12月22日，由南方都市報個人信息保護研究中心主辦的“2020啄木鳥數據治理論壇”在北京召開。會上，南都個人信息保護課題組發布了《個人信息安全年度報告（2020）》（以下簡稱“報告”）。

在中國金融認證中心（CFCA）的技術支持下，《報告》對60款App嵌入的SDK收集使用個人信息的情況進行了測評。結果發現，所有受測App使用的SDK獲取的權限超出最小必要范圍。

所謂SDK，是指協助軟件開發的相關文檔、范例和工具的集合，一般由第三方服務商或開發者提供，被廣泛應用于各類App的開發中，可實現廣告、支付、地圖、社交等功能。在提升App兼容性和靈活性、節約開發成本的同時，SDK帶來的安全風險也引起多方關注。

今年7月，央視3?15晚會曝光，有SDK在用戶不知情的情況下讀取用戶手機IMEI號（一種設備標識符）、通訊錄、短信等隱私信息，讀完還會悄悄地將數據傳送到指定的服務器存儲起來。

《報告》對60款App收集使用個人信息的情況進行了測評。結果發現，平均每款App使用11.3個SDK，頭中尾部App使用的SDK個數相差不大，僅在類型上有所差異。

20個SDK聲明申請的系統權限個數。

頭部App使用應用安全及功能增強類、綜合類SDK更多，中部App使用輔助開發類、統計分析類SDK更多，尾部App則較多使用應用安全及功能增強類、身份認證類SDK。

盡管App平均嵌入上十個SDK，告知方面卻常常不到位?！秷蟾妗分赋?，可可英語、樂心健康等12款App沒有在隱私政策中列出所使用的SDK，Keep、薄荷健康等16款App則調用了聲明之外的SDK。

比如薄荷健康App僅在隱私政策列出三個 SDK，實際上卻使用了號碼速驗、輕牛、神策數據、UC瀏覽器等12個SDK；掌門1對1輔導App雖然列出了17個SDK，實測中卻觸發了個推、淘寶推送、UC瀏覽器等22個SDK。

此外，有21個SDK獲取了地理位置、手機相冊、視頻文件、手機號、賬戶信息等用戶個人信息，但其中一些SDK獲取的目的與其功能沒有直接關系。

收集用戶個人信息的SDK。

比如魅族SDK屬于消息推送類，實現它的功能無需收集用戶的手機號，但當嵌入申萬宏源和騰訊視頻App時，魅族SDK均獲取了用戶的手機號，上述兩個App也并未在隱私政策中告知。

據了解，最新版國家標準《信息安全技術 移動互聯網應用（App）收集個人信息基本規范》征求意見稿列明了30種常用服務類型App的最小必要權限范圍。同理，SDK理論上獲取的最小必要權限也不應超出。

值得注意的是，《報告》顯示60款App使用的SDK獲取的權限均超出最小必要范圍。其中57款App使用的SDK獲取了設備狀態權限、已安裝列表等；54款App使用的SDK獲取了網絡身份標志權限。

此外，對20款頭部SDK的進一步測評顯示，有部分SDK實際獲取的權限大于其在官方文檔中聲明獲取的權限，也就是說，這些SDK有能力超出聲明范圍收集用戶個人信息，比如TalkingData和友盟推送SDK。

其中 TalkingData SDK 僅聲明獲取地理位置權限，但其代碼有能力獲取通話記錄、已綁定的 NFC 支付卡信息和第三方賬戶信息。

南都記者注意到，在下載友盟旗下SDK之前，會彈窗告知將收集地理位置信息，隱私政策中也有所提及，但友盟推送SDK沒有在官方技術集成文檔中列出這一權限。

根據《網絡安全標準實踐指南—移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引》，SDK收集使用個人信息的實際行為應與官方文檔聲明保持一致。報告認為，如果沒有實際用途，SDK應刪除此類代碼。

采寫：見習記者 孫朝 個人信息保護研究中心研究員 尤一煒 南都記者 李慧琪

制圖：歐陽靜

編輯：蔣琳

責任編輯：王超