9月7日，全国SDK管理服务平台在2022年中国互联网个人信息保护论坛上正式上线。会上，中国信息通信研究院技术与标准研究所副所长汤立波指出：“SDK一定会成为后续个人信息保护工作的一个重点。”

【资料图】

SDK指的是软件开发工具包，可以理解为由第三方服务商提供给App以实现产品某项功能。SDK也是移动互联网应用程序用户权益保护全链条中的关键一环，在为App开发者带来便利性的同时，也面临选择配置功能不完善、处理个人信息不规范等问题。

今年以来，工信部在通报App侵权行为时，开始将SDK与App并列检测、通报。今年2月，工信部首次将SDK纳入应用名称之列，更为具体地通报了SDK开发者、来源、版本以及所涉问题，13款SDK均违规收集用户设备信息。8月26日，工信部第二次通报侵权SDK，三款被通报的SDK均涉及收集个人信息明示、告知不到位的问题。

“SDK的个人信息保护问题，很长时间都在潜水，显得很舒服；但在问题逐渐暴露出来之后，发现其实很多准备工作没有做到位。”汤立波介绍，在工信部目前为止共25批次的抽检中，发现个人信息保护问题的App，超过20%是因为第三方SDK。

为什么SDK的管理会形成新的挑战？汤立波认为，首先在于其分类复杂、体系庞大。从对产业目前的认知上，中国信通院初步将SDK细分为15大类，31个子类。“这一方面反映了SDK产业处于一个很好的发展状态，另一方面也可能对众多App带来反向影响。”

中国信通院每季度对App的反向测试发现，App使用的SDK数量正在线性增长。2020年9月份，平均每一款App使用的SDK是16.8个；到2021年9月份的时候，这个数字达到了21.5.汤立波介绍，头部SDK的体量更不容小觑：一些大的SDK可能会被数以万计甚至几十万的App同时使用，一旦出现问题，可能影响到千千万万的App、千千万万的用户。

SDK的个人信息保护，涵盖了App所面临的问题，但也有自己的特点。汤立波进一步解释道，在很长一段时间内，SDK不是以独立产品的形态出现的。“它其实是一个代码或者说一个工具，被App所调用。在后台运营起来之后，其实用户层面的感知很多，但很多时候App开发者不知道使用的SDK到底做了什么工作，以至于发现问题后反映说‘不是我们干的’。”

这一问题要求SDK在保证自身合规的情况下，向调用它的App开发者提供更多个人信息保护提供说明，以及为App提供选择权，或者是配置项。

汤立波表示：“我们在做App也好，SDK也好，未来工作的核心还是要把他们这个责任压实。App对SDK进行调用，需要选择正规渠道，清晰地知道使用的方法原理，对所使用的SDK加强管理。”

他介绍，开发者可在全国SDK管理服务平台查阅SDK名称、版本、隐私政策、接入文档、开发者、官网信息等公示信息，对比选择合适的SDK产品。据全国SDK管理服务平台官网，目前已有50余家企业的400余款SDK向平台报送产品信息，涵盖广告类、支付类、安全风控类、第三方登录类等15个SDK类型。

汤立波希望，平台能联合产业共同推动针对SDK的风险检测，建立起问题反馈通道，在未来通过产业的共同努力将合规机制建立起来。

（文章来源：南方都市报）