中国信通院与北京环球律师事务所联合发布《软件开发包(SDK)安全与合规报告(2020)》
2020年9月27日,由中国信息通信研究院(以下简称“中国信通院”)安全研究所和北京环球律师事务所主办、深圳市和讯华谷信息技术有限公司承办的“加速推进数据要素市场化背景下——数据安全与治理研讨会”主题论坛在深圳召开,百余位深圳及其周边地区的资深安全、合规、法务、业界专家、商业精英报名参加。
论坛特邀深圳市通信管理局副局长肖永忠、深圳市政务服务数据管理局信息安全测评中心副主任董安波参会致辞,邀请阿里巴巴网络技术有限公司、深圳市腾讯计算机系统有限公司、全国App治理工作组、南都个人信息保护研究中心、深圳前海微众银行股份有限公司的相关专家进行主题演讲,共同探讨新背景下数据要素安全治理、移动互联网个人信息保护、数据流动与安全的平衡等热点议题。
圆桌对话环节,围绕“数据流通与安全之间的平衡”议题,与来自阿里巴巴网络技术有限公司、北京小米科技有限责任公司、完美世界集团、美团点评、北京百度网讯科技有限公司、深圳市和讯华谷信息技术有限公司以及北京市环球律师事务所的专家一同展开了热烈讨论。
在本次论坛上,中国信通院安全研究所与北京环球律师事务所联合发布蓝皮报告《软件开发包(SDK)安全与合规报告(2020)》(以下简称“报告”)。报告体现了中国信通院安全研究所和北京环球律师事务所在第三方SDK安全与合规问题方面的最新研究成果,在2019年版本的基础上进行了一些修订,为移动互联网网络与数据安全、个人信息保护管理要求及规则的制定提供一些有益参考。
报告前言
我国移动互联网市场经历了将近20年的快速发展,已经形成了庞大的产业规模,创造了可观的经济效益,并且在业务模式和商业模式创新方面引领全球。同时,移动互联网正在向传统产业加速渗透,人工智能、大数据、物联网等信息技术与实体经济持续深度融合,不断催生传统产业服务新业态,逐步改造着医疗、教育、交通、旅游、金融、传媒等传统行业的服务模式。在此过程中,移动应用软件,即App,发挥了不可替代的入口作用,全天候、全方位深度参与到了广大网民日常生活的方方面面。
App在提供各类便捷、高效、普惠服务的同时,也在无时不刻地收集、使用用户的个人信息,与App存在密切联系的第三方软件开发包(SDK)收集个人信息问题也已经进入各方视野。2019年下半年起至2020年,不论是立法动态还是监管角度,均将SDK违法违规收集个人信息作为审查的重点之一。
僻如,在立法和国家标准制定方面,《数据安全管理办法(征求意见稿)》《GB/T 35273-2020信息安全技术 个人信息安全规范》《网络安全标准实践指南 移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》《信息安全技术 个人信息告知同意指南(征求意见稿)》等国家标准的研究也开始涉及第三方介入(包括SDK)这一特定领域。
在监管方面,中央网信办、工业和信息化部、公安部、市场监督总局四部委组建的App专项治理工作组在全国范围开展较大规模的App的审查与治理行动,从曝光的结果来看,不难看出已对App中嵌入的违规SDK厂商,采取了包括但不限于约谈企业负责人、网上曝光、App下架等措施。该治理工作组在今年5月发布的《App违法违规收集使用个人信息专项治理报告(2019)》,更是明确指出“第三方SDK自身的安全性,以及其收集使用个人信息行为,也成为移动生态中个人信息保护的风险点……建议将SDK收集使用个人信息行为纳入专项治理范围,以促进SDK行业加强数据收集使用规范性”。由此可见,2020年,SDK的合规性已经成为监管的重点。
并且,2020年3月疫情期间爆出的Zoom接入SDK问题,2020年7月“3·15”晚会曝光私自收集个人信息的SDK未经用户许可窃取个人信息问题,更是引发了公众对SDK安全与合规的极大关注。
特别地,2020年7月中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动2020年App违法违规收集使用个人信息治理工作,提到今年年度的治理重点时专门提到了对第三方SDK的治理:制定发布SDK个人信息安全评估要点,对用户规模大、问题反映集中的小程序等进行深度评估。
本报告将在2019年版本的基础上,进一步梳理当前应用较为广泛的第三方SDK类型和市场情况,结合实际案例分析第三方SDK存在的主要安全问题以及第三方SDK提供者与App开发者合作过程中面临的法律合规问题。通过调研欧盟、美国的相关经验做法,从法律法规、企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针对性的建议。
本报告2020年版比照2019年版的主要修订在于:
- 更新了2019年至今监管层面、国家标准层面针对SDK的规制;
- 更新了对App开发者嵌入第三方SDK的合规实践建议;
- 更新了第三方SDK自身的合规实践建议;
- 更新了第三方SDK产品最新的合规实践案例。
报告目录
一、 第三方SDK的业内现状
(一)第三方SDK常见类型及应用情况
(二) 第三方SDK安全标准化现状
(三) 第三方SDK普遍应用的原因分析
二、第三方SDK的主要安全问题及分析
(一)第三方SDK自身安全性不容乐观
(二)第三方SDK成为病毒传播新途径
(三)第三方SDK隐蔽收集个人信息问题逐步显现
三、第三方SDK的主要合规问题及分析
四、第三方SDK管理的域外经验
(一)欧盟的第三方SDK管理经验
(二)美国的第三方SDK管理经验
五、针对我国第三方SDK管理的相关建议
(一)尽快完善相关法律法规,明确相关主体的责任义务
(二)App开发者需要积极履行数据合规义务
(三)第三方SDK提供者需要加快构建数据安全合规体系
(四)加快完善SDK安全标准及指南
(五)鼓励第三方SDK企业开展行业自律
附录 第三方SDK产品的安全与合规实践
(一)极光SDK的安全与合规实践
(二)小米推送SDK的安全与合规实践
(三)TalkingData SDK的安全与合规实践
版权声明:本报告版权属于中国信息通信研究院、北京环球律师事务所,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院、北京环球律师事务所”。违反上述声明者,本院将追究其相关法律责任。
点击左下“阅读原文”,下载报告。
校 审 | 陈 力、凌 霄
编 辑 | 珊 珊
推荐阅读
《新基建》专辑
点亮在看共渡难关