查看原文
其他

《软件开发包(SDK)安全与合规白皮书》正式发布

中国信通院 中国信息通信研究院CAICT 2019-10-21


8月14日,中国信息通信研究院(以下简称“中国信通院”)安全研究所与北京市环球律师事务所(以下简称“环球律所”)在联合举办的“数据安全与个人信息保护论坛”上发布《软件开发包(SDK)安全与合规白皮书》。白皮书体现了中国信通院安全研究所和环球律所在第三方SDK安全与合规问题方面的最新研究成果,为移动互联网网络与数据安全、个人信息保护管理要求及规则的制定提供一些有益参考。



白皮书摘要

我国移动互联网市场经历了将近20年的快速发展,已经形成了庞大的产业规模,创造了可观的经济效益,并且在业务模式和商业模式创新方面引领全球。同时,移动互联网正在向传统产业加速渗透,人工智能、大数据、物联网等信息技术与实体经济持续深度融合,不断催生传统产业服务新业态,逐步改造着医疗、教育、交通、旅游、金融、传媒等传统行业的服务模式。在此过程中,移动应用软件,即APP,发挥了不可替代的入口作用,全天候、全方位深度参与到了广大网民日常生活的方方面面。


APP在提供各类便捷、高效、普惠服务的同时,也在无时不刻地收集、使用用户的个人信息。近年来新闻媒体曝光的涉及APP个人信息保护相关事件显示,APP强制授权、过度索权、超范围收集个人信息等问题已经十分突出。为此,今年1月份,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展APP违法违规收集使用个人信息专项治理,重拳出击,整治乱象。随着APP个人信息保护治理工作的深入推进,与APP存在密切联系的第三方软件开发包(SDK)收集个人信息问题也逐渐进入各方视野。


本报告聚焦于第三方SDK,梳理当前应用较为广泛的第三方SDK类型和市场情况,结合实际案例分析第三方SDK存在的主要安全问题以及第三方SDK提供者与APP开发者合作过程中面临的法律合规问题。通过调研欧盟、美国的相关经验做法,从法律法规、企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针对性的建议。


白皮书目录

一、第三方SDK的业内现状

(一)第三方SDK常见类型及应用情况

(二)第三方SDK普遍应用的原因分析


二、第三方SDK的主要安全问题及分析

(一)第三方SDK自身安全性不容乐观

(二)第三方SDK成为病毒传播新途径

(三)第三方SDK隐蔽收集个人信息问题逐步显现


三、第三方SDK的主要合规问题及分析

(一)第三方SDK作为数据处理者时,主要合规问题分析

(二)第三方SDK作为共同数据控制者时,主要合规问题分析


四、第三方SDK管理的域外经验

(一)欧盟的第三方SDK管理经验

(二)美国的第三方SDK管理经验


五、针对我国第三方SDK管理的相关建议

(一)尽快完善相关法律法规,明确相关主体的责任义务

(二)APP开发者需要积极履行数据共享合规义务

(三)第三方SDK提供者需要加快构建数据安全合规体系

(四)加快研究制定SDK安全标准及指南

(五)鼓励第三方SDK企业开展行业自律


附录  第三方SDK产品的安全与合规实践



下载方式

关注公众号,并在首页回复关键词“SDK安全”,下载白皮书。



中国信通院最新推出专业学习服务小程序—“信通微课”,方便您随时随地学习行业领先知识,欢迎体验!


扫描识别下方二维码,或从公众号首页导航栏进入“信通微课”小程序。




校  审 | 陈  力、凌  霄

编  辑 | 珊  珊



推荐阅读

如何应对数据跨境流动的风险?


车载智能终端市场发展提速 T-Box终端加速渗透


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存