　对用户来说， APP 作为网络产品提供者，是个人信息保护的直接责任方，应该遵守《中华人民共和国网络安全法》 ( 下称“网安法” ) 里的对应条款。

　　网安法第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；第四十二条规定，未经被收集者同意，网络运营者不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外。也就是说， A?PP 如果想要和第三方共享用户的个人信息，必须事先取得用户的明示同意。

　　显然， SDK 属于这里所说的“第三方”。但事实是，用户往往并不知道自己的个人信息在何时、以何种方式被共享给了 SD?K 。这是因为，“隐私政策”作为 A?PP 和用户之间关于如何处理和保护用户个人信息的载体，对与第三方共享用户个人信息的表述极为模糊。

　　“隐私政策”的内容通常包括 APP 如何收集、使用、共享、保护用户个人信息，用户同意之后才能使用 APP 。在隐私政策关于共享的相关表述中，最常见的是“可能会将用户的个人信息分享给第三方”。但是，几乎没有 APP 会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。

　　这对用户来说当然不公平，但从 APP 的角度来说，他们也有自己的顾虑。北京玺泽律师事务所高级合伙人刘新焱对记者表示，由于 APP 开发公司可能和多家 SD?K 提供商合作，而且未来和谁合作也不确定，所以才不把 SDK 提供商的名字写入自己的隐私协议。不过他强调，即便如此， APP 还是不能推卸对用户的告知义务。

　　除了跟用户签署协议，有些 APP 和 SDK 之间也会签署协议，约定用户数据的采集范围和使用方式。某新媒体公司工程师 XP 告诉记者，协议里会写明 SDK 可以获取什么数据、数据的披露方式等，从而保障用户信息安全。但多名技术专家对此表示，由于 SDK 代码不开源， APP 要监测它是否严格按约定收集数据有一定技术门槛，所以基本只能依靠协议约束。

　　能收集详细的用户隐私数据，又处于监管的灰色地带，甚至使用它的 APP 也无法从技术上保证 100% 安全。 SD?K 对用户来说，犹如一颗隐藏在暗处的“定时炸弹”，危险性不言而喻。

　　记者梳理发现， SDK 提供商泄露和滥用用户信息的事件很多，有的甚至成为了黑灰产的源头。但对用户来说，没法直接了解 SDK 收集个人信息的方式，只能信任 APP 。

　　北京大学互联网发展研究中心专家研究员洪延青认为，如果 SDK 只是纯粹辅助 APP 分析用户数据，所有法律责任应由 APP 承担；如果 SDK 把收集到的 APP 用户信息用作其他用途，比如买卖、交换， APP 和 SDK 就处于共同数据处理者的位置。由于 SDK 无法起到告知作用， APP 必须详细告知用户这一行为，否则 APP 依然将承担所有法律责任。

　　中国信息安全研究院副院长左晓栋也告诉记者，目前对 SDK 没有监管，也缺乏监管依据，因为无论 SDK 的功能是什么，被使用后都会成为 APP 的一部分，“ APP 开发商要为其行为负责，不能以‘第三方’为理由搪塞”。“打个比方，对车主来说，如果发动机有问题，他不会关心发动机厂商是谁，只会找整车厂商，这是同一个道理”，左晓栋说。

　　因此，中国互联网协会研究中心秘书长、北京师范大学法学院教授吴沈括建议，应用商店和 APP 应当积极履行主体责任，确保用户安全利益。刘新焱则从法律义务的角度提出， APP 应当自行与第三方签订协议和做些必要的技术检测，如果 SDK 等第三方造成了数据泄露， APP 也应当承担相应的法律责任。

　　值得庆幸的是，记者发现，目前应用商店对 APP 的审核越来越严格，一旦发现不合规，会立即下架。这也促使 APP 选择正规的 SDK 提供商，合规地获取数据，在一定程度上也对 SDK 起到了规范效果。

　　SDK 是 SoftwareDevelopmentKit 的缩写，即“软件开发工具包”。简单来说，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对 APP 来说，可以将某项功能交给第三方来开发以缩短周期。返回搜狐，查看更多