小心你手机里的每一款APP，第三方SDK可能正在收集你的隐私

你大概知道自己的手机里装了多少个APP，你也知道APP在收集你的个人隐私数据。但你或许不知道，除此之外，你的数据还可能同时被隐藏在APP里的第三方SDK收集。

SDK是SoftwareDevelopmentKit的缩写，即“软件开发工具包”，是一些被软件工程师用于为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合，一般而言SDK即开发 Windows 平台下的应用程序所使用的 SDK。它可以简单的为某个程序设计语言提供应用程序接口 API 的一些文件，但也可能包括能与某种嵌入式系统通讯的复杂的硬件。一般的工具包括用于调试和其他用途的实用工具。SDK 还经常包括示例代码、支持性的技术注解或者其他的为基本参考资料澄清疑点的支持文档。为了鼓励开发者使用其系统或者语言，许多 SDK 是免费提供的。软件工程师通常从目标系统开发者那里获得软件开发包，也可以直接从互联网下载，有时也被作为营销手段。例如，营销公司会免费提供构件SDK 以鼓励人们使用它，从而会吸引更多人由于能免费为其编程而购买其构件。

8月，中国一款嵌入到500多个APP中的广告软件SDK被曝未经允许盗取用户数据，主要是呼叫日志，并将数据发送到公司服务器上。截至目前，这些APP在安卓生态系统中的下载量已经超过1亿次。此前，苹果商城也曾因为256个APP使用的SDK违规收集用户信息，将这些APP全部下架。

几乎所有APP都会使用SDK，而SDK收集用户信息的行为非常普遍。这意味着，你授权APP收集的个人信息被第三方获取了，而你很可能却对此毫不知情。

APP实现

精准投放的“好帮手”

APP通常会使用第三方SDK快速实现支付、验证、统计等功能，相比自行开发耗费的资源，直接使用SDK性价比更高。此外，SDK还扮演着可信第三方的角色，把监测到的APP流量数据提供给投资人，作为考量APP价值的重要依据。

如此一来，SDK就不可避免地接触到APP的用户数据，这也催生了SDK提供商的一个重要服务内容：精准投放。

众所周知，精准推送服务是APP获取用户和留住用户的常用行为。APP本身收集的用户数据有限，而SDK可以通过与多家APP开发公司合作获取大量用户数据，而这些数据不但可以实现用户画像，还能用来精准投放广告，这正是一个APP梦寐以求的。此时，在APP开发公司和SDK提供商之间，又增加了一层合作关系。

SDK收集的用户信息可以详细到什么程度北京网贷协会数据安全专家韩洪慧曾在采访中提到，“SDK一旦嵌入，如果你注册登录了这个APP，并默认授权，所有的行为数据都能记录，它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令、短信、通讯录、行动范围、位置信息等。”

采集的信息

“无底线”、“侵犯隐私”

高级产品研发专家马巍源曾在一篇名为《聊聊SDK采集数据的秘密》的文章里，揭露过移动互联网行业SDK采集用户隐私乱象，并将它们按照危险级别分类。其中危险级别“高”及以上的包括采集设备上安装的所有APP列表、采集正在运行或最近运行的APP信息、采集用户的账户信息。

“这类用户信息的采集可以说比较无底线”，文章指出，通过采集前两类信息可以清楚了解用户设备中安装的各类APP信息、日启动次数及时长等，由此得知设备用户的喜好;若数据量庞大，还可推算出每款APP应用的市场占有率、各类竞品APP的情况，在用户不知情的情况下“侵犯了用户隐私”。

如果APP不想被第三方SDK“私货”影响，文章提出了两种解决方法：一是要求第三方修改SDK，二是换一家“干净的”。简单来说正规渠道的SDK安全更可靠，一些各种打着优惠旗号免费到底的SDK，可能就夹杂着很多私货在里面。

法规约束

“模糊”的第三方APP不能推卸告知义务

对用户来说，APP作为网络产品提供者，是个人信息保护的直接责任方，应该遵守《中华人民共和国网络安全法》(下称“网安法”)里的对应条款。

网安法第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;第四十二条规定，未经被收集者同意，网络运营者不得向他人提供个人信息，经过处理无法识别特定个人且不能复原的除外。

显然，SDK属于这里所说的“第三方”。但事实是，用户往往并不知道自己的个人信息在何时、以何种方式被共享给了SDK。这是因为，“隐私政策”作为APP和用户之间关于如何处理和保护用户个人信息的载体，对与第三方共享用户个人信息的表述极为模糊。

“隐私政策”的内容通常包括APP如何收集、使用、共享、保护用户个人信息，用户同意之后才能使用APP。在隐私政策关于共享的相关表述中，最常见的是“可能会将用户的个人信息分享给第三方”。但是，几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。

这对用户来说当然不公平，但从APP的角度来说，他们也有自己的顾虑。北京玺泽律师事务所高级合伙人刘新焱对南都记者表示，由于APP开发公司可能和多家SDK提供商合作，而且未来和谁合作也不确定，所以才不把SDK提供商的名字写入自己的隐私协议。不过他强调，即便如此，APP还是不能推卸对用户的告知义务。

除了跟用户签署协议，有些APP和SDK之间也会签署协议，约定用户数据的采集范围和使用方式。某新媒体公司工程师告诉南都记者，协议里会写明SDK可以获取什么数据、数据的披露方式等，从而保障用户信息安全。但多名技术专家对此表示，由于SDK代码不开源，APP要监测它是否严格按约定收集数据有一定技术门槛，所以基本只能依靠协议约束。

法律责任

SDK是APP的一部分，APP应承担所有法律责任

能收集详细的用户隐私数据，又处于监管的灰色地带，甚至使用它的APP也无法从技术上保证100%安全。SDK对用户来说，犹如一颗隐藏在暗处的“定时炸弹”，危险性不言而喻。

SDK提供商泄露和滥用用户信息的事件很多，有的甚至成为了黑灰产的源头。但对用户来说，没法直接了解SDK收集个人信息的方式，只能信任APP。

北京大学互联网发展研究中心专家研究员洪延青认为，如果SDK只是纯粹辅助APP分析用户数据，所有法律责任应由APP承担;如果SDK把收集到的APP用户信息用作其他用途，比如买卖、交换，APP和SDK就处于共同数据处理者的位置。由于SDK无法起到告知作用，APP必须详细告知用户这一行为，否则APP依然将承担所有法律责任。所以，当大家发现自己手机里的APP有一些不轨举动时，可以及时通过法律来维护自己的权益。当然，这种情况还是比较少的，多数APP都不会非法收集用户信息，一般在使用时都会明确标明。

值得庆幸的是，目前应用商店对APP的审核越来越严格，一旦发现不合规，会立即下架。这也促使APP选择正规的SDK提供商，合规地获取数据，在一定程度上也对SDK起到了规范效果。