中国信通院软件开发包（SDK）安全与合规报告.docxVIP

? ? 中国信通院 软件开发包（SDK）安全与合规报告（） ? ? ?微信公众号每天给您带来最全最新各类数据研究报告 我国移动互联网市场经历了将近 20年的快速发展，已经形成了庞大的产业规模，创造了可观的经济效益，并且在业务模式和商业模式创新方面引领全球。同时，移动互联网正在向传统产业加速渗透，人工智能、大数据、物联网等信息技术与实体经济持续深度融合，不断催生传统产业服务新业态，逐步改造着医疗、教育、交通、旅游、金融、传媒等传统行业的服务模式。在此过程中，移动应用软件，即App，发挥了不可替代的入口作用，全天候、全方位深度参与到了广大网民日常生活的方方面面。 App在提供各类便捷、高效、普惠服务的同时，也在无时不刻地收集、使用用户的个人信息，与App存在密切联系的第三方软件开发包（SDK）收集个人信息问题也已经进入各方视野。2019年下半年起至2020 年，不论是立法动态还是监管角度，均将SDK 违法违规收集个人信息作为审查的重点之一。僻如，在立法和国家标准制定方面，《数据安全管理办法（征求意见稿）》《GB/T 35273-2020 信息安全技术 个人信息安全规范》《网络安全标准实践指南 移动互联网应用程序（App）中的第三方软件开发工具包（SDK）安全指引（征求意见稿）》《信息安全技术 个人信息告知同意指南（征求意见稿）》等国家标准的研究也开始涉及第三方介入（包括SDK）这一特定领域。在监管方面，中央网信办、工业和信息化部、公安部、市场监督总局四部委组建的 App 专项治理工作组在全国范围开展较大规模的App的审查与治理行动，从曝光的结果来看，不难看出已对App中嵌入的违规SDK厂商，采取了包括但不限于约谈企业负责人、网上曝光、 App 下架等措施。该治理工作组在今年 5月发布的《App 违法违规收集使用个人信息专项治理报告（2019）》，更是明确指出“第三方SDK自身的安全性，以及其收集使用个人信息行为，也成为移动生态中个人信息保护的风险点……建议将 SDK 收集使用个人信息行为纳入专项治理范围，以促进 SDK行业加强数据收集使用规范性”。由此可见，2020年，SDK的合规性已经成为监管的重点。并且，2020年3 月疫情期间爆出的Zoom 接入SDK问题，2020年7 月“3﹒15”晚会曝光私自收集个人信息的 SDK 未经用户许可窃取个人信息问题，更是引发了公众对SDK安全与合规的极大关注。特别地，2020 年 7 月中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动2020 年 App 违法违规收集使用个人信息治理工作，提到今年年度的治理重点时专门提到了对第三方SDK的治理：制定发布SDK个人信息安全评估要点，对用户规模大、问题反映集中的小程序等进行深度评估。本报告将在 2019 年版本的基础上，进一步梳理当前应用较为广泛的第三方SDK 类型和市场情况，结合实际案例分析第三方SDK存在的主要安全问题以及第三方SDK提供者与App开发者合作过程中面临的法律合规问题。通过调研欧盟、美国的相关经验做法，从法律法规、企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针对性的建议。（关注公众号“”，获取最新行业报告资讯）  点击下载全文 ? -全文完-