你的手机或许藏匿着“窃贼”?近期,中央网信办揭露了墨迹天气TV版、医家等15个应用程序以及CTP穿透采集、金仕达穿透采集等16个软件开发工具包非法搜集用户信息的情况,明确指出这些应用并未公开其内置的第三方SDK详情,同时这些SDK还存在着规定不完善、投诉无门等问题。对于一般用户来说,应用与软件开发工具包之间相互推卸责任的现象,使得用户隐私保护陷入了难以监管的暗角。那么,究竟是谁才是导致这一问题的“罪魁祸首”?
App对大家来说并不陌生,它们就是我们日常生活中常用的软件,比如查询天气、关注医疗健康等;而在本次通报中特别提到的SDK,实际上是由第三方提供的“代码组件”,这些组件就像工具箱中的各式工具一样;App开发者会根据实际需求接入多个功能各异的SDK;在我们被App要求提供各种权限时,这些潜藏在后台的SDK就有可能悄悄进行操作。某医疗应用程序宣称仅搜集必要的健康信息,然而,其内置的软件开发工具包未经授权便擅自使用了通讯录访问权限,部分SDK甚至在不经意间读取了用户的私密资料,并将这些数据秘密传输至特定服务器进行存储。一旦用户的网络交易验证码被窃取,便可能引发重大的经济损失。在此情形下,App的管理方常以技术复杂性为借口逃避责任,而用户由于信息不对称,往往陷入难以维权的困境。
针对这一问题,我国国家计算机病毒中心在2019年便发布了《移动App违法违规问题及治理举措》这一文件,其中明确指出了App及SDK所存在的六大类问题,其中包括了涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等问题。在社交平台上,软件开发领域的从业人员也一直呼吁关注SDK对用户隐私的侵犯问题,然而,这一问题始终未得到公众的充分关注。
2020年,央视“3·15”晚会揭露了两家公司SDK插件潜入50多款App中,未经用户同意擅自窃取隐私的恶劣行为,将这一问题从幕后拉到了公众视野。同一年发布的《网络安全标准实践指南》中,明确指出App开发者是保护个人信息的首要责任人,而SDK开发者则需根据其使用方式承担相应的责任。然而,这份指南仅作为“建议”存在,并未产生强有力的约束作用。2021年,《中华人民共和国个人信息保护法》首次规定处理个人信息必须遵循“知情同意”原则,然而,对于责任的具体划分仍存在不明确之处。直至今年3月,四部门联合发起的专项行动将SDK作为治理重点,责令其提供相关规则说明、设立投诉途径,并严格禁止越界收集信息。本月发布的通报正是这一行动的实际执行结果,15天的整改期限以及后续的处罚措施充分展现了执法部门的坚定决心。
此次中央网信办发布的通报,不仅是对问题的揭露,更是对行业肩负责任的强烈呼唤。在技术日益复杂与用户权益保护发生矛盾之际,只有通过严格的“硬性规定”,才能有效杜绝责任推诿的可能性,使隐私安全从“推卸责任的游戏”转变为“责任共担的契约”。用户的每一次点击授权,都不应成为数据黑产的“自由通行证”,这不仅体现了监管部门的职责所在,更是数字时代必须坚守的基本原则。
(文丨段译 编辑丨赵静)
