8月14日�����,中國(guó)信息通信研究院(以下簡(jiǎn)稱“中國(guó)信通院”)安全研究所與北京市環(huán)球律師事務(wù)所(以下簡(jiǎn)稱“環(huán)球律所”)在聯(lián)合舉辦的“數(shù)據(jù)安全與個(gè)人信息保護(hù)論壇”上發(fā)布《軟件開發(fā)包(SDK)安全與合規(guī)白皮書》�。白皮書體現(xiàn)了中國(guó)信通院安全研究所和環(huán)球律所在第三方SDK安全與合規(guī)問題方面的最新研究成果,為移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)與數(shù)據(jù)安全��、個(gè)人信息保護(hù)管理要求及規(guī)則的制定提供一些有益參考����。
白皮書摘要
我國(guó)移動(dòng)互聯(lián)網(wǎng)市場(chǎng)經(jīng)歷了將近20年的快速發(fā)展,已經(jīng)形成了龐大的產(chǎn)業(yè)規(guī)模��,創(chuàng)造了可觀的經(jīng)濟(jì)效益�,并且在業(yè)務(wù)模式和商業(yè)模式創(chuàng)新方面引領(lǐng)全球。同時(shí)��,移動(dòng)互聯(lián)網(wǎng)正在向傳統(tǒng)產(chǎn)業(yè)加速滲透����,人工智能、大數(shù)據(jù)���、物聯(lián)網(wǎng)等信息技術(shù)與實(shí)體經(jīng)濟(jì)持續(xù)深度融合,不斷催生傳統(tǒng)產(chǎn)業(yè)服務(wù)新業(yè)態(tài),逐步改造著醫(yī)療、教育��、交通����、旅游、金融���、傳媒等傳統(tǒng)行業(yè)的服務(wù)模式���。在此過程中,移動(dòng)應(yīng)用軟件���,即APP����,發(fā)揮了不可替代的入口作用�,全天候、全方位深度參與到了廣大網(wǎng)民日常生活的方方面面���。
APP在提供各類便捷��、高效��、普惠服務(wù)的同時(shí)�,也在無(wú)時(shí)不刻地收集�����、使用用戶的個(gè)人信息。近年來新聞媒體曝光的涉及APP個(gè)人信息保護(hù)相關(guān)事件顯示�,APP強(qiáng)制授權(quán)、過度索權(quán)�、超范圍收集個(gè)人信息等問題已經(jīng)十分突出。為此�,今年1月份,中央網(wǎng)信辦�����、工業(yè)和信息化部�、公安部、市場(chǎng)監(jiān)管總局四部門聯(lián)合開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理�,重拳出擊,整治亂象�����。隨著APP個(gè)人信息保護(hù)治理工作的深入推進(jìn)�,與APP存在密切聯(lián)系的第三方軟件開發(fā)包(SDK)收集個(gè)人信息問題也逐漸進(jìn)入各方視野。
本報(bào)告聚焦于第三方SDK�,梳理當(dāng)前應(yīng)用較為廣泛的第三方SDK類型和市場(chǎng)情況���,結(jié)合實(shí)際案例分析第三方SDK存在的主要安全問題以及第三方SDK提供者與APP開發(fā)者合作過程中面臨的法律合規(guī)問題��。通過調(diào)研歐盟�����、美國(guó)的相關(guān)經(jīng)驗(yàn)做法���,從法律法規(guī)���、企業(yè)責(zé)任、技術(shù)標(biāo)準(zhǔn)�����、行業(yè)自律等方面結(jié)合我國(guó)實(shí)際情況提出了有針對(duì)性的建議��。
白皮書目錄
一��、第三方SDK的業(yè)內(nèi)現(xiàn)狀
(一)第三方SDK常見類型及應(yīng)用情況
(二)第三方SDK普遍應(yīng)用的原因分析
二����、第三方SDK的主要安全問題及分析
(一)第三方SDK自身安全性不容樂觀
(二)第三方SDK成為病毒傳播新途徑
(三)第三方SDK隱蔽收集個(gè)人信息問題逐步顯現(xiàn)
三、第三方SDK的主要合規(guī)問題及分析
(一)第三方SDK作為數(shù)據(jù)處理者時(shí)���,主要合規(guī)問題分析
(二)第三方SDK作為共同數(shù)據(jù)控制者時(shí)��,主要合規(guī)問題分析
四�����、第三方SDK管理的域外經(jīng)驗(yàn)
(一)歐盟的第三方SDK管理經(jīng)驗(yàn)
(二)美國(guó)的第三方SDK管理經(jīng)驗(yàn)
五�����、針對(duì)我國(guó)第三方SDK管理的相關(guān)建議
(一)盡快完善相關(guān)法律法規(guī)���,明確相關(guān)主體的責(zé)任義務(wù)
(二)APP開發(fā)者需要積極履行數(shù)據(jù)共享合規(guī)義務(wù)
(三)第三方SDK提供者需要加快構(gòu)建數(shù)據(jù)安全合規(guī)體系
(四)加快研究制定SDK安全標(biāo)準(zhǔn)及指南
(五)鼓勵(lì)第三方SDK企業(yè)開展行業(yè)自律
附錄 第三方SDK產(chǎn)品的安全與合規(guī)實(shí)踐
(來源:中國(guó)信通院)
在線咨詢
在線咨詢
0371-63319761