3 SDK个人信息保护问题分析
3.1 SDK Ultra -range收集个人信息问题分析
3.1.1 SDK不遵循最低必要原则,收集超出其功能需求的个人信息
通过对SDK个人信息保护的技术测试,发现当前的SDK收集具有很大的个人信息范围,并且未实施最低必要的原则。某些个人信息处理行为与SDK功能服务无直接相关,这些服务在以下三个方面中特别表现出来。
就个人信息收集的数量而言,SDK将收集许多具有低灵敏度的个人信息,例如IP地址,手机模型,Wi-Fi名称等,并组合上述信息用户个人,从而导致匿名或仍然可以通过其他因素来识别非身份信息,并且很难保护用户的个人隐私。
就个人信息收集的准确性而言,大多数SDK将超过用户需要收集用户的高精确信息,尤其是位置信息问题更为突出。尽管当前的手机操作系统为开发人员提供了两个选项:准确的位置和模糊位置,但根据检测数据软件沙箱,几乎所有SDK都使用位置信息的相关功能或服务,将使用最准确的GPS信息,这很难跟随服务。最小频率处理位置信息将将简单的位置信息转化为轨迹,这将增加个人信息的敏感性。
就个人信息收集频率而言,SDK通常超过高频收集信息。一些SDK为用户提供用户肖像分析,安全风险控制和其他功能的功能。在功能设计过程中,SDK经常收集用户设备的唯一标识代码,以标记所有行为,例如每次点击,搜索和浏览用户。在风险控制过程中,将在一定频率的背景中收集和分析用户的相关个人信息,从而导致收集个人信息的频率过高。
此外,在向用户公开的SDK隐私政策中,它只会向用户解释,用户易于接受的单个和目的,向用户收集信息的特定频率和准确性将使用户难以确定SDK收集其信息以收集其信息。目的和影响。此外,一些SDK公司通过提供免费服务提供免费服务来收集信息。在这种情况下,用户的拒绝实际上是高架的,同意的同意已经变得越来越形式主义,并且通知一致的原则变得难以真正保护用户的合法权利和利益。
3.1.2 SDK捆绑功能服务,应用程序开发人员不能拒绝不必要的个人信息收集行为
SDK的主要作用是为应用程序开发人员提供功能程序模块,从而使应用程序开发成本较低,更快的迭代和更丰富的功能。它主要是为了实现应用程序的定位,付款,社交,广告,信息推动和其他特定定位。功能。为了减少产品开发困难并在产品设计过程中为所有应用程序进行商业化操作,SDK将开发SDK作为坚实和固定的软件工具包,并提供更全面,更丰富的应用程序开发人员应用程序开发人员服务将为SDK产品添加更多功能,以满足各种应用程序开发人员的需求。例如,在Push SDK产品中,SDK Companies将为应用程序开发人员提供固定的SDK和设计信息推送,个性化建议,应用程序关联启动,合并链接,并节省此SDK的流量,但是,不同应用程序的实际用法场景不考虑,并且未向应用程序开发人员提供不同功能选择配置的选项。当应用程序开发人员使用其SDK产品时,各种功能服务将开始操作并根据其功能收集用户个人信息,这将导致SDK在不同应用程序中收集的个人信息可能超过实际业务方案。最后,使用SDK的应用程序被违反了,尤其是中小型应用程序开发人员本身无法完全掌握SDK收集个人信息的实际情况,并且很难促进SDK以符合规定。 SDK Enterprises应根据不同的应用程序场景或用途阐明其SDK产品的各种功能和相应的个人信息收集范围。同时,他们为应用程序开发运营商提供每个功能模块和个人信息收集的配置选项,以促进应用程序开发运营商根据实际业务需求,根据最低必要的原则使用SDK产品。
3.2使用SDK处理分析个人信息问题
为了实施信息内容和广告的精确建议,SDK不可避免地需要收集用户个人信息。通过积累和分析收集的个人信息的积累和分析,可以构建完整的用户肖像。激情和焦虑引起了冷蝉的效果。用户很容易被Internet上的SDK公司录制,而不知不觉。例如,SDK公司将根据设备标识符号分析许多应用程序中收集的个人信息,形成多维信息,例如准确的用户爱好,消费水平和住宅位置。用户个人信息安全和隐私保护带来了巨大的隐藏危险。
此外,某些SDK并未描述隐私政策中用于分析的信息,也没有提供清晰的用户拒绝方法。它仅被描述为“我们可以通过某种方式与第三方(de -discientifical或Anonymous)共享数据,“我们可能无法识别您和/或您的最终用户个人信息(DE -de -de -de -de -sidentiffifice或Anonymous)”,并使您感到困惑徽标和匿名性。
3.3 SDK扩散个人信息问题分析
SDK行业的业务模型通常免费为应用程序开发人员提供SDK功能服务。后端使用SDK在应用程序中收集的用户个人信息进行大数据分析,并使用数据分析结果来实现价值实现。例如,需要解决并解决SDK以获取设备标识符,并需要MAP导航才能收集地理位置。尽管大多数SDK公司都实现了他们的服务,但他们将使用它作为数据基础进行挖掘和分析。风险控制和行业咨询等其他商业服务导致用户,应用程序,SDK和其他第三方之间的信息发行链非常复杂[11]。特别是广告SDK,通常会传达不同应用程序中的信息,以实现精确的广告。这也是用户经常推荐Essence用户不知道自己信息的流通并容易引起恐慌的主要原因。 SDK企业应自己或通过应用程序将相关情况告知用户。同时,他们还应根据《个人信息保护法》的要求提供个性化的建议和大数据分析选项。中小企业没有检测SDK的能力。 SDK公司还需要通知应用程序开发人员是否有个性化的推荐功能并提供关闭接口。 SDK企业应严格控制信息的流通。进行统计分析时,用户的个人信息应该是真正的匿名信息,而不仅仅是脱敏。
4 SDK个人信息保护测试管理研究技巧
4.1 SDK检测技术研究
由于SDK的操作环境取决于应用程序,因此该应用程序和SDK在操作过程中同时运行,并且将产生个人信息收集行为和网络传输行为。传统应用检测方法的主体很难区分个人信息处理是SDK还是应用程序本身。 SDK个人信息保护技术检测需要为SDK本身进行,以便在判断问题时无法产生干扰和混乱,从而确保测试结果的准确性和可靠性。但是,SDK本身的技术测试过程需要大量的开发和集成,并且工作量很大。 SDK不是直接作为代码本身运行的。检测器需要开发和集成每个SDK,以形成可以运行以进行相应测试的应用程序软件。同时,SDK问题更加复杂,提取测试结果的困难也增加了。 SDK可以根据用户授予的不同应用程序的权限显示不同的行为运动。检测过程需要详细分析SDK代码。在上述情况下,在早期行业缺乏成熟的SDK技术检测工具,很难发现非法非法和违反SDK的问题[12]使得很难进行SDK的相关测试。 SDK个人信息保护技术检测需要从以下两个方面进行。
一方面,SDK操作所需的仿真操作环境。首先,公共App Shell是SDK操作环境开发的。它具有统一的应用程序操作接口,应用程序背景处理服务,SDK接口呼叫方法和其他SDK检测必要的功能。访问检测模拟环境并在真实的手机中安装和运行,从而大大降低了时间成本并提高SDK个人信息保护检测效率。
另一方面,对于SDK的技术特征软件沙箱,建立了用于SDK操作特征的检测平台。通过监视沙箱的动态行为,可以全面测试SDK的个人信息保护水平。首先是提供SDK的静态信息自动分析和提取功能。它可以提取全局关键字和敏感信息检索的SDK代码。它可以帮助探测器快速确定关键代码的位置并实现问题代码的快速定位。SDK动态行为监控能力,SDK 读取设备标识码、电话号码、短信记录、通话记录、通讯录、传感器、日历,定位信息和一系列数据的系统属性。第三,有必要拥有SDK网络传输行为监视功能,输出服务器域名,IP地址,域名归档信息以及有关网络软件包的原始信息。
4.2 SDK管理模式研究
目前,SDK没有系统管理机制,例如一个下载和分销平台。通常,SDK公司在其官方网站上提供诸如下载,注册,付款和功能配置之类的服务。提供了一些SDK产品,甚至提供了无线连接通道。在当前的管理模型下,SDK产品很容易引起侵犯用户权利和兴趣的问题,并为监督带来了某些挑战。首先是SDK没有在线审核过程。它仅依靠公司自由行行为来对其SDK产品进行个人信息保护合规性审查,这很难严格控制SDK产品的个人信息保护功能。单个SDK可以由数千个应用程序集成。一旦发生违反法规的个人信息的问题,危害就远远超过违反单个应用程序的行为。第二个是给监管随机检查带来困难。有些SDK不提供直接下载频道。在业务沟通(例如公司资格和公共付款)之后,有必要获得SDK运营运营所需的相应帐户参数。这导致了一些随机检查,这些检查在随机检查过程中无法通过公共渠道获得,并且模拟用户获取SDK样本以进行业务对接的成本很高且易于公开,这给样本测试带来了困难。第三,SDK开发人员很难追踪源。除了通过商业化运行的SDK外,大多数SDK都主要在开源社区上载,以供应用程序开发人员自由下载和使用。这种类型的SDK很难准确地掌握其开发和操作主题。显然宣传其开发和运营主题。如果发现问题,很难实施SDK公司的纠正,这给监管治疗带来了很大的困难。
中国信息与通信研究所领导了国家SDK管理服务平台,为SDK和应用程序开发运营商提供SDK策略标准发布,产品信息宣传,监管问题,反馈等反馈。截至2023年11月,该平台已收集并注册了240多家公司的680多家SDK产品,覆盖了该行业中近80%的主流产品,并公开展示了SDK及其开发人员的基本信息,包括SDK名称,包括SDK名称,版本数字,编号,主要功能,开发人员,隐私政策,使用说明和其他个人信息保护关键元素。该平台解决了难以在一定程度上获取SDK样品的困难问题。同时,它还可以为应用程序开发人员和SDK公司提供供应和需求对接支持,以便应用程序开发人员可以找到合适的SDK产品。
5 SDK个人信息保护监督建议
5.1加强监督和治理
就SDK的监督和治理而言,SDK个人信息保护的要求需要与应用程序相同的水平。即使对于Head SDK,他们的讲话权也可能比一些中小型应用更大。更严格。具体来说,您可以从以下方面开始。
首先是改善对SDK个人信息保护的监督。在集合,使用和共享个人信息本身中,加强对SDK本身的完整链接管理。根据应用程序侵犯用户权益特殊治理的侵犯,SDK侵犯用户权利和利益的侵权继续管理用户的权利和利益。
第二个是监督和指导SDK公司充分使用户控制和使用的个人信息。确保用户有机会详细掌握其信息的情况和过程,参与理解和掌握自己的个人信息的所有方向,并进一步赋予用户删除权利的权利。通过结合“通知”模式,再加上给定的用户以检查和删除删除权,它确实允许用户在使用该应用程序及其嵌入式SDK的过程中实现“信息自决”的权利服务。
第三个是指导SDK公司根据收集的个人信息的敏感性来区分和加强保护。指导SDK Enterprise建立“风险评估”机制,以分配一般个人信息的保护水平。在此基础上,选择了“ Inform-Agree”模式。
第四个是指导SDK Enterprises,以与应用程序开发人员合作,提高用户同意书的认识。现有的“ Inform-Agree”模型基于应用程序开发人员与个人信息主题之间的用户协议。面对SDK的个人信息处理,用户通常没有选择的空间。他们应该通过合理的页面通过合理的页面。设计使用户可以选择控制。
5.2改进技术检测能力
结合初步应用程序个人信息保护治理的经验以及下一种情况的发展要求,进一步发挥技术优势,并不断提高SDK治理的效率。一方面,阐明应用程序开发运营商和SDK企业之间的责任边界,制定相应的技术管理和控制措施,并建立“封闭的环路治理”机制。另一方面,工业优势和积极使用新技术(例如人工智能和大数据)来有效保证,继续优化并有效地改善SDK技术测试平台。
5.3改善行业的自律生态学
我国家的“个人信息保护法”规定,国家建立并改善了个人信息保护系统,防止和惩罚侵犯个人信息权利,加强个人信息保护的宣传和教育的行为,并促进政府的形成,企业,相关社会组织和公众参与个人信息保护。良好的环境。个人信息保护和管理是国家,社会,企业和用户的共同责任。它需要治理,工业,企业和其他多元化主题,结合共同的管理,小组策略和良性互动。发展环境并促进行业的发展。
6
SDK用户权利和个人信息保护工作已成为社会关注的重点,它也是应用程序保护和治理的关键部分。本文研究了SDK的个人信息保护问题,并将SDK技术检测和法规机制与SDK技术特征结合使用。将来,对SDK用户权利和个人信息保护的处理取决于相关实体在行业中的参与,并促进了电信和互联网行业的高质量开发。
作者简介
Chang Haolun
中国技术与标准研究所信息和通信研究所工业互联网研究部的工程师主要从事个人信息保护政策和标准发展研究。
李新
中国技术与标准研究所工业互联网研究部的助理工程师信息与传播研究所主要从事个人信息保护技术测试研究。
Zang Lei
中国信息与传播研究所,副首席工程师,高级工程师,高级工程师,主要从事个人信息保护,信息和通信技术的研究。
论文引用格式:
Chang Haolun,Li Xin,Zang Lei。软件开发工具软件包个人信息保护问题和检测方法[J]。信息与通信技术与政策,2024,50(1):67-72。
本文发表在《信息与通信技术与政策》中,第1期,2024年
托管:中国信息与传播研究所
“信息与通信技术与政策”是工业和信息技术部的专业学术期刊,并由中国信息与传播学院赞助。该杂志位于“信息和通信技术边界的财政库,信息社会政策的询问”中,重点关注信息和通信部门的技术趋势,公共政策,国家/行业/企业/企业战略,释放切割 - 边缘研究结果,重点问题,热门政策解释等待,促进5G,工业互联网,数字经济,人工智能,区块链,大数据,云计算和其他技术行业等技术行业的创新和发展,指导国家技术战略选择和工业政策制定,以及建立,学术,研究和使用。高端学术交流平台。
路口
为了进一步提高日记中的信息构建水平并为大多数学者提供更高质量的服务,我们的官方网站已正式投入运营。欢迎提交!
学校审判|话,Shan Shan
编辑| Ling Xiao
“
