SDK的安全风险主要表现在自身的安全漏洞、恶意行为、违规处理个人信息三个方面。对此，我国建立了包括网络安全法、数据安全法、个人信息保护法等法律法规、部门规章、国家标准等在内的规制体系。 　　 　　SDK是软件开发工具包的缩写，能有效提升各类移动互联网程序（以下简称App）的兼容性和灵活性、简化App开发与运营而被广泛应用。但SDK也因存在安全漏洞、恶意行为及违规处理个人信息等风险，近年来被官方多次通报侵害用户权益等。 　　 　　1月22日，工业和信息化部通报6款SDK存在侵犯用户权益行为。其中“移动端应用订阅”SDK和“顶象无感验证”SDK存在违规收集个人信息，强制、频繁、过度索取用户权限与使用说明不完整三项问题，被责令按照有关规定进行整改，引起广泛关注。如何有效规范SDK使用、防范数字风险、促进数字经济迭代更新，值得思考。 　　 　　SDK的安全风险分类与属性 　　 　　实践中，涉及SDK的安全风险主要表现为三类：第一，SDK自身的安全漏洞。在SDK设计和开发阶段，由于自身方案不合理或者代码漏洞产生技术缺陷，易引发SDK应用风险。例如SDK存在中间人攻击漏洞、弱加密算法漏洞等原生技术缺陷。第二，SDK的恶意行为。主要表现有SDK恶意劫持App流量，在后台静默下载安装其他恶意软件，甚至在移动终端启动本地后台服务端接受远程指令，隐蔽控制用户等。第三，SDK违规处理个人信息。SDK在运行中超范围收集个人信息，不安全存储个人信息，以及违规使用个人信息。 　　 　　梳理以上三类风险具体情形可得知，SDK的安全风险具有广泛性、隐蔽性与责任界分难等特点。首先，从技术架构看，一款SDK通常集成于多款App，其安全风险自然而然扩展与延伸至多款App及其广大用户。早在2018年，“寄生推”推送SDK通过云端控制的方式对目标用户下发包含恶意功能的代码包，殃及300多款应用，潜在影响近2000万用户。其次，SDK将实现特定功能的代码开发并封装嵌入App应用，实际上向App屏蔽了特定功能的实现细节，App运营者对其安全风险尚不知情，用户对其权益受损更难以有效感知。SDK风险的隐蔽性使其成为用户信息保护中不易被察觉的“隐秘角落”。在全国首例“广告SDK”非法控制用户手机案中，被告人利用预装置“广告SDK”非法控制手机上亿台，通过非法弹送广告、静默下载等牟取黑灰产业收益，手段十分隐蔽，非特定领域专业人士难以断定。最后，由于SDK和App在接入期、运营期与退出期均存在复杂关系，例如在SDK单独处理数据、SDK和App共同处理数据、App委托SDK处理数据等不同情形下，二者承担的安全义务与责任各自不同。当发生网络安全风险时，二者双向制衡多维联动的关系决定了界分主体责任难。 　　 　　现有法律法规对SDK的规制 　　 　　当人们开始意识到SDK带来的风险时，通常会考虑加强关于SDK的立法。事实上，我国现有规制SDK的法律体系较为完善。 　　 　　第一，因SDK恶意行为导致犯罪在我国刑法中有具体罪名规定，司法实践亦有示范案例对此切实回应。在全国首例“广告SDK”非法控制用户手机案中，行为人在手机中植入广告SDK，实现对计算机系统远程特定操作的目的。面对此类新型计算机领域案件，法院明确了预装SDK方式下“非法控制”的法律定性，认定行为人构成非法控制计算机信息系统罪，并用判决生动地诠释了SDK的“罪”与“罚”。 　　 　　第二，调整SDK的法律依据全面明确。随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规及有关规章的实施，在SDK个人信息收集、存储、使用、加工、传输、提供、公开与删除的不同阶段，都有相应的法律规章与规则指引。与此同时，App与SDK侵害用户权益的专项整治已成为用户个人信息权益保护的重要保障，截至2024年2月，工业和信息化部总计通报了36批侵害用户权益的App（SDK），SDK被监管部门要求依法整改的情形不断出现。 　　 　　第三，其他规范性文件细化SDK风险规制的具体要求。2019年，国家互联网信息办公室秘书局等部门印发的《App违法违规收集使用个人信息行为认定方法》明确规定，如果在App中未列出SDK收集使用个人信息的目的、方式、范围则被认定为未明示收集使用个人信息的目的、方式和范围。2023年2月，工业和信息化部印发的《关于进一步提升移动互联网应用服务能力的通知》明确提出，加强SDK使用管理、规范SDK应用服务以及落实SDK主体责任。 　　 　　无论是在SDK使用前增加个人信息保护能力评估，公开明示SDK名称、开发者、版本号、主要功能等基本信息及个人信息处理规则，还是遵循最小必要原则明确SDK功能与个人信息收集范围，以及在使用全生命周期过程中要求通过明确易懂的方式加强与App开发运营者服务协同，都是有效消弭SDK风险，营造安全健康网络生态圈的细化要求。 　　 　　SDK治理“有章可循” 　　 　　网络安全与个人信息权益保护立法与执法的完善，对SDK运营者加强内部合规治理提出了更高要求。近年来，在技术规范领域，关于SDK的安全指引、行业标准、团体标准及国家标准不断颁行。第一，SDK安全指引与行业标准初成。2020年11月，全国信息安全标准化技术委员会发布《网络安全标准实践指南——移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》，2021年7月行业标准《银行业第三方软件开发工具包（SDK）安全接入指南》颁行。这两部文件搭建起SDK安全治理的基本框架。第二，SDK安全团体标准不断涌现。2022年，《移动互联网应用程序SDK安全技术要求及测试方法》《软件开发包（SDK）个人信息处理规范》相继实施，2023年《软件开发工具包（SDK）收集个人信息技术要求》《软件开发工具包（SDK）用户权益保障基本要求》《信息安全技术 移动互联网应用程序（App）接入软件开发工具包（SDK）个人信息安全指南》陆续发布。这些团体标准详细勾勒出SDK网络安全与个人信息处理的具体标准。第三，SDK国家标准出台。国家标准《信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求》已于2023年11月27日发布，并将于2024年6月1日正式实施，其在国家标准《信息安全技术 个人信息安全规范》的基础上进一步细化SDK生命周期的安全规范和个人信息处理活动的安全要求。SDK领域技术规范的日臻完善，有效快速回应SDK风险的社会关切，体现行业“敏捷治理”思路，确立SDK治理可遵循的“章法”，为企业合规治理提出了具体指引。 　　 　　既然规制SDK有法可依，为何SDK风险及其防范成为当下社会关注的社会焦点。究其原因，一方面，尽管SDK一直伴随App存在，但人们对SDK及其风险认知才刚“浮出水面”。基于一些专业网络人士理解的SDK概念，加之SDK风险具有较强的隐蔽性，SDK与App安全责任的难以界分，使SDK及其风险易藏于幕后。随着数字社会技术架构的不断呈现与相关普法活动的纵深宣传，SDK风险规制日渐走向前台，聚焦了更多的社会关注。另一方面，SDK可依的“法”与可循的“章”多在近年确立与完善，如何执行与遵循成为当务之急。正如明代张居正所言，“盖天下之事，不难于立法，而难于法之必行。”SDK规制与治理要想获取成效，关键在于政府监管与SDK运营者合规应双管齐下。其一，有关政府职能部门对SDK侵害用户权益的监管应从“专项整治”走向“常规工作”，确保SDK监管的连续性、动态性与体系化。面对隐蔽的SDK风险及权益维护处于弱势地位的用户，有关职能部门应加强规则监管。其二，应强化SDK运营者合规义务。SDK运营者应当关注如何通过技术、规则和组织工具，依法循章建立符合要求，行之有效的合规机制，并加强与App的合规协同，提升合规效率，释放合规价值。其三，监管与合规治理并重。以科学立法、严格执法，促进企业合规建设，以企业切实遵循合规细则实现监管目的。唯有如此，才能更精准消弭SDK安全风险之“忧”，更有力释放SDK新技术之“优”。 　　 　　（作者为重庆邮电大学网络空间安全与信息法学院教授）伊志律师事务所位于北京市朝阳区朝外大街乙6号朝外SOHO-C座1209，优越的地理位置，便利的交通条件，安静、专业的办公环境为需求提供方便。 电话：010-84493343 微信：18401228075 电话：18401228075