软件开发包（SDK）安全与 合规报告 （2020） 中国信息通信研究院安全研究所 北京市环球律师事务所 2020 年 9 月 版权声明 本报告版权属于中国信息通信研究院、北京市环球律师 事务所，并受法律保护。转载、摘编或利用其它方式使用本 报告文字或者观点的，应注明“来源：中国信息通信研究院、 北京市环球律师事务所”。违反上述声明者，本院将追究其 相关法律责任。 编写团队 编写单位： 中国信息通信研究院安全研究所 北京市环球律师事务所 编写组成员：（姓氏笔画为序） 陈湉、张淑怡、孟洁、秦博阳、薛颖、覃庆玲、魏亮 联系人： 陈湉 电话：010-62308820 邮箱：[email protected] 孟洁 电话：010-65846768 邮箱：[email protected] 前 言 我国移动互联网市场经历了将近 20 年的快速发展，已经形成了 庞大的产业规模，创造了可观的经济效益，并且在业务模式和商业模 式创新方面引领全球。同时，移动互联网正在向传统产业加速渗透， 人工智能、大数据、物联网等信息技术与实体经济持续深度融合，不 断催生传统产业服务新业态，逐步改造着医疗、教育、交通、旅游、 金融、传媒等传统行业的服务模式。在此过程中，移动应用软件，即 App，发挥了不可替代的入口作用，全天候、全方位深度参与到了广 大网民日常生活的方方面面。 App 在提供各类便捷、高效、普惠服务的同时，也在无时不刻地 收集、使用用户的个人信息，与 App 存在密切联系的第三方软件开发 包（SDK）收集个人信息问题也已经进入各方视野。2019 年下半年起 至 2020 年，不论是立法动态还是监管角度，均将 SDK 违法违规收集 个人信息作为审查的重点之一。 僻如，在立法和国家标准制定方面，《数据安全管理办法（征求 意见稿）》《GB/T 35273-2020 信息安全技术 个人信息安全规范》 《网络安全标准实践指南 移动互联网应用程序（App）中的第三方软 件开发工具包（SDK）安全指引（征求意见稿）》《信息安全技术 个 人信息告知同意指南（征求意见稿）》等国家标准的研究也开始涉及 第三方介入（包括 SDK）这一特定领域。 在监管方面，中央网信办、工业和信息化部、公安部、市场监督 总局四部委组建的 App 专项治理工作组在全国范围开展较大规模的 App 的审查与治理行动，从曝光的结果来看，不难看出已对 App 中嵌 入的违规 SDK 厂商，采取了包括但不限于约谈企业负责人、网上曝光、 App 下架等措施。该治理工作组在今年 5 月发布的《App 违法违规收 集使用个人信息专项治理报告（2019）》，更是明确指出“第三方 SDK 自身的安全性，以及其收集使用个人信息行为，也成为移动生态 中个人信息保护的风险点……建议将 SDK 收集使用个人信息行为纳 入专项治理范围，以促进 SDK 行业加强数据收集使用规范性”。由此 可见，2020 年，SDK 的合规性已经成为监管的重点。 并且，2020 年 3 月疫情期间爆出的 Zoom 接入 SDK 问题，2020 年 7 月“3﹒15”晚会曝光私自收集个人信息的 SDK 未经用户许可窃取 个人信息问题，更是引发了公众对 SDK 安全与合规的极大关注。 特别地，2020 年 7 月中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信 息治理工作，提到今年年度的治理重点时专门提到了对第三方 SDK 的 治理：制定发布 SDK 个人信息安全评估要点，对用户规模大、问题反 映集中的小程序等进行深度评估。 本报告将在 2019 年版本的基础上，进一步梳理当前应用较为广 泛的第三方 SDK 类型和市场情况，结合实际案例分析第三方 SDK 存在 的主要安全问题以及第三方 SDK 提供者与 App 开发者合作过程中面临 的法律合规问题。通过调研欧盟、美国的相关经验做法，从法律法规、 企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针 对性的建议。 本报告 2020 年版比照 2019 年版的主要修订在于：  更新了 2019 年至今监管层面、国家标准层面针对 SDK 的规制；  更新了对 App 开发者嵌入第三方 SDK 的合规实践建议；  更新了第三方 SDK 自身的合规实践建议；  更新了第三方 SDK 产品最新的合规实践案例。 目 录 一、 第三方 SDK 的业内现状..................................................................................... 1 （一）第三方 SDK 常见类型及应用情况................................................................ 1 （二） 第三方 SDK 安全标准化现状.................................................................... 15 （三） 第三方 SDK 普遍应用的原因分析............................................................ 17 二、第三方 SDK 的主要安全问题及分析.................................................................. 18 （一）第三方 SDK 自身安全性不容乐观.............................................................. 18 （二）第三方 SDK 成为病毒传播新途径.............................................................. 19 （三）第三方 SDK 隐蔽收集个人信息问题逐步显现.......................................... 19 三、第三方 SDK 的主要合规问题及分析.................................................................. 20 四、第三方 SDK 管理的域外经验.............................................................................. 23 （一）欧盟的第三方 SDK 管理经验...................................................................... 23 （二）美国的第三方 SDK 管理经验...................................................................... 28 五、针对我国第三方 SDK 管理的相关建议.............................................................. 33 （一）尽快完善相关法律法规，明确相关主体的责任义务.............................. 33 （二）APP 开发者需要积极履行数据合规义务.................................................... 35 （三）第三方 SDK 提供者需要加快构建数据安全合规体系.............................. 44 （四）加快完善 SDK 安全标准及指南.................................................................. 47 （五）鼓励第三方 SDK 企业开展行业自律.......................................................... 48 附录 第三方 SDK 产品的安全与合规实践.............................................................. 49 （一）极光 SDK 的安全与合规实践...................................................................... 49 （二）小米推送 SDK 的安全与合规实践.............................................................. 57 （三）TALKINGDATA SDK 的安全与合规实践........................................................... 61 图 目 录 图 1 嵌入新浪微博 SDK 的 APP 分布情况........................................................... 5 图2 嵌入支付宝 SDK 的 App 分布情况............................................................. 6 图3 嵌入极光推送 SDK 的 App 分布情况......................................................... 9 图4 嵌入 InMobi SDK 的 App 分布情况........................................................ 11 图5 各类型 App 嵌入 SDK 占比情况............................................................... 14 图6 App 中使用第三方 SDK 的数量分布图.................................................... 15 图7 SDK 通过 App 收集的数据类型统计........................................................ 25 图8 SDK 征得用户同意方式的示例................................................................ 40 图9 App 内设计相关 SDK 的控制者和管理页面............