论坛上,蓝皮报告《软件开发包(SDK)安全与合规报告(2020)》(以下简称“报告”) 正式发布。报告对2019年版进行修订,补充了中国信通院与北京环球律师事务所在第三方SDK安全与合规问题方面的最新研究成果,为移动互联网网络与数据安全、个人信息保护管理要求及规则的制定提供有益参考。作为国内第三方SDK代表厂商,TalkingData参与了本报告的讨论与编写,在开发者协议和隐私政策、标识用户方法及安全措施、数据存储安全措施等SDK安全与合规方面的相关实践,也获得报告的收录。
以下为报告节选
完整报告请前往文末下载
App在提供各类便捷、高效、普惠服务的同时,也在无时不刻地收集、使用用户的个人信息,与App存在密切联系的第三方软件开发包(SDK)收集个人信息问题也已经进入各方视野。2019年下半年起至2020年,不论是立法动态还是监管角度,均将SDK违法违规收集个人信息作为审查的重点之一。
在立法和国家标准制定方面,《数据安全管理办法(征求意见稿)》《GB/T 35273-2020信息安全技术 个人信息安全规范》《网络安全标准实践指南 移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)》《信息安全技术 个人信息告知同意指南(征求意见稿)》等国家标准的研究也开始涉及第三方介入(包括SDK)这一特定领域。
在监管方面,中央网信办、工业和信息化部、公安部、市场监督总局四部委组建的App专项治理工作组在全国范围开展较大规模的App的审查与治理行动,从曝光的结果来看,已对App中嵌入的违规SDK厂商,采取了包括但不限于约谈企业负责人、网上曝光、App下架等措施。由此可见,2020年,SDK的合规性已经成为监管的重点。
本报告将在2019年版本的基础上,进一步梳理当前应用较为广泛的第三方SDK类型和市场情况,结合实际案例分析第三方SDK存在的主要安全问题以及第三方SDK提供者与App开发者合作过程中面临的法律合规问题。通过调研欧盟、美国的相关经验做法,从法律法规、企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针对性的建议。
本报告2020年版比照2019年版的主要修订在于:
更新了2019年至今监管层面、国家标准层面针对SDK的规制;更新了对App开发者嵌入第三方SDK的合规实践建议;更新了第三方SDK自身的合规实践建议;更新了第三方SDK产品最新的合规实践案例。报告目录01,第三方SDK的业内现状
第三方SDK常见类型及应用情况第三方SDK安全标准化现状第三方SDK普遍应用的原因分析02,第三方SDK的主要安全问题及分析
第三方SDK自身安全性不容乐观第三方SDK成为病毒传播新途径第三方SDK隐蔽收集个人信息问题逐步显现03,第三方SDK的主要合规问题及分析
04,第三方SDK管理的域外经验
欧盟的第三方SDK管理经验美国的第三方SDK管理经验05,针对我国第三方SDK管理的相关建议
尽快完善相关法律法规,明确相关主体的责任义务App开发者需要积极履行数据合规义务第三方SDK提供者需要加快构建数据安全合规体系加快完善SDK安全标准及指南鼓励第三方SDK企业开展行业自律附属,第三方SDK产品的安全与合规实践
极光SDK的安全与合规实践 小米推送SDK的安全与合规实践TalkingData SDK的安全与合规实践关于TalkingData:TalkingData 成立于2011年,是国内领先的数据服务提供商。TalkingData秉承“数据改变企业决策,数据改善人类生活”的愿景,围绕TalkingData SmartDP数据智能平台(TalkingData数据中台)构建“连接、安全、共享”的数据智能应用生态,致力于用数据+科技的能力为合作伙伴创造价值,帮助商业企业和现代社会实现以数据为驱动力的智能化转型。
↓↓↓下载完整报告,请点击“扩展链接”
