你的数据还可能被隐藏在APP里的第三方SDK收集

  您的数据也可能由隐藏在应用中的第三方SDK收集

  (原标题:SDK偷取更多数据,包括银行账号密码)您可能知道您的手机中安装了多少APP,您知道APP正在收集您的个人隐私数据。但是你可能不知道,另外,你的数据也可能隐藏在APP收集的第三方SDK中。 SDK是Software Development Kit(软件开发工具包)的缩写。简而言之,它是一组相关的文档,例子和工具,有助于开发一种应用程序。对于APP,可以将一个功能移交给第三方进行开发,缩短周期。 8月份,中国有超过500家应用程序的嵌入式广告软件SDK遭到未经授权的窃取用户数据的企图,主要是通过调用日志和向公司服务器发送数据。截至目前,这些APP已经在Android生态系统下载了超过1亿次。此前,苹果商城也由于收到256个APP SDK违规用户信息,这些APP全部下架。南都记者了解到,几乎所有的APP都会使用SDK,而SDK收集用户信息非常普遍。这意味着您授权应用程序收集的个人信息是由第三方获取的,您可能不知情。 APP是准确交付的“好帮手”。通常使用第三方SD™Ks来快速实现支付,验证和统计等功能。与自主开发的资源相比,SDK直接使用更具成本效益。另外,SDK也扮演着可信的第三方角色,为投资者提供被监测的APP流量数据,作为考虑APP价值的重要依据。因此SDK不可避免地与APP的用户数据接触,这为SDK提供商带来了一个重要的服务:准确传递众所周知,精确推送服务是APP获取和留住用户的常见做法据南都记者透露,APP本身收集用户数据是有限的,SDK可以与多家APP开发公司合作获取大量的用户数据,不但可以实现用户肖像,还可以用于准确宣传,这是一个APP的梦想,此时APP开发公司和SDK提供商之间又增加了一层合作关系,收集用户信息的SDK可以详细描述到什么程度?北京网信协会的安全专家曾在接受采访时曾表示:“一旦嵌入SDK,如果你注册并登录到这个APP,默认情况下,所有的动作数据都可以被记录下来,它不知不觉地抓到手机。消息,地址簿,操作范围,位置信息等。“”SDK比爬虫读取的数据更完整,可以使用SDK收集未分类的数据和公共数据,结果是数据经常被滥用或滥用。 “韩红辉说,收集到的信息”无底线“,”入侵隐私“,资深产品开发专家马蔚源曾撰文题为”谈谈SDK收集数据的秘密“,文章透露了移动互联网行业SD ?K收集用户隐私混乱,根据危险级别对其进行分类,危险级别“High”及以上包括收集设备上安装的所有APP,收集最近运行或正在运行的APP信息,并收集用户的帐户信息。 “这类用户信息收集可以说是比较底层的”,文中指出,通过收集前两类信息可以清楚地了解用户设备安装的各类A​​PP信息,启动次数和持续时间,这通知用户设备一样;如果数据量巨大,还可以计算每个APP应用的市场份额,各种竞争APP的情况,并且在用户不知情的情况下“侵犯用户隐私”,安全风险水平也“非常高“收集用户的移动设备账户信息,可以得到用户账户列表,移动设备信息与用户账户相关联,设备被唯一标识”。收集这些数据的风险也很明显,如果用户“客户的账户被破坏,克隆,用户所造成的损失可能是利润导向甚至威胁生命的“,文章强调。 “这个数据收集用户隐私是一个巨大的打击。”如果APP不想受到第三方SDK“私人物品”的影响,文章提出了两个解决方案:一是要求第三方修改SDK另一个是“干净”。●第三方应用程序“模糊”APP不能推卸其通知义务对于用户,作为网络产品提供商,APP是个人信息保护的直接责任方,应遵守“中华人民共和国网络安全法“(”安发法“),”互联网安全法“第二十二条规定,具有收集用户信息功能的网络产品和服务提供者应当明确规定并征得用户同意;第四十二条规定,未经收藏者同意,网络经营者除提供给他人的个人信息不能被特定个人识别,不得恢复。换句话说,A? PP如果要与第三方共享用户的个人信息,必须事先征得用户的明确同意,显然SDK属于这里提到的“第三方”,但事实是,用户往往不知道何时以及如何将他们的个人信息与SD?K共享。这是因为隐私政策作为A-PP和用户如何处理和保护用户个人信息的工具,对于共享用户的个人信息非常模糊与“第三方”,“隐私政策”的内容通常包括A?PP如何收集,使用,共享,保护用户的个人信息,以及用户是否同意使用A? PP。关于共享的隐私政策声明中最常见的是“可能与第三方共享用户的个人信息”。然而,少数应用程序在隐私政策细节中包括所谓的“第三方“这对用户肯定是不公平的,但从应用的角度来看,他们也有自己的担忧。北京怡泽律师事务所高级合伙人刘新艳告诉华南地区的记者,由于APP开发公司可能会与多家SDK提供商合作,未来与其合作的方式是不确定的隐私协议。然而,他强调,即使如此,APP依然不能推卸用户的通知义务,除了与用户签订协议外,一些APP和SDK也签署了约定用户数据收集的范围和用途的协议,一个新的媒体公司工程师X?P告诉南方记者,该协议将会写成SDK可以获得什么样的数据,数据的披露等等,以保护用户的信息安全。但是,一些技术专家表示, SDK代码不是开源的,APP必须严格按照商定的技术门槛来监控数据是否收集,所以基本上只能依靠协议约束。法律责任SDK是应用程序的一部分,APP假定所有合法的负责收集详细的用户隐私数据,并处于灰色地带,甚至使用它的应用程序不能在技术上100%安全。SD?K给用户,就像一个隐藏的“隐藏定时炸弹”,危险是不言而喻。南方代表奥特尔发现,许多SDK供应商披露和滥用用户信息的事件,有的甚至成为暗灰色的来源。但对于用户来说,不能直接了解SDK收集个人信息的方式,只能信任APP。北京大学互联网发展研究中心专家研究员洪延青认为,如果SDK是纯粹的辅助APP来分析用户数据,则所有的法律责任应由APP承担。如果SDK将收集到的APP用户信息用于其他用途,如交易,交易,APP和SDK,则处于普通数据处理器的位置。由于SDK无法发挥作用,APP必须详细告知用户此行为,否则APP仍然承担所有法律责任。中国信息安全研究院副院长左晓东在南方还告诉记者,目前没有对SDK的监管和缺乏监管依据,因为不管SDK的功能是什么,它都将成为APP的一部分使用后。它的行为是负责任的,不能以“第三方”为借口。 “比如,车主,如果发动机有问题的话,他不会在乎发动机厂商谁也只会找车厂,这也是一样的道理,”左晓东说。因此,中国互联网协会研究中心秘书长,北京师范大学法学院教授吴慎库建议,应用商店和APP应该积极履行主要职责,确保用户的安全和安全。刘新艳从法律义务的角度出发,APP应与第三方签订协议,并进行必要的技术测试,如果第三方如SDK造成数据泄漏,APP也应承担相应的法律责任。好在南都记者发现,目前APP应用商店审核APP更为严格,一旦发现违规,将立即上架。这也促使应用程序选择一个常规的SDK提供程序来获取合规性数据,在一定程度上来标准化SDK。词汇表SDK是Software Development Kit(软件开发工具包)的缩写。简而言之,它是一组相关的文档,例子和工具,有助于开发一种应用程序。对于APP,可以将一个功能移交给第三方进行开发,缩短周期。写:南都记者姜林