软件开发包(SDK)安全与 合规报告 (2020) 中国信息通信研究院安全研究所 北京市环球律师事务所 2020 年 9 月 版权声明 本报告版权属于中国信息通信研究院、北京市环球律师 事务所,并受法律保护。转载、摘编或利用其它方式使用本 报告文字或者观点的,应注明“来源:中国信息通信研究院、 北京市环球律师事务所”。违反上述声明者,本院将追究其 相关法律责任。 编写团队 编写单位: 中国信息通信研究院安全研究所 北京市环球律师事务所 编写组成员:(姓氏笔画为序) 陈湉、张淑怡、孟洁、秦博阳、薛颖、覃庆玲、魏亮 联系人: 陈湉 电话:010-62308820 邮箱:[email protected] 孟洁 电话:010-65846768 邮箱:[email protected] 前 言 我国移动互联网市场经历了将近 20 年的快速发展,已经形成了 庞大的产业规模,创造了可观的经济效益,并且在业务模式和商业模 式创新方面引领全球。同时,移动互联网正在向传统产业加速渗透, 人工智能、大数据、物联网等信息技术与实体经济持续深度融合,不 断催生传统产业服务新业态,逐步改造着医疗、教育、交通、旅游、 金融、传媒等传统行业的服务模式。在此过程中,移动应用软件,即 App,发挥了不可替代的入口作用,全天候、全方位深度参与到了广 大网民日常生活的方方面面。 App 在提供各类便捷、高效、普惠服务的同时,也在无时不刻地 收集、使用用户的个人信息,与 App 存在密切联系的第三方软件开发 包(SDK)收集个人信息问题也已经进入各方视野。2019 年下半年起 至 2020 年,不论是立法动态还是监管角度,均将 SDK 违法违规收集 个人信息作为审查的重点之一。 僻如,在立法和国家标准制定方面,《数据安全管理办法(征求 意见稿)》《GB/T 35273-2020 信息安全技术 个人信息安全规范》 《网络安全标准实践指南 移动互联网应用程序(App)中的第三方软 件开发工具包(SDK)安全指引(征求意见稿)》《信息安全技术 个 人信息告知同意指南(征求意见稿)》等国家标准的研究也开始涉及 第三方介入(包括 SDK)这一特定领域。 在监管方面,中央网信办、工业和信息化部、公安部、市场监督 总局四部委组建的 App 专项治理工作组在全国范围开展较大规模的 App 的审查与治理行动,从曝光的结果来看,不难看出已对 App 中嵌 入的违规 SDK 厂商,采取了包括但不限于约谈企业负责人、网上曝光、 App 下架等措施。该治理工作组在今年 5 月发布的《App 违法违规收 集使用个人信息专项治理报告(2019)》,更是明确指出“第三方 SDK 自身的安全性,以及其收集使用个人信息行为,也成为移动生态 中个人信息保护的风险点……建议将 SDK 收集使用个人信息行为纳 入专项治理范围,以促进 SDK 行业加强数据收集使用规范性”。由此 可见,2020 年,SDK 的合规性已经成为监管的重点。 并且,2020 年 3 月疫情期间爆出的 Zoom 接入 SDK 问题,2020 年 7 月“3﹒15”晚会曝光私自收集个人信息的 SDK 未经用户许可窃取 个人信息问题,更是引发了公众对 SDK 安全与合规的极大关注。 特别地,2020 年 7 月中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信 息治理工作,提到今年年度的治理重点时专门提到了对第三方 SDK 的 治理:制定发布 SDK 个人信息安全评估要点,对用户规模大、问题反 映集中的小程序等进行深度评估。 本报告将在 2019 年版本的基础上,进一步梳理当前应用较为广 泛的第三方 SDK 类型和市场情况,结合实际案例分析第三方 SDK 存在 的主要安全问题以及第三方 SDK 提供者与 App 开发者合作过程中面临 的法律合规问题。通过调研欧盟、美国的相关经验做法,从法律法规、 企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针 对性的建议。 本报告 2020 年版比照 2019 年版的主要修订在于:  更新了 2019 年至今监管层面、国家标准层面针对 SDK 的规制;  更新了对 App 开发者嵌入第三方 SDK 的合规实践建议;  更新了第三方 SDK 自身的合规实践建议;  更新了第三方 SDK 产品最新的合规实践案例。 目 录 一、 第三方 SDK 的业内现状..................................................................................... 1 (一)第三方 SDK 常见类型及应用情况................................................................ 1 (二) 第三方 SDK 安全标准化现状.................................................................... 15 (三) 第三方 SDK 普遍应用的原因分析............................................................ 17 二、第三方 SDK 的主要安全问题及分析.................................................................. 18 (一)第三方 SDK 自身安全性不容乐观.............................................................. 18 (二)第三方 SDK 成为病毒传播新途径.............................................................. 19 (三)第三方 SDK 隐蔽收集个人信息问题逐步显现.......................................... 19 三、第三方 SDK 的主要合规问题及分析.................................................................. 20 四、第三方 SDK 管理的域外经验.............................................................................. 23 (一)欧盟的第三方 SDK 管理经验...................................................................... 23 (二)美国的第三方 SDK 管理经验...................................................................... 28 五、针对我国第三方 SDK 管理的相关建议.............................................................. 33 (一)尽快完善相关法律法规,明确相关主体的责任义务.............................. 33 (二)APP 开发者需要积极履行数据合规义务.................................................... 35 (三)第三方 SDK 提供者需要加快构建数据安全合规体系.............................. 44 (四)加快完善 SDK 安全标准及指南.................................................................. 47 (五)鼓励第三方 SDK 企业开展行业自律.......................................................... 48 附录 第三方 SDK 产品的安全与合规实践.............................................................. 49 (一)极光 SDK 的安全与合规实践...................................................................... 49 (二)小米推送 SDK 的安全与合规实践.............................................................. 57 (三)TALKINGDATA SDK 的安全与合规实践........................................................... 61 图 目 录 图 1 嵌入新浪微博 SDK 的 APP 分布情况........................................................... 5 图2 嵌入支付宝 SDK 的 App 分布情况............................................................. 6 图3 嵌入极光推送 SDK 的 App 分布情况......................................................... 9 图4 嵌入 InMobi SDK 的 App 分布情况........................................................ 11 图5 各类型 App 嵌入 SDK 占比情况............................................................... 14 图6 App 中使用第三方 SDK 的数量分布图.................................................... 15 图7 SDK 通过 App 收集的数据类型统计........................................................ 25 图8 SDK 征得用户同意方式的示例................................................................ 40 图9 App 内设计相关 SDK 的控制者和管理页面............

pdf文档 信通院 软件开发包-SDK安全与合规报告-2020

文档预览
中文文档 75 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共75页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
信通院 软件开发包-SDK安全与合规报告-2020 第 1 页 信通院 软件开发包-SDK安全与合规报告-2020 第 2 页 信通院 软件开发包-SDK安全与合规报告-2020 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-11 13:30:49上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。