专家呼吁严管第三方软件开发包

移动应用软件（App）在为用户提供各类便捷、高效、普惠服务的同时，也在无时不刻地收集、使用用户的个人信息。近年来App强制授权、过度索权、超范围收集个人信息等问题十分突出。为此，日前中央网信办、工信部、公安部、市场监管总局四部门联合开展 App 违法违规收集使用个人信息专项治理，重拳出击，整治乱象。随着 App个人信息保护治理工作的深入推进，与 App存在密切联系的第三方软件开发包（SDK）收集个人信息问题也逐渐进入各方视野。

“在大数据和信息化的时代，为了规范数据的应用，确保数据隐私安全，世界各国都在持续不断地立法。我国四部委联合开展的App违法违规收集使用个人信息专项治理工作，使SDK的治理受到各方重视。”在日前举办的数据安全与个人信息保护论坛上，CCA公司法务联盟创始人胡佳彦表示。

环球律师事务所刘劲容提到，有关数据的法律问题主要涉及三个方面：第一，是个人数据层面的处理和保护，第二是关键信息基础设施方面的数据安全，第三是重要数据的处理和保护。数据安全是一个特别重要的话题，主要包括数据的保密性、完整性和可用性，还有与之相关的一系列风险防控措施。

中国信通院安全研究所魏亮介绍了数据安全的总体形势，其提及了我国目前的网民规模以及使用App的庞大数量。其后，魏亮分析了当前在此背景下国内企业出现的各种违法违规收集使用个人信息的现状，包括App隐蔽收集、超出用户个人心理预期收集使用个人信息、误导用户同意以及App内嵌SDK存在的安全风险等问题。“制定相关规定不能一刀切，要考量发展和安全，在两者之间寻找一个平衡点。”魏亮说。

会上，众专家对App能否脱离SDK单独运行问题进行了探讨。发言嘉宾们对此达成了比较统一的意见，一致认为App需要第三方SDK的支持，才能发挥更大的功能效用。因为集成第三方SDK，可以帮助App节省软件开发的成本，大大增强其功能的效率，并且社会资源也能在此过程中得到更有效率的利用。

在SDK与App合作过程中，最令人担心的问题是什么？

北京大学法治与发展研究院高级研究员洪延青表示，对于一个用户达到很高量级的App来说，最担心的就是数据安全事件，SDK本身的安全性能问题以及是否会违法违规收集个人信息是业内人士非常关注的。小米法务部隐私数据合规法务总监朱玲凤表示，目前市场上有些做的不好的SDK主要有两方面特征，第一是存在隐蔽收集的情形，有些时候权限被调用时客户没有感知；第二有些不合规的SDK自身存在安全性能缺陷，建议由政府牵头制定一些基本的SDK安全标准作为行业指南。 （穆青风）