出品 | 棠绿疏议
11月27日,工信部组织召开全国APP个人信息保护监管会 。同日,全国信息安全标准化技术委员发布《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》(以下简称指南)。
什么是SDK?
SDK 就是 Software Development Kit 的缩写,翻译过来——软件开发工具包。
这是一个覆盖面相当广泛的名词,协助软件开发的相关二进制文件、文档、范例和工具的集合都可以叫做SDK。
为了鼓励开发者使用其系统或者语言,许多 SDK 是免费提供的。
指南中的SDK,是指对实现App特定功能的代码进行封装,向外提供简洁的调用用接口的二进制文件。
对于非软件工程师的普通App使用者来说,好像很少或者几乎没见过SDK。
是这个样子吗?
当移动支付已经成为日常生活一部分,一个司空见惯的场景就是我们经常会被要求扫描陌生支付码,付款成功后,可能还会跳转到某个广告界面。然后,不管交换界面如何花样百出,最终会在你的支付App(例如微信)上显示扣款记录。
这个所谓“第四方支付”调用的就是“第三方支付平台”微信提供的SDK。
参考阅读:严监管下的“聚合支付”何去何从
支付功能仅是SDK程序功能之一。
SDK程序还封装有广告、推送统计、定位、支付、风控、人脸识别、短信验证等功能。
SDK为提升App兼容性和灵活性、节约开发成本带来了便利。同时也带来了SDK安全漏洞、恶意行为、违法违规收集使用个人信息等问题。
App使用SDK对App用户个人信息构成的安全风险主要体现在[1]:
1.SDK超范围收集个人信息。
2.未说明SDK收集使用人个人信息的目的、方式和范围。
3.SDK未经用户同意收集、使用或对外提供个人信息。
总之,SDK本身不是洪水猛兽,作为App界的必需品,合规才是首要命题。
[1] 参考国家互联网信息办公室秘书局,工业和信息化部办公厅,公安部办公厅,国家市场监督管理总局印发《App违法违规收集使用个人信息行为认定方法》
财经 · 法律 · 新知 编辑: Daniel棠绿疏议出品 | 尽情分享朋友圈