■本报记者 武晓莉

当你第一次下载使用某应用软件(APP)时，多半会被要求通过微信、QQ或者支付宝授权一键登录。对用户来说，虽然很简单，但有可能会增加个人信息泄露风险，甚至直接被SDK收集更多的个人信息。

那么，SDK是什么？它是如何嵌入APP的？治理APP侵权为何要规范SDK？记者对这些用户关心的问题进行了深入的采访。

用SDK降低开发成本

“SDK就是软件开发工具包。”知乎博主刘看山说，“用以辅助开发某一类软件的相关文档、范例和工具的集合都可以叫做SDK。”一项功能被封装成SDK，就可以出售给不想从头搞研发又需要这项功能的公司。

“APP都是一个一个的信息孤岛，但各个APP 需要和其他APP产生联系，比如互相调用或者开放接口进行信息交换，由此会产生很多能与这个APP连接到一起的开发行为。”业内观察人士马继华对《中国消费者报》记者说，“APP就会将一些需要的程序打包提供给开发者，这就是SDK。”

“对于APP来说，嵌入SDK是非常普遍的一个现象。”赛迪智库网络安全研究所所长刘权对《中国消费者报》记者说，“对于用户而言，一个APP的身份认证、数据加密、支付、信用查询、信息核验、安全服务、数据统计等服务功能，被打成一个包，直接通过SDK调用第三方的应用。SDK在APP上的应用很多，其作用就是为程序开发人员提供便利，通过调用别人做好的模块，需要什么功能就按文档来调用对应接口，具体功能不需要自己开发。”

国家计算机网络应急技术处理协调中心、中国网络空间安全协会此前发布的《APP违法违规收集使用个人信息监测分析报告》显示，一款APP平均会嵌入10款以上SDK，并通过SDK实现认证登录、消息推送、访问统计等功能。更有甚者，一些自主开发水平较低的中小APP，甚至主要功能也依靠SDK实现。

SDK违规不易察觉

“SDK违规收集个人信息(设备Android ID)”“SDK违规收集个人信息(设备MAC地址)”“SDK违规收集个人信息(设备传感器信息)”……工信部最新公布的侵权APP名单里，明确列出了SDK的违规收集行为。

“目前SDK应用存在诸多问题，如没有明示SDK功能、收集使用信息的规则、目的、方式、范围、用途等。”刘权说。

“第三方SDK收集行为不规范，引发的APP违规问题日益凸显。”TalkingData法务合规负责人及数据合规官葛梦莹告诉《中国消费者报》记者，“一是同类型SDK收集的个人信息范围存在较大差异，缺乏统一标准；二是SDK的权限调用和声明行为不规范。目前，手机操作系统并未提供单独的SDK权限管理机制，而是由SDK直接调用APP的已有权限，部分SDK借此强制要求APP捆绑声明权限，或者调用APP权限过度收集个人信息。”

“基于开发便利和用户研究的需要，往往需要大量的手机用户信息，因为在使用这些信息前往往不能判断哪些信息有价值，所以就会过量地收集一些看起来不必要的信息。”马继华说。

比如很常见的一键登录SDK，实现功能相同，但有的收集IMSI(国际移动用户识别码)、WiFi网络信息，有的获取系统设置项等信息，有的则需要WLAN状态等权限，APP想要兼容多个登录入口，就必须声明获取上述全部信息，这就增加了APP过度收集个人信息的风险。又如，用户为实现订餐功能授权APP调用位置权限，但技术分析发现，APP内嵌的广告类、用户画像类SDK也趁机调用了位置权限。

用技术界定SDK是否合规

“SDK的问题相对比较隐蔽，用户往往感觉不到，只是后台的开发者、程序员们才能了解，但这种信息的收集也有可能被用于非法的目的。”马继华说，“因此，有关部门应该定期通过专业技术进行检查测试，保护普通用户的合法权益。”

“目前主要是靠APP主动去下载SDK的安装包链接，再自行嵌入至其APP的代码中，以实现相关功能。”葛梦莹说，从SDK的版本层面说，有些是标准化的版本，有些是根据APP的要求定制的个性化版本。从SDK的个人信息处理行为看，有些SDK仅作为技术工具，个人信息最终收集至APP的服务器，这种情况下，SDK和APP之间不涉及数据传输和交互等处理活动，就无需界定SDK的法律角色。但有些是SDK自行收集至自己的服务器，这就需要从技术上加以区分。从SDK的角色来说，有些SDK是以独立的处理者身份面向最终用户的，例如支付类、地图类，这种情况下，个人信息的处理行为就应该由SDK自行向个人用户负责。有些SDK与APP是共同处理者，双方共同决定个人信息的处理目的、方式，这种情况就可视为APP的一部分。

“SDK作为个人信息保护的一环被关注的时间较短，相关标准和经验较少。”刘权说，“从技术上讲，应组织开发检测平台、软件和工具，鼓励APP厂商或服务商开展自我检测或委托第三方进行检测。从标准上讲，应组织制定SDK信息披露方式及模板，将SDK功能、收集使用信息的规则、目的、方式、范围、用途等清晰地逐一列出，以保证用户知情权。”

国家计算机网络应急技术处理协调中心相关负责人指出，部分头部企业已开始重视SDK权限的管理，增加了SDK控制中间件等技术手段，用于管控各类SDK对系统权限的滥用。

多层面规范SDK权限

专家们认为，应该从技术、标准和法律层面规范SDK权限的管理，管控各类SDK对系统权限的滥用。

“从政策上讲，应将SDK隐私政策内容加入APP隐私政策中，同时加大对违规企业的处罚力度。”刘权说。

“法律和标准层面上，SDK相关的国家标准已经在制定中。SDK作为个人信息处理者，需要遵循相关法律法规，对自身的隐私政策要及时、完整地披露。而隐私政策作为向个人用户告知个人信息处理行为的必要载体，是用户感知最为明显的重要手段，不仅是APP所必备的，也是SDK厂商须对外披露的。”葛梦莹说，“除了很多SDK没有隐私政策的问题，隐私政策写得过于晦涩难懂，也是一个广受个人用户诟病的问题。隐私政策的写法、展示方式等，也需要严格符合相关法律法规和国家标准，例如落实《个人信息保护法》要求的‘处理个人信息应当具有明确合理的目的’‘收集个人信息，应当限于实现处理目的的最小范围’‘单独同意’等。在合规的前提下还须充分考虑个人用户的阅读习惯，并且切实保障用户权利的行使，这些也是接下来APP合规工作的重点。”

如何防范SDK侵权

“SDK本身不需要防范，它就是一段代码，APP里也全是代码。”葛梦莹说，“实际上，APP是可以在嵌入之前做好SDK的合规性评估，并向个人用户明确告知其所嵌入的SDK类型、收集的数据类型、处理的目的和方式的，APP对SDK是可以尽到谨慎的选择和评估义务的，是可控的。目前都要求APP在隐私政策里公布SDK的类型、作用范围等。”

“因为SDK的服务对象是APP，不是个人用户，所以最终向个人用户负责的应该是APP。”葛梦莹认为，对监管者来说，首先需要从技术层面上判断SDK的法律角色定位、处理个人信息的合法性基础以及特定角色。以自己名义独立提供服务的第三方才需要自己获得用户同意，自己承担责任。例如支付宝这样的SDK以及其他给企业提供服务的SDK，都是由被嵌入的APP一并获得用户同意，并且APP自己承担责任。其次要判断SDK处理行为的合规性，可以利用官方有相关资质的检测工具做检测，对SDK实际收集的个人信息与其隐私政策中所披露的内容进行一致性判断，对比相关字段是否一致。如果检测出SDK实际收集字段小于其隐私政策所披露的字段，则可认为其符合一致性。

据葛梦莹介绍，工信部此前已经要求互联网企业建立个人信息保护双清单(已收集个人信息清单和与第三方共享个人信息清单)，并在APP二级菜单中展示，以便用户查询。首批设立双清单的企业包括腾讯、阿里、美团、快手、拼多多等39家。按照规定，已收集个人信息清单应简洁、清晰列出APP包括内嵌第三方SDK，已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。

马继华认为，此次专门提出对SDK的管理，是保护个人信息向深度发展的体现。监管部门应该联合相关开发企业、消费者代表等，严格制定个人信息收集标准以及相关的处罚规定。