不做互联网的透明人
在数字化时代,手机App的世界里,那些难以触及却又影响深远的“第三方应用或服务”如同暗流涌动。它们常常隐匿在App的背后,但我们的日常体验——从新闻推送、促销广告到短信验证码——往往都离不开它们的助力。
这些App里的“隐形助手”被称为SDK(软件开发工具包),它们帮助App实现地图、支付、统计、社交、广告等高效、低成本的运作,同时也具备了获取大量设备信息和用户隐私的能力。
正是因为这些SDK的存在,安全问题也随之浮出水面。不同的开发者技术能力参差不齐,可能会导致SDK的安全漏洞。更为严重的是,一些开发者可能故意为SDK留下“后门”,以便于收集用户信息或执行越权操作。
历史上的案例也为我们敲响了警钟。如“有米”广告SDK事件中,用户的个人身份信息被不当收集;“个信”广告SDK事件中,用户隐私数据在未经允许的情况下被收集。这些事件都引发了公众对SDK的广泛关注和担忧。
为了更全面地了解SDK与用户个人信息的关系,南都个人信息保护研究中心与金融认证中心对众多常用App及其主流SDK进行了深入测评,并发布了《常用第三方SDK收集使用个人信息测评报告》。
报告显示,许多知名SDK如讯飞、TalkingData等在收集个人信息时并未充分告知用户。有的SDK甚至可能隐瞒了其要收集的个人信息,如TalkingData、友盟等。许多App将未经加密的用户个人信息甚至敏感信息回传至服务器,这无疑加大了信息的风险。
统计数据显示,平均每款App会使用约19.3个SDK,而且从使用的种类来看,消息推送类SDK最多,其次是综合类和辅助开发类。这其中,一些来自头部互联网公司的SDK如微信SDK、腾讯Open SDK等更是被广泛嵌入在各种App中。
值得一提的是,这些SDK所收集的信息范围远超App基本业务所需。比如用户的IMEI、IMSI等设备信息、网络信息如IP地址、MAC地址等常被频繁获取。这些信息通常用于统计分析和定向推送的目的,但也可能被用于其他未告知用户的用途。
更令人担忧的是,一些App在未征得用户同意的情况下,将获取如录音、定位等敏感信息的功能赋予SDK而未向用户明示,违反了相关标准中关于个人信息安全的规定。也有SDK在传输敏感信息时未采取充分的加密措施,进一步加剧了信息的风险。
根据《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》,一些SDK还被发现有超出规范要求收集“非必要信息”的行为。尽管目前国内对于此类行为尚无明确的法律法规约束,但遵循“知情同意”原则,App在收集此类信息时仍应确保用户的知情权和同意权得到保障。