3月选题预告：安全419《App安全合规解决方案系列推荐》

//导语

/// 

安全419编辑部发现，近三年来，工信部不断开展App侵害用户权益专项整治行动，已有数百款App遭到公开点名，甚至被责令下架，但时至今日，仍然有大量的APP因未完成整改而遭到工信部通报。

虽然当前App“违规收集个人信息”、“违规使用个人信息”等问题已经成为了较为普遍的现象，但我们有理由相信，随着国家各部门对App收集个人信息违法违规行为治理工作的深化，大多数被通报存在合规问题的企业和App运营者绝非“知法犯法”，而是面对强监管政策无从下手，不知道如何开展自查自纠、整改不彻底等等。

针对这一现实问题，安全419计划推出《App安全合规解决方案系列推荐》选题，以进一步发现行业内的优秀厂商，挖掘真正着眼用户痛点，能够解决用户真实合规需求的App安全合规解决方案，为广大的用户提供有价值的参考。

——安全419编辑部

安全419编辑部关注到，2022年2月18日，工信部发布了2022年首批《关于侵害用户权益行为的App通报名单，检测尚有107款App未完成整改。同时，检测过程中发现，13款内嵌第三方软件开发工具包（SDK）存在违规收集用户设备信息的行为。

这是2021年11月1日《个人信息保护法》实施后，监管部门再度重拳整顿违规App。

我们通过梳理通报名单发现，当前未完成整改的App主要是资讯、视频、直播类软件，包括洋码头、好视通云会议、小米直播、龙珠直播、速8酒店、中公教育、爱卡汽车、婚礼纪等知名APP在列，问题重点集中在“强制用户使用定向推送功能”、“违规收集个人信息”、“超范围收集个人信息等”方面。

值得一提的是，工信部检测过程中发现，13款内嵌第三方软件开发工具包（SDK）存在违规收集用户设备信息的行为。这些内嵌第三方软件开发工具包（SDK）包括：网易七鱼SDK、穿山甲SDK、讯飞语音识别SDK、金立手机SDK、畅思广告SDK、百度定位SDK等。

满足合规监管要求已是时代必答题

2021年3月12日，国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，明确39类常见类型App的必要个人信息范围，并要求“App不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务”。2021年5月1日，《常见类型移动互联网应用程序必要个人信息范围规定》正式印发，加大对违法违规收集使用个人信息行为的调查处理力度。

我国个人信息保护法于2021年11月1日起施行，其中，对于个人信息的收集、使用、保存等提出了明确的规定，进一步彰显了党和国家在保障个人信息方面的态度和决心。实践中，App已成为侵犯公民个人信息的“重灾区”，近年来，国家相关部门也在不断加大针对侵犯个人信息行为的惩治力度。

随着国家法律的不断完善，逐渐趋严的监管政策，对App的开发、运营者提出了更高的要求，保障旗下产品满足相应的法律、规范及标准已经是当前互联网大环境下的必答题。

第三方SDK引入亦需关注安全合规风险

据了解，内嵌第三方软件开发工具包（SDK）是指应用开发人员在软件开发过程中使用的第三方成品开发工具，使用现成的开发工具可以提升软件开发效率，快速实现业务功能、降低开发成本、缩短开发周期、有效节约资源，具有广泛的应用场景和价值空间，与移动互联网产业高度共生。按照SDK功能划分，目前比较成熟的SDK有广告类、推送类、数据统计分析类、地图类、第三方登录类、支付类等等。

但SDK提供便利的同时，也面临的合规风险、安全风险问题。首先SDK本身因为更聚焦于功能实现，很容易因为存在代码缺陷导致安全问题，而这些安全问题会进一步传导至这些SDK的宿主APP侧，进而给用户带来安全风险。

此外，在个人信息合规风险方面，部分SDK也存在未经用户同意收集个人信息、超范围收集个人信息、未经授权使用个人信息，同时进一步的违规传输个人信息等违规问题。虽然很多第三方SDK会提供隐私政策，将SDK的个人信息收集行为进行公示，说明了SDK在收集个人信息时候的目的、类型等情况，但一方面，部分APP开发者对嵌入SDK的安全管理意识上存在不足；另一方面，从技术层面上来看，APP开发者也很难采取相应的技术手段对第三方SDK进行安全合规检测，这也进一步增加了APP本身的不合规风险。

如何才能有效地管控SDK行为？或许答案是需要安全厂商们的技术加持，来帮助SDK开发者与App开发者开展安全评估和排查，并对SDK的安全性进行动态监测。

与企业一同寻找更具价值的解决方案

《App安全合规解决方案系列推荐》系列选题将寻找业内优秀的移动安全服务厂商，详细调研相应的App安全合规解决方案及产品，最终我们将邀请其中部分厂商来结合不同行业、不同业务类型的典型场景分享自身实践经验，并以系列选题文章形式予以展示、传播。

安全419编辑部正在积极沟通相关网络安全厂商开展调研，也欢迎更多新朋友自荐，向我们展示和分享自家的解决方案和成果。如有安全厂商自荐，可添加编辑微信详细沟通交流。

本系列选题将于2022年3月上旬开始发布，敬请关注。

THE END