9月7日,全国SDK管理服务平台在2022年中国互联网个人信息保护论坛上正式上线。会上,中国信息通信研究院技术与标准研究所副所长汤立波指出:“SDK一定会成为后续个人信息保护工作的一个重点。”
SDK指的是软件开发工具包,可以理解为由第三方服务商提供给App以实现产品某项功能。SDK也是移动互联网应用程序用户权益保护全链条中的关键一环,在为App开发者带来便利性的同时,也面临选择配置功能不完善、处理个人信息不规范等问题。
今年以来,工信部在通报App侵权行为时,开始将SDK与App并列检测、通报。今年2月,工信部首次将SDK纳入应用名称之列,更为具体地通报了SDK开发者、来源、版本以及所涉问题,13款SDK均违规收集用户设备信息。8月26日,工信部第二次通报侵权SDK,三款被通报的SDK均涉及收集个人信息明示、告知不到位的问题。
“SDK的个人信息保护问题,很长时间都在潜水,显得很舒服;但在问题逐渐暴露出来之后,发现其实很多准备工作没有做到位。”汤立波介绍,在工信部目前为止共25批次的抽检中,发现个人信息保护问题的App,超过20%是因为第三方SDK。
为什么SDK的管理会形成新的挑战?汤立波认为,首先在于其分类复杂、体系庞大。从对产业目前的认知上,中国信通院初步将SDK细分为15大类,31个子类。“这一方面反映了SDK产业处于一个很好的发展状态,另一方面也可能对众多App带来反向影响。”
中国信通院每季度对App的反向测试发现,App使用的SDK数量正在线性增长。2020年9月份,平均每一款App使用的SDK是16.8个;到2021年9月份的时候,这个数字达到了21.5。汤立波介绍,头部SDK的体量更不容小觑:“一些大的SDK可能会被数以万计甚至几十万的App同时使用,一旦出现问题,可能影响到千千万万的App、千千万万的用户。
SDK的个人信息保护,涵盖了App所面临的问题,但也有自己的特点。汤立波进一步解释道,在很长一段时间内,SDK不是以独立产品的形态出现的。“它其实是一个代码或者说一个工具,被App所调用。在后台运营起来之后,其实用户层面的感知很多,但很多时候App开发者不知道使用的SDK到底做了什么工作,以至于发现问题后反映说‘不是我们干的’。”
这一问题要求SDK在保证自身合规的情况下,向调用它的App开发者提供更多个人信息保护提供说明,以及为App提供选择权,或者是配置项。
汤立波表示:“我们在做App也好,SDK也好,未来工作的核心还是要把他们这个责任压实。App对SDK进行调用,需要选择正规渠道,清晰地知道使用的方法原理,对所使用的SDK加强管理。”
他介绍,开发者可在全国SDK管理服务平台查阅SDK名称、版本、隐私政策、接入文档、开发者、官网信息等公示信息,对比选择合适的SDK产品。据全国SDK管理服务平台官网,目前已有50余家企业的400余款SDK向平台报送产品信息,涵盖广告类、支付类、安全风控类、第三方登录类等15个SDK类型。
汤立波希望,平台能联合产业共同推动针对SDK的风险检测,建立起问题反馈通道,在未来通过产业的共同努力将合规机制建立起来。
采写:实习生程雨祺 南都记者孙朝
