最新《软件开发包（SDK）安全与合规报告》发布

近日，由中国信息通信研究院（以下简称“中国信通院”）安全研究所与北京环球律师事务所主办的“加速推进数据要素市场化背景下——数据安全与治理研讨会”主题论坛在深圳举办。

论坛上，蓝皮报告《软件开发包（SDK）安全与合规报告（2020）》（以下简称“报告”） 正式发布。报告对2019年版进行修订，补充了中国信通院与北京环球律师事务所在第三方SDK安全与合规问题方面的最新研究成果，为移动互联网网络与数据安全、个人信息保护管理要求及规则的制定提供有益参考。作为国内第三方SDK代表厂商，TalkingData参与了本报告的讨论与编写，在开发者协议和隐私政策、标识用户方法及安全措施、数据存储安全措施等SDK安全与合规方面的相关实践，也获得报告的收录。

以下为报告节选

完整报告请前往文末下载

报告前言

App在提供各类便捷、高效、普惠服务的同时，也在无时不刻地收集、使用用户的个人信息，与App存在密切联系的第三方软件开发包（SDK）收集个人信息问题也已经进入各方视野。2019年下半年起至2020年，不论是立法动态还是监管角度，均将SDK违法违规收集个人信息作为审查的重点之一。

在立法和国家标准制定方面，《数据安全管理办法（征求意见稿）》《GB/T 35273-2020信息安全技术 个人信息安全规范》《网络安全标准实践指南 移动互联网应用程序（App）中的第三方软件开发工具包（SDK）安全指引（征求意见稿）》《信息安全技术 个人信息告知同意指南（征求意见稿）》等国家标准的研究也开始涉及第三方介入（包括SDK）这一特定领域。

在监管方面，中央网信办、工业和信息化部、公安部、市场监督总局四部委组建的App专项治理工作组在全国范围开展较大规模的App的审查与治理行动，从曝光的结果来看，已对App中嵌入的违规SDK厂商，采取了包括但不限于约谈企业负责人、网上曝光、App下架等措施。由此可见，2020年，SDK的合规性已经成为监管的重点。

本报告将在2019年版本的基础上，进一步梳理当前应用较为广泛的第三方SDK类型和市场情况，结合实际案例分析第三方SDK存在的主要安全问题以及第三方SDK提供者与App开发者合作过程中面临的法律合规问题。通过调研欧盟、美国的相关经验做法，从法律法规、企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针对性的建议。

本报告2020年版比照2019年版的主要修订在于：

报告目录

01，第三方SDK的业内现状

第三方SDK常见类型及应用情况第三方SDK安全标准化现状第三方SDK普遍应用的原因分析

02，第三方SDK的主要安全问题及分析

第三方SDK自身安全性不容乐观第三方SDK成为病毒传播新途径第三方SDK隐蔽收集个人信息问题逐步显现

03，第三方SDK的主要合规问题及分析

04应用程序包，第三方SDK管理的域外经验

欧盟的第三方SDK管理经验美国的第三方SDK管理经验

05，针对我国第三方SDK管理的相关建议

尽快完善相关法律法规，明确相关主体的责任义务App开发者需要积极履行数据合规义务第三方SDK提供者需要加快构建数据安全合规体系加快完善SDK安全标准及指南鼓励第三方SDK企业开展行业自律

附录，第三方SDK产品的安全与合规实践

极光SDK的安全与合规实践 小米推送SDK的安全与合规实践TalkingData SDK的安全与合规实践关于TalkingData：TalkingData 成立于2011年，是国内领先的数据服务提供商。TalkingData秉承“数据改变企业决策，数据改善人类生活”的愿景，围绕TalkingData SmartDP数据智能平台（TalkingData数据中台）构建“连接、安全、共享”的数据智能应用生态，致力于用数据+科技的能力为合作伙伴创造价值，帮助商业企业和现代社会实现以数据为驱动力的智能化转型。

（编辑：天瑞地安资讯网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!