警惕！一些境外組織透過SDK搜集我國用戶數據和個人信息。

你知道SDK是什麽嗎？SDK是英文Software Development Kit的縮寫，即軟件開發工具包，它的類型多種多樣。在當今軟件開發的世界中，SDK（軟件開發工具包）如同構建房屋的各個如「客廳」、「臥室」、「廁所」、「廚房」等功能模塊，幫助開發者快速搭建應用程序，不再需要從「砌磚」、「壘牆」做起，極大提高軟件開發效率。然而，隨著其廣泛應用，越來越多的安全隱患浮出水面。一些境外組織利用SDK收集用戶數據及個人信息，給國家安全帶來了潛在威脅。

SDK帶來哪些數據安全問題？

當前，SDK以其多樣化、易用性和靈活性等優勢成為移動供應產業鏈中最重要的一項服務，與此同時也帶來諸多數據安全問題。

—過度收集用戶數據。有些SDK會收集與提供服務無關的個人信息，或強制申請非必要的使用權限，比如獲取地理位置、通話記錄、相冊照片等信息以及拍照、錄音等功能。當SDK的用戶覆蓋量達到一定規模時，可以通過搜集的大量數據，對不同用戶群體進行畫像側寫，從而分析出潛在的有用信息，比如同事關係、單位位置、行為習慣等。一些境外SDK服務商，通過向開發者提供免費服務，甚至向開發者付費等方式來獲取數據。據相關網站披露，一款在美國擁有5萬日活躍用戶的應用程序，其開發者通過使用某SDK，每月可以獲得1500美元的收入。作為回報，該SDK服務商可以從這款應用程序中收集用戶的位置數據。

SDK搜集個人信息類型

—境外情報機構將SDK作為搜集數據的重要渠道。據報道，美國特種作戰司令部曾向美國SDK服務商Anomaly Six購置了「商業遙測數據源」的訪問服務，而該服務商曾自稱將SDK軟件植入全球超過500款應用中，可以監控全球大約30億部手機的位置信息。2022年4月，有關媒體曝光巴拿馬一家公司通過向世界各地的應用程序開發人員付費的方式，將其SDK代碼整合到應用程序中，秘密地從數百萬台移動設備上收集數據，而該公司與為美國情報機構提供網絡情報搜集等服務的國防承包商關係密切。

消除SDK背後的數據風險

我們應該怎麽做？

據國內權威機構掌握，截至2022年12月，我國10萬個頭部應用中，共檢測出2.3萬餘例樣本使用境外SDK，使用境外SDK應用的境內終端約有3.8億台。對此，我們又應該做些什麽呢？

SDK申請收集用戶信息佔比

—應用程序開發企業：應盡量選擇接入經過備案認證的SDK，引入境外SDK前應做好安全檢測和風險評估，深入了解SDK的隱私政策，並利用SDK demo以及APP測試環境對SDK聲明內容進行一致性比對，並持續監測SDK是否有異常行為。

—個人用戶：個人用戶在使用手機應用程序時，要增強個人信息保護意識及安全使用技能，要選擇安全可靠的渠道下載使用應用程序，不安裝來路不明的應用，不盲目通過敏感權限的申請。特別是發現SDK申請與應用功能無關的權限時，需要保持高度警惕。