7月16日，2020年315晚会播出，报道了手机超限违规收集个人信息、擅自获取客户隐私的情况。据记者调查，这些第三方SDK插件会在用户不知情的情况下,读取电话号码、短信、通讯录、地理位置等信息，并上传到自己的服务器。

一石激起千层浪。无独有偶，南都个人信息保护研究中心与中国金融认证中心（CFCA）曾在去年联合发布《常用第三方SDK收集使用个人信息测评报告》，对60款常用APP以及主流SDK进行了测评，结果显示，在官方文档里提及了申请系统权限的10个受测SDK中，有三成能够通过代码收集超出其声明权限范围的个人信息。一些SDK虽然没有在官方文档中申明所用某类权限或者收集某类数据，但是在实际的分析中它被发现会根据其嵌入的APP的具体权限，选择性地收集用户的个人信息，收集的部分信息甚至超出了官方材料申明的范围；有的SDK甚至被发现具有疑似后门的特征。

在手机APP的世界里，法规条文里所谓的“第三方应用或服务”看得见却摸不着。但事实上，不管是你每天收到的新闻推送，还是促销活动广告，甚至短信验证码，都有可能出自第三方之手。这些集成在APP里的第三方工具包被称为SDK。它们可以帮助APP高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能，同时自身通过“寄生”在APP内，从而具备获取用户设备信息和个人信息的能力。

因此，由第三方SDK引入的安全问题也是显而易见的。SDK是软件供应链中重要的一环，在为APP开发运营方提供标准、统一和方便的业务功能时，同样也会不可避免地引入一些未知风险。比如开发者的安全意识、安全能力参差不齐，可能导致SDK的安全漏洞；还有开发者会故意预留“后门”，以便收集用户信息或执行越权操作。近年来，在国内外范围内发生过多起因引入恶意或存在漏洞的第三方SDK而造成的严重的信息安全事故。

2019年，中央网信办、工信部、公安部、市场监管总局，四部委联合强力整治APP违法违规收集个人信息的乱象，可以说这是APP乱象整治的元年。与此同时，《GB/T 35273-2020 个人信息安全规范》、《JR/T 0171-2020 个人金融信息保护技术规范》、《App违法违规收集使用个人信息行为认定方法》相关标准陆续出台。2020年，《中华人民共和国民法典》颁布并即将实施，《个人信息保护法》、《数据安全保护法》也已经在路上。APP收集用户的个人信息的方式、方法和内容将有规可循、有法可依，APP的安全认证工作也能被极大地推进。可以预见，后续不符合标准的APP一经核实，将面临应用下架、用户声讨、行业谴责和监管整治等局面。

针对直接关系到用户财产安全的移动金融类APP,中国人民银行此前下发《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》（银发〔2019〕237号）（以下简称“237号文”），堪称“史上最严”移动客户端监管。237号文不仅提出要加强金融APP的监管力度，更是明确了金融APP在保险、证券等泛金融行业的安全建设标准，强调要进行实名备案。根据备案要求需提供外部评估报告，由具备相关资质的权威、独立第三方机构进行检测认证。

对于企业来说，构建一个良好的SDK准入流程或标准是防范SDK引发信息安全风险最有效的措施。但由于SDK的特殊性，一般很难对其进行全方位的测评，这就给SDK接入管理工作的推进造成了困难。中国金融认证中心（CFCA）作为国内首批提供APP安全和SDK供应链安全检测的权威第三方测评机构，已为多个监管机构、认证单位、社会媒体对APP的安全和个人信息的安全提供了全方位、专业和定制化的测评服务，可以帮助企业开展SDK准入类和其他软件安全类的第三方测评工作。

而在此前中国互联网金融协会公布的首批移动金融客户端应用软件实名备案名单中，CFCA作为国家认监委认定的“金融科技产品认证”检测机构之一，检测了过半数APP,全力推动移动金融APP合规备案，协助客户满足监管系列信息安全标准及要求。在开展检测中，暴露出的问题主要集中在“滥用系统权限”、“隐私政策不详实”“敏感信息未加密”等方面，反映出目前APP运营中的一些常见风险点。

在用户对保障个人信息安全、财产安全的呼声越来越高，对安全事故的发生忍耐力越来越低的今天，给APP做全方位的“体检”成为APP开发运营方必修的功课。体检要趁早，是时候重视起来了。莫等用户用脚投票，或者APP出了问题，才悔之晚矣。

责任编辑：韩希宇