7月16日，2020年315晚會播出，報道了手機超限違規收集個人信息、擅自獲取客戶隱私的情況。據記者調查，這些第三方SDK插件會在用戶不知情的情況下,讀取電話號碼、短信、通訊錄、地理位置等信息，并上傳到自己的服務器。

一石激起千層浪。無獨有偶，南都個人信息保護研究中心與中國金融認證中心（CFCA）曾在去年聯合發布《常用第三方SDK收集使用個人信息測評報告》，對60款常用APP以及主流SDK進行了測評，結果顯示，在官方文檔里提及了申請系統權限的10個受測SDK中，有三成能夠通過代碼收集超出其聲明權限范圍的個人信息。一些SDK雖然沒有在官方文檔中申明所用某類權限或者收集某類數據，但是在實際的分析中它被發現會根據其嵌入的APP的具體權限，選擇性地收集用戶的個人信息，收集的部分信息甚至超出了官方材料申明的范圍；有的SDK甚至被發現具有疑似后門的特征。

在手機APP的世界里，法規條文里所謂的“第三方應用或服務”看得見卻摸不著。但事實上，不管是你每天收到的新聞推送，還是促銷活動廣告，甚至短信驗證碼，都有可能出自第三方之手。這些集成在APP里的第三方工具包被稱為SDK。它們可以幫助APP高效率、低成本地實現地圖、支付、統計、社交、廣告等一系列功能，同時自身通過“寄生”在APP內，從而具備獲取用戶設備信息和個人信息的能力。

因此，由第三方SDK引入的安全問題也是顯而易見的。SDK是軟件供應鏈中重要的一環，在為APP開發運營方提供標準、統一和方便的業務功能時，同樣也會不可避免地引入一些未知風險。比如開發者的安全意識、安全能力參差不齊，可能導致SDK的安全漏洞；還有開發者會故意預留“后門”，以便收集用戶信息或執行越權操作。近年來，在國內外范圍內發生過多起因引入惡意或存在漏洞的第三方SDK而造成的嚴重的信息安全事故。

2019年，中央網信辦、工信部、公安部、市場監管總局，四部委聯合強力整治APP違法違規收集個人信息的亂象，可以說這是APP亂象整治的元年。與此同時，《GB/T 35273-2020 個人信息安全規范》、《JR/T 0171-2020 個人金融信息保護技術規范》、《App違法違規收集使用個人信息行為認定方法》相關標準陸續出臺。2020年，《中華人民共和國民法典》頒布并即將實施，《個人信息保護法》、《數據安全保護法》也已經在路上。APP收集用戶的個人信息的方式、方法和內容將有規可循、有法可依，APP的安全認證工作也能被極大地推進?？梢灶A見，后續不符合標準的APP一經核實，將面臨應用下架、用戶聲討、行業譴責和監管整治等局面。

針對直接關系到用戶財產安全的移動金融類APP,中國人民銀行此前下發《關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》（銀發〔2019〕237號）（以下簡稱“237號文”），堪稱“史上最嚴”移動客戶端監管。237號文不僅提出要加強金融APP的監管力度，更是明確了金融APP在保險、證券等泛金融行業的安全建設標準，強調要進行實名備案。根據備案要求需提供外部評估報告，由具備相關資質的權威、獨立第三方機構進行檢測認證。

對于企業來說，構建一個良好的SDK準入流程或標準是防范SDK引發信息安全風險最有效的措施。但由于SDK的特殊性，一般很難對其進行全方位的測評，這就給SDK接入管理工作的推進造成了困難。中國金融認證中心（CFCA）作為國內首批提供APP安全和SDK供應鏈安全檢測的權威第三方測評機構，已為多個監管機構、認證單位、社會媒體對APP的安全和個人信息的安全提供了全方位、專業和定制化的測評服務，可以幫助企業開展SDK準入類和其他軟件安全類的第三方測評工作。

而在此前中國互聯網金融協會公布的首批移動金融客戶端應用軟件實名備案名單中，CFCA作為國家認監委認定的“金融科技產品認證”檢測機構之一，檢測了過半數APP,全力推動移動金融APP合規備案，協助客戶滿足監管系列信息安全標準及要求。在開展檢測中，暴露出的問題主要集中在“濫用系統權限”、“隱私政策不詳實”“敏感信息未加密”等方面，反映出目前APP運營中的一些常見風險點。

在用戶對保障個人信息安全、財產安全的呼聲越來越高，對安全事故的發生忍耐力越來越低的今天，給APP做全方位的“體檢”成為APP開發運營方必修的功課。體檢要趁早，是時候重視起來了。莫等用戶用腳投票，或者APP出了問題，才悔之晚矣。

責任編輯：韓希宇