什么是SDK?
App嵌入SDK的做法十分普遍
测评方法
平均每款App使用19.3个SDK
电话、定位、录音等个人信息被SDK获取
SDK收集个人(敏感)信息须告知
SDK收集信息的必要性分析
三成SDK或隐瞒收集用户个人信息
结论
SDK,全称Software Development Kit,即软件开发工具包,它是一个集合了开发特定类型应用程序所需的文档、示例代码和工具的资源包。SDK通常被用于帮助开发者高效、低成本地实现如地图、支付、数据分析、社交媒体集成、广告投放等功能。由于其便捷性,App广泛采用SDK来增强自身功能。
在本次由南都个人信息保护研究中心蒋琳发布的《常用第三方SDK收集个人信息测评报告》中,针对社交交友、生活服务、休闲娱乐、购物导购、旅游交通和移动金融六大行业的60款App进行了深入测评。结果显示,平均每款App使用了19.3个SDK。这些SDK不仅获取设备信息,如IMEI、IMSI、Wi-Fi连接信息(IP地址、MAC地址、SSID)和用户行为信息(如锁屏、安装/升级/卸载App),还涉及到了个人信息的收集,包括电话号码、地理位置、甚至录音等敏感信息。
电话号码的收集可能来源于支付宝SDK,而地理位置信息则可能由百度昊天SDK、TalkingData SDK、高德地图SDK、腾讯地图SDK、字节跳动SDK和友盟SDK获取。录音功能则可能通过讯飞SDK和声网SDK实现。根据《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,SDK收集个人敏感信息时,必须在隐私政策中明确告知用户。然而,有些App并未明确告知用户SDK收集信息的行为,如中国银行手机银行App(使用讯飞SDK)和宜人财富/宜人贷借款App(使用TalkingData SDK)。
测评还发现,约三成的SDK可能存在隐瞒收集用户个人信息的情况,其中极光数据分析SDK申请的系统权限最多,达到14项,而TalkingData、友盟、Ping++这三个SDK则超出了其官方声明的范围收集个人信息。值得注意的是,一些来自头部互联网公司的SDK,尽管广泛使用,但可能并未充分告知用户其收集个人敏感信息的行为,甚至有的SDK存在未加密上传用户个人信息的问题。
报告强调了“知情同意”原则的重要性,即使SDK需要收集的个人信息不是App本身的业务需求,也应该得到用户的明确同意。因此,对于SDK的信息收集行为,开发者和App运营商应当更加透明,确保用户隐私得到保护,同时加强SDK的安全管理,避免用户数据被不当利用。只有这样,才能在保障用户权益的同时,促进移动互联网行业的健康发展。
