常用第三方SDK收集使用个人信息测评报告-中国金融认证中心.pdf

常用第三方SDK 收集使用个人信息测评报告 南都个人信息保护研究中心 中国金融认证中心（CFCA） 联合发布 2019年7月 前言     在手机App的世界里，法规条文里所谓的“第三方应用或服务”似乎是个 看得见摸不着的存在。但事实上，不管是你每天收到的新闻推送，还是促销 活动广告，甚至短信验证码，都有可能出自第三方之手。     这些集成在App里的第三方工具包被称为SDK（Software Development  Kit，软件开发工具包）。它们可以帮助App高效率、低成本地实现地图、支 付、统计、社交、广告等一系列功能，同时自身也具备获取相当一部分设备 信息和用户个人信息的能力。     2018年3月，以色列移动SDK管理平台公司SafeDK发布的《安卓市场中 的移动SDK数据趋势》显示，2018年第一季度，Google Play里排名靠前的16 万款App中，平均每个中国开发的App会使用19.3个SDK。 从App使用SDK的普遍性来看，SDK安全无疑已经成为整个移动互联网 生态中极其关键的一环。然而，SDK未经允许收集用户个人信息的行为，以 及自身存在的安全漏洞，已经引发了十分严重的安全问题。 第三方广告SDK “有米”“个信”曾被发现未经允许收集用户的个人信息， 使用这两款SDK的App因此被苹果应用商店和Google Play悉数下架；更甚 者，有影响了300多款知名App的SDK“寄生推”通过预留的“后门”，进行恶意 广告行为和应用推广。     为了进一步厘清目前市场上常用的SDK在收集、使用用户个人信息方面 存在哪些问题，南都个人信息保护研究中心选择了60款用户量较大的App， 并委托中国金融认证中心（CFCA）对市面上使用率较高的SDK进行了分析， 希望了解SDK个获取个人信息的合规现状，引起社会对SDK安全风险的重 视，促进政府监管和行业自律。 目录 一、测评方法 2 （一）测评对象 2 （二）样本采集 2 1. 采集方法 2 2. 采集时间 2 二、测评结果 3 （一）总体情况 3 1. SDK使用个数和类别 4 2. 信息收集 5 3. 必要性分析 7 （二）SDK集中分析 9 1. 系统权限 9 2. 向服务器上送信息 10 三、结论