11月27日 , 全国信息安全标准化技术委员会发布《网络安全标准实践指南——移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(下称《指引》) 。
针对SDK存在的安全问题 , 《指引》确定了App使用SDK的安全原则 , 并明确了当出现安全问题时 , App和SDK如何划分责任 。 《指引》还强调 , SDK不得留存设备唯一标识符 。
【标识符|全国信安标委发布安全指引:SDK不得留存设备唯一标识符】新增责任划分内容
所谓SDK , 指协助软件开发的相关文档、范例和工具的集合 , 一般由第三方服务商或开发者提供 , 被广泛应用于各类App的开发中 , 可实现广告、支付、地图、社交等功能 。 在提升App兼容性和灵活性、节约开发成本的同时 , SDK带来的安全风险也引起多方关注 。
在2018年著名的“寄生推”事件中 , SDK开发者通过云端控制的方式对目标用户下发包含恶意功能的代码包 , 进行恶意广告行为和应用推广牟利 , 受影响的App多达300余款 , 潜在可影响近两千万用户 。
对此 , 《指引》确定了App使用SDK的安全原则——权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与七项原则 。 当使用SDK时 , 《指引》要求App对其来源、代码、行为三方面进行安全评估 , 集成后对SDK进行持续动态监测或定期进行安全评估 。
如果出现安全问题 , App和SDK分别需要承担什么责任?隐私护卫队注意到 , 相比于9月份发布的征求意见稿 , 《指引》新增了责任划分的内容 。
当SDK处理个人信息时 , 如果是按照App的指导和要求进行 , 则需配合App履行相关责任;如果是以单独身份向用户提供服务 , 且自行决定处理数据的目的和方式时 , 需承担个人信息控制者的责任;如果和App共同决定处理数据的方式和目的 , 则需通过合同等形式约定各自承担的责任 。
原则上 , App提供者是App个人信息控制者及保护用户个人信息安全的首要责任人 。
对于已经发现的SDK安全漏洞 , App要及时修复 , 或者采用其他替代方案 , 并从SDK官方渠道及时更新最新版本SDK;对于已经发现存在恶意行为的SDK , App要及时停止使用 。
SDK单独收集信息应征得用户同意
在App的世界里 , SDK对用户而言是个隐秘的存在 。 而事实上 , 不管是你每天收到的新闻推送 , 还是促销活动广告 , 甚至短信验证码 , 都有可能出自第三方之手 。
为了让用户“看见”SDK , 《指引》要求App向用户告知所接入的涉及个人信息收集的SDK的名称 , SDK收集的个人信息类型、目的和方式 , 申请的敏感权限、申请目的等 , 并征得用户同意 。
SDK需确保告知的信息应完整、准确、及时 , 不存在故意隐瞒、欺骗等行为 。
如果SDK作为个人信息共同控制者或独立控制者收集使用用户个人信息 , 单独向用户告知收集使用个人信息的行为并征得用户同意 。 此时App需为其中无单独页面的SDK提供向用户告知的便捷渠道 。
为进一步赋予用户参与权 , 《指引》还新增规定 , 要求SDK建立能够查询、更正、删除用户个人信息 , 以及撤回同意、投诉等渠道 , 并协助App展示相应渠道 , 以响应用户个人信息权利请求 。
SDK不得留存设备唯一标识符
去年 , 南都个人信息保护研究中心与中国金融认证中心(CFCA)联合发布的《常用第三方SDK收集使用个人信息测评报告》(下称《报告》) , 对15个较为主流的SDK进行深度分析发现 , 在官方文档里提供了相关信息的10个SDK中 , 三成能够通过代码收集超出其声明权限范围的个人信息 。 也就是说 , 它们可能存在隐瞒收集用户个人信息的情况 。
《指引》要求 , 收集使用个人信息和申请敏感权限时SDK应遵循合理、最小、必要原则 。 且收集个人信息的频率应是实现自身业务功能所必需的最低频率 。 在用户或App提供者未使用SDK相关业务功能时 , 不应强制申请权限或通过自启动、关联启动等方式开始收集个人信息 。
一直以来 , 手机等设备的唯一标识符是最容易被违规收集和滥用的用户信息之一 。
《报告》显示 , 在检测时间内 , 60款App使用的966个SDK中 , 有150个获取了IMEI、IMSI等手机设备信息 , 在所有类别中最为频繁 。
今年的央视315晚会曝光了两款擅自获取用户隐私的SDK 。 它们会未经用户许可读取手机IMEI号(一种设备标识符)、短信记录、通讯录、应用安装列表等隐私 , 读取完成后还会悄悄地将数据传送到指定的服务器存储起来 。
此前 , 有专家曾明确表示 , 禁止收集IMEI号等设备唯一标识符是未来监管趋势 。 隐私护卫队注意到 , 《指引》明确SDK不得留存不可变更的设备唯一标识符 , 收集可变更的标识符或采用技术手段将原始的不可变更标识符转化为可变更状态 。
文/南都个人信息保护研究中心研究员 尤一炜
推荐阅读
- 年轻人|呼叫全城玩家,魔都首发「表情包地铁」启程,2022蓝不倒!
- 网络|天津联通全力助推天津市入选全国首批千兆城市
- 地面|全程回顾神舟十三号航天员乘组圆满完成第二次出舱任务
- 平板|消息称 vivo 平板明年上半年推出:骁龙 870,四边等宽全面屏设计
- 安全|Redline Stealer恶意软件:窃取浏览器中存储的用户凭证
- 解决方案|三菱重工AirFlex:全屋恒温,暖意守护安全工作
- |南安市交通运输局强化渣土 运输安全专项整治
- 测试|图森未来完成全球首次无人驾驶重卡在公开道路的全无人化测试
- ASUS|华硕预热ROG Flow Z13:称其是“全球最强悍的游戏平板”
- 识别|天津滨海机场RFID行李全流程跟踪系统完成建设 行李标签识别成功率可提升至99%