互联网行业：软件开发包（SDK）安全与合规报告（2020）

软件开发包（SDK）安全与合规报告（2020）中国信息通信研究院安全研究所北京市环球律师事务所2020年9月 版权声明本报告版权属于中国信息通信研究院、北京市环球律师事务所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院、北京市环球律师事务所”。违反上述声明者，本院将追究其相关法律责任。 编写团队编写单位：中国信息通信研究院安全研究所北京市环球律师事务所编写组成员：（姓氏笔画为序）陈湉、张淑怡、孟洁、秦博阳、薛颖、覃庆玲、魏亮联系人：陈湉电话：010-62308820邮箱：chentian@caict.ac.cn孟洁电话：010-65846768邮箱：mengjie@glo.com.cn 前 言我国移动互联网市场经历了将近 20 年的快速发展，已经形成了庞大的产业规模，创造了可观的经济效益，并且在业务模式和商业模式创新方面引领全球。同时，移动互联网正在向传统产业加速渗透，人工智能、大数据、物联网等信息技术与实体经济持续深度融合，不断催生传统产业服务新业态，逐步改造着医疗、教育、交通、旅游、金融、传媒等传统行业的服务模式。在此过程中，移动应用软件，即App，发挥了不可替代的入口作用，全天候、全方位深度参与到了广大网民日常生活的方方面面。App 在提供各类便捷、高效、普惠服务的同时，也在无时不刻地收集、使用用户的个人信息，与 App 存在密切联系的第三方软件开发包（SDK）收集个人信息问题也已经进入各方视野。2019 年下半年起至 2020 年，不论是立法动态还是监管角度，均将 SDK 违法违规收集个人信息作为审查的重点之一。僻如，在立法和国家标准制定方面，《数据安全管理办法（征求意见稿）》《GB/T 35273-2020 信息安全技术 个人信息安全规范》《网络安全标准实践指南 移动互联网应用程序（App）中的第三方软件开发工具包（SDK）安全指引（征求意见稿）》《信息安全技术 个人信息告知同意指南（征求意见稿）》等国家标准的研究也开始涉及第三方介入（包括 SDK）这一特定领域。在监管方面，中央网信办、工业和信息化部、公安部、市场监督总局四部委组建的 App 专项治理工作组在全国范围开展较大规模的App 的审查与治理行动，从曝光的结果来看，不难看出已对 App 中嵌入的违规 SDK 厂商，采取了包括但不限于约谈企业负责人、网上曝光、App 下架等措施。该治理工作组在今年 5 月发布的《App 违法违规收 集使用个人信息专项治理报告（2019）》，更是明确指出“第三方SDK 自身的安全性，以及其收集使用个人信息行为，也成为移动生态中个人信息保护的风险点......建议将 SDK 收集使用个人信息行为纳入专项治理范围，以促进 SDK 行业加强数据收集使用规范性”。由此可见，2020 年，SDK 的合规性已经成为监管的重点。并且，2020 年 3 月疫情期间爆出的 Zoom 接入 SDK 问题，2020 年7 月“3﹒15”晚会曝光私自收集个人信息的 SDK 未经用户许可窃取个人信息问题，更是引发了公众对 SDK 安全与合规的极大关注。特别地，2020 年 7 月中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信息治理工作，提到今年年度的治理重点时专门提到了对第三方 SDK 的治理：制定发布 SDK 个人信息安全评估要点，对用户规模大、问题反映集中的小程序等进行深度评估。本报告将在 2019 年版本的基础上，进一步梳理当前应用较为广泛的第三方 SDK 类型和市场情况，结合实际案例分析第三方 SDK 存在的主要安全问题以及第三方 SDK 提供者与 App 开发者合作过程中面临的法律合规问题。通过调研欧盟、美国的相关经验做法，从法律法规、企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针对性的建议。本报告 2020 年版比照 2019 年版的主要修订在于：更新了 2019 年至今监管层面、国家标准层面针对 SDK 的规制；更新了对 App 开发者嵌入第三方 SDK 的合规实践建议；更新了第三方 SDK 自身的合规实践建议；更新了第三方 SDK 产品最新的合规实践案例。 目 录一、 第三方 SDK 的业内现状.....................................................................................1（一）第三方 SDK 常见类型及应用情况................................................................1（二） 第三方 SDK 安全标准化现状....................................................................15（三） 第三方 SDK 普遍应用的原因分析............................................................17二、第三方 SDK 的主要安全问题及分析..................................................................18（一）第三方 SDK 自身安全性不容乐观..............................................................18（二）第三方 SDK 成为病毒传播新途径..............................................................19（三）第三方 SDK 隐蔽收集个人信息问题逐步显现..........................................19三、第三方 SDK 的主要合规问题及分析..................................................................20四、第三方 SDK 管理的域外经验..............................................................................23（一）欧盟的第三方 SDK 管理经验......................................................................23（二）美国的第三方 SDK 管理经验......................................................................28五、针对我国第三方 SDK 管理的相关建议..............................................................33（一）尽快完善相关法律法规，明确相关主体的责任义务..............................33（二）APP开发者需要积极履行数据合规义务....................................................35（三）第三方 SDK 提供者需要加快构建数据安全合规体系..............................44（四）加快完善 SDK 安全标准及指南..................................................................47（五）鼓励第三方 SDK 企业开展行业自律..........................................................48附录 第三方 SDK 产品的安全与合规实践..............................................................49（一）极光 SDK 的安全与合规实践......................................................................49（二）小米推送 SDK 的安全与合规实践..............................................................57（三）TALKINGDATASDK 的安全与合规实践...........................................................61 图 目 录图 1 嵌入新浪微博 SDK 的 APP分布情况...........................................................5图 2 嵌入支付宝 SDK 的 App 分布情况.............................................................6图 3 嵌入极光推送 SDK 的 App 分布情况.........................................................9图 4 嵌入 InMobi SDK 的 App 分布情况........................................................11图 5 各类型 App 嵌入 SDK 占比情况...............................................................14图 6 App 中使用第三方 SDK 的数量分布图....................................................15图 7 SDK 通过 App 收集的数据类型统计........................................................25图 8 SDK 征得用户同意方式的示例................................................................40图 9 App 内设计相关 SDK 的控制者和管理页面............................................45图 10 极光 SDK 展示隐私政策示例一...............................................................51图 11 极光 SDK 展示隐私政策示例二...............................................................51图 12 极光 SDK 展示隐私政策示例三...............................................................52图 13 极光 SDK 展示隐私政策示例四...............................................................52图 14 TalkingData 内部数据分级管理策略...................................................64图 15 数据生产/加工/访问使用全流程工具化操作.......................................65图 16 基于受众的群体画像能力输出...............................................................66 表 目 录表 1 常见第三方登录分享类 SDK 应用情况统计................