南都报告：三成被测头部SDK涉嫌隐瞒收集用户个人信息 12月22日

12月22日，由南方都市报个人信息保护研究中心主办的“2020啄木鸟数据治理论坛”在北京召开。会上，南都个人信息保护课题组发布了《个人信息安全年度报告（2020）》（以下简称“报告”）。
在中国金融认证中心（CFCA）的技术支持下，《报告》对60款App嵌入的SDK收集使用个人信息的情况进行了测评。结果发现，所有受测App使用的SDK获取的权限超出最小必要范围，高德地图和友盟SDK存在隐瞒收集用户个人信息的嫌疑。
所谓SDK ，是指协助软件开发的相关文档、范例和工具的集合，一般由第三方服务商或开发者提供，被广泛应用于各类App的开发中，可实现广告、支付、地图、社交等功能。在提升App兼容性和灵活性、节约开发成本的同时， SDK带来的安全风险也引起多方关注。
今年7月，央视3?15晚会曝光，有SDK在用户不知情的情况下读取用户手机IMEI号（一种设备标识符）、通讯录、短信等隐私信息，读完还会悄悄地将数据传送到指定的服务器存储起来。
《报告》对60款App收集使用个人信息的情况进行了测评。结果发现，平均每款App使用11.3个SDK ，头中尾部App使用的SDK个数相差不大，仅在类型上有所差异。
头部App使用应用安全及功能增强类、综合类SDK更多，中部App使用辅助开发类、统计分析类SDK更多，尾部App则较多使用应用安全及功能增强类、身份认证类SDK 。
尽管App平均嵌入上十个SDK ，告知方面却常常不到位。《报告》指出，可可英语、乐心健康等12款App没有在隐私政策中列出所使用的SDK ， Keep、薄荷健康、学而思网校等16款App则调用了声明之外的SDK 。
比如薄荷健康App仅在隐私政策列出三个 SDK ，实际上却使用了号码速验、轻牛、神策数据、UC浏览器等12个SDK；掌门1对1辅导App虽然列出了17个SDK ，实测中却触发了个推、淘宝推送、UC浏览器等22个SDK 。
此外，有21个SDK获取了地理位置、手机相册、视频文件、手机号、账户信息等用户个人信息，但其中一些SDK获取的目的与其功能没有直接关系。
比如魅族SDK属于消息推送类，实现它的功能无需收集用户的手机号，但当嵌入申万宏源和腾讯视频App时，魅族SDK均获取了用户的手机号，上述两个App也并未在隐私政策中告知。
据了解，最新版国家标准《信息安全技术移动互联网应用（App）收集个人信息基本规范》征求意见稿列明了30种常用服务类型App的最小必要权限范围。同理， SDK理论上获取的最小必要权限也不应超出。
值得注意的是，《报告》显示60款App使用的SDK获取的权限均超出最小必要范围。其中57款App使用的SDK获取了设备状态权限、已安装列表等；54款App使用的SDK获取了网络身份标志权限。
此外，对20款头部SDK的进一步测评显示，有三成SDK实际获取的权限超出其在官方文档中声明获取的权限，有隐瞒收集用户个人信息的嫌疑，包括TalkingData、Mob推送、号码速验、友盟推送、高德地图和友盟SDK 。
比如其中 TalkingData SDK 仅声明获取地理位置权限，但其代码有能力获取通话记录、已绑定的 NFC 支付卡信息和第三方账户信息。 Mob推送SDK同样仅声明了地理位置权限，但有能力获取手机号。
文章插图
根据《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》， SDK收集使用个人信息的实际行为应与官方文档声明保持一致。报告认为，如果没有实际用途， SDK应删除此类代码。
【南都报告：三成被测头部SDK涉嫌隐瞒收集用户个人信息】采写：见习采访人员孙朝个人信息保护研究中心研究员尤一炜南都采访人员李慧琪