當下，個人隱私數據相關話題受到公眾廣泛關注。手機APP作為人們日常工作、生活必不可少的一部分，承載著極強的用戶隱私相關屬性。保護個人隱私的意識在APP的用戶群體中愈發凸顯——卸載一個APP的理由有很多，有時只因為“你要的權限太多了”。

誠然，“權限”不等于“個人隱私”，但對于APP用戶，“權限”等于“你能干什么事”，進而可以引申為“你一定會干這些事”。

雖然很多時候用戶的猜忌是“無厘頭”的，但苦就苦在，APP沒有一張“好人卡”。于是就出現了這樣一個矛盾：“干壞事”的APP和“不干壞事”的APP被用戶一視同仁了，用戶不信任APP，APP也難以自證清白。

2019年8月8日，全國信息安全標準化技術委員會發布了關于開展國家標準《信息安全技術移動互聯網應用（App）收集個人信息基本規范（草案）》征求意見工作的通知。

該國家標準的設立具有重大意義，一旦正式開始實施，則APP收集用戶的個人信息的方式、方法和內容將有標準可依，APP的安全認證工作也能被極大地推進?？梢灶A見，后續不符合標準的APP一經核實，將面臨應用下架、用戶聲討、行業譴責和監管整治等局面。

APP究竟有沒有侵犯用戶的隱私，或者說有沒有過多地采集那些不必要的用戶信息，其實自己是“門兒清”的。但關于標準的合規，仍舊有以下幾個盲點：

一是不清楚怎么樣算合理合法地獲取用戶信息，有哪些具體的細節需要注意；

二是對于引入的第三方SDK，APP并不能完全地知曉這些SDK到底做了哪些操作，而SDK和APP對于用戶來說是一體的，雖然用戶無法感知到SDK的存在，但是如果引入的SDK不合規，那么APP一定不會合規。

不幸的是，有相當一部分SDK都或多或少地采集了不必要的用戶信息。中國金融認證中心（CFCA）與南方都市報隱私護衛隊關于SDK獲取個人隱私的測評和調查結果顯示：

一些SDK雖然沒有在官方文檔中申明所用某類權限或者收集某類數據，但是在實際的分析中它被發現會根據其嵌入的APP的具體權限，選擇性地收集用戶的個人信息，收集的部分信息甚至超出了官方材料申明的范圍；有的SDK甚至被發現具有疑似后門的特征。

從這個角度來看，“不做壞事的APP”其實也并不能保證自己真的沒有問題——盡管APP可能是被動的，毫不知情的。

SDK是軟件供應鏈中重要的一環，在為APP開發運營方提供標準、統一和方便的業務功能時，同樣也帶來了不可避免的風險。

近年來，在國內外范圍內發生過多起因引入惡意或存在漏洞的第三方SDK而造成的嚴重的信息安全事故。據悉，2015年，百度Moplus SDK被發現具有后門功能，攻擊者只要與用戶同處一個局域網環境、甚至是連接同一個基站，他就能遠程安裝惡意的后門木馬，達到控制手機的目的；“有米”、“個信”等SDK也曾被發現存在未經允許收集用戶的個人信息的安全隱患，導致百款嵌入了上述這兩種SDK的移動客戶端應用軟件因安全問題被蘋果應用商店和Google Play悉數下架；“寄生推”SDK則可以通過預留的“后門”發布惡意廣告和強制應用推廣，影響了300多款知名移動應用程序和數以千萬計的用戶。

對于企業來說，構建一個良好的SDK準入流程或標準是解決此類問題最有效的措施。但由于SDK的特殊性，一般很難對其進行全方位的測評，這就給SDK準入工作的推進造成了困難。

CFCA作為國內首批提供APP安全和SDK供應鏈安全檢測的權威第三方測評機構，目前已經為多個監管機構、認證單位、社會媒體對APP的安全和個人信息的安全提供了全方位、專業和定制化的測評服務，并積累了行業少有的SDK測評案例，可以幫助企業開展SDK準入類和其他軟件安全類的第三方測評工作。

在用戶對保障個人信息安全、財產安全的呼聲越來越高，對安全事故的發生忍耐力越來越低的今天，給APP做全方位的“體檢”儼然成為APP開發運營方必修的功課。體檢要趁早，莫等“期末考試”，上有“監管老師”，下有“閱卷用戶”時候出了問題，才悔之晚矣。

責任編輯：韓希宇