1、软件开发包（SDK）安全与 合规报告 软件开发包（SDK）安全与 合规报告 （2020）（2020） 中国信息通信研究院安全研究所 北京市环球律师事务所 2020 年 9 月 中国信息通信研究院安全研究所 北京市环球律师事务所 2020 年 9 月 版权声明版权声明 本报告版权属于中国信息通信研究院、北京市环球律师 事务所，并受法律保护。转载、摘编或利用其它方式使用本 报告文字或者观点的， 应注明 “来源： 中国信息通信研究院、 北京市环球律师事务所”。违反上述声明者，本院将追究其 相关法律责任。 本报告版权属于中国信息通信研究院、北京市环球律师 事务所，并受法律保护。转载、摘编或利用其它方式

2、使用本 报告文字或者观点的， 应注明 “来源： 中国信息通信研究院、 北京市环球律师事务所”。违反上述声明者，本院将追究其 相关法律责任。 编写团队编写团队 编写单位： 中国信息通信研究院安全研究所 北京市环球律师事务所 编写组成员：（姓氏笔画为序） 陈湉、张淑怡、孟洁、秦博阳、薛颖、覃庆玲、魏亮 联系人： 陈湉陈湉 电话： 邮箱： 孟洁孟洁 电话： 邮箱： 前言前言 我国移动互联网市场经历了将近 20 年的快速发展，已经形成了 庞大的产业规模，创造了可观的经济效益，并且在业务模式和商业模 式创新方面引领全球。同时，移动互联网正在向传统产业加速渗

3、透， 人工智能、大数据、物联网等信息技术与实体经济持续深度融合，不 断催生传统产业服务新业态，逐步改造着医疗、教育、交通、旅游、 金融、传媒等传统行业的服务模式。在此过程中，移动应用软件，即 App，发挥了不可替代的入口作用，全天候、全方位深度参与到了广 大网民日常生活的方方面面。 App 在提供各类便捷、高效、普惠服务的同时，也在无时不刻地 收集、使用用户的个人信息，与 App 存在密切联系的第三方软件开发 包（SDK）收集个人信息问题也已经进入各方视野。2019 年下半年起 至 2020 年，不论是立法动态还是监管角度，均将 SDK 违法违规收集 个人信息作为审查的重点之一。 僻如，在立法

4、和国家标准制定方面，数据安全管理办法（征求 意见稿）GB/T 35273-2020 信息安全技术 个人信息安全规范 网络安全标准实践指南 移动互联网应用程序（App）中的第三方软 件开发工具包（SDK）安全指引（征求意见稿）信息安全技术 个 人信息告知同意指南（征求意见稿）等国家标准的研究也开始涉及 第三方介入（包括 SDK）这一特定领域。 在监管方面，中央网信办、工业和信息化部、公安部、市场监督 总局四部委组建的 App 专项治理工作组在全国范围开展较大规模的 App 的审查与治理行动，从曝光的结果来看，不难看出已对 App 中嵌 入的违规 SDK 厂商， 采取了包括但不限于约谈企业负责人、

5、 网上曝光、 App 下架等措施。该治理工作组在今年 5 月发布的App 违法违规收 集使用个人信息专项治理报告（2019），更是明确指出“第三方 SDK 自身的安全性，以及其收集使用个人信息行为，也成为移动生态 中个人信息保护的风险点建议将 SDK 收集使用个人信息行为纳 入专项治理范围，以促进 SDK 行业加强数据收集使用规范性”。由此 可见，2020 年，SDK 的合规性已经成为监管的重点。 并且，2020 年 3 月疫情期间爆出的 Zoom 接入 SDK 问题，2020 年 7 月“315”晚会曝光私自收集个人信息的 SDK 未经用户许可窃取 个人信息问题，更是引发了公众对 SDK 安

6、全与合规的极大关注。 特别地，2020 年 7 月中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信 息治理工作， 提到今年年度的治理重点时专门提到了对第三方 SDK 的 治理：制定发布 SDK 个人信息安全评估要点，对用户规模大、问题反 映集中的小程序等进行深度评估。 本报告将在 2019 年版本的基础上，进一步梳理当前应用较为广 泛的第三方 SDK 类型和市场情况， 结合实际案例分析第三方 SDK 存在 的主要安全问题以及第三方SDK提供者与App开发者合作过程中面临 的法律合规问题。 通过调研欧盟、 美国的相关经验做法， 从法律

7、法规、 企业责任、技术标准、行业自律等方面结合我国实际情况提出了有针 对性的建议。 本报告 2020 年版比照 2019 年版的主要修订在于： 更新了 2019 年至今监管层面、 国家标准层面针对 SDK 的规制； 更新了对 App 开发者嵌入第三方 SDK 的合规实践建议； 更新了第三方 SDK 自身的合规实践建议； 更新了第三方 SDK 产品最新的合规实践案例。 目录目录 一、 第三方 SDK 的业内现状.1 （一）第三方 SDK 常见类型及应用情况.1 （二） 第三方 SDK 安全标准化现状.15 （三） 第三方 SDK 普遍应用的原因分析.17 二、第三方 SDK 的主要安全问题及分析

8、.18 （一）第三方 SDK 自身安全性不容乐观.18 （二）第三方 SDK 成为病毒传播新途径.19 （三）第三方 SDK 隐蔽收集个人信息问题逐步显现.19 三、第三方 SDK 的主要合规问题及分析.20 四、第三方 SDK 管理的域外经验.23 （一）欧盟的第三方 SDK 管理经验.23 （二）美国的第三方 SDK 管理经验.28 五、针对我国第三方 SDK 管理的相关建议.33 （一）尽快完善相关法律法规，明确相关主体的责任义务.33 （二）APP开发者需要积极履行数据合规义务.35 （三）第三方 SDK 提供者需要加快构建数据安全合规体系.44 （四）加快完善 SDK 安全标准及指南

9、.47 （五）鼓励第三方 SDK 企业开展行业自律.48 附录第三方 SDK 产品的安全与合规实践.49 （一）极光 SDK 的安全与合规实践.49 （二）小米推送 SDK 的安全与合规实践.57 （三）TALKINGDATASDK 的安全与合规实践.61 图 目 录图 目 录 图 1嵌入新浪微博 SDK 的 APP分布情况.5 图 2嵌入支付宝 SDK 的 App 分布情况.6 图 3嵌入极光推送 SDK 的 App 分布情况.9 图 4嵌入 InMobi SDK 的 App 分布情况.11 图 5各类型 App 嵌入 SDK 占比情况.14 图 6App 中使用第三方 SDK 的数量分布图

10、.15 图 7SDK 通过 App 收集的数据类型统计.25 图 8SDK 征得用户同意方式的示例.40 图 9App 内设计相关 SDK 的控制者和管理页面.45 图 10 极光 SDK 展示隐私政策示例一.51 图 11 极光 SDK 展示隐私政策示例二.51 图 12 极光 SDK 展示隐私政策示例三.52 图 13 极光 SDK 展示隐私政策示例四.52 图 14 TalkingData 内部数据分级管理策略.64 图 15 数据生产/加工/访问使用全流程工具化操作.65 图 16 基于受众的群体画像能力输出.66 表 目 录表 目 录 表 1常见第三方登录分享类 SDK 应用情况统计

11、.4 表 2常见支付类 SDK 应用情况统计.5 表 3常见推送类 SDK 应用情况统计.7 表 4常见广告类 SDK 应用情况统计.9 表 5常见数据分析类 SDK 应用情况统计.11 表 6常见地图类 SDK 应用情况统计.12 软件开发包（SDK）安全与合规报告（2020） 1 一、第三方 SDK 的业内现状 据中国互联网络信息中心（CNNIC）统计数据显示，截至 2020 年 3 月，我国手机网民规模已达 9.04 亿，网民通过手机接入互联网的 比例高达 98.6%。随着移动互联网的发展、智能手机的不断普及，移 动互联网应用程序（App）得到广泛应用。据工信部统计数据显示， 截至 20

12、19 年 12 月，我国市场上监测到的 App 总量达到 367 万款，第 三方应用商店分发累计数量超过 9502 亿次，游戏类、系统工具类、 影音播放类、 社交通讯类、 日常工具类 5 类 App 下载量均超过千亿次。 移动互联网服务便捷、即时、普惠的特点，在 App 应用中得到充分体 现，部分 App 甚至已成为广大用户生活中的“必需品”。 由于移动互联网市场的快速迭代，高科技产品飞速更新，App 开 发者为了提升效率、降低成本，往往会在开发过程中嵌入第三方代码 （SDK 开发包）和插件等。本章将从常见类型、应用情况、主要特点 等方面对 SDK 的业内现状进行介绍，详细分析其被广泛使用的原

13、因。 （一）第三方 SDK 常见类型及应用情况（一）第三方 SDK 常见类型及应用情况 SDK 是 Software Development Kit 的缩写，即“软件开发工具 包”。简单来看，它是辅助开发某一类应用软件的相关文档、范例和 工具的集合。对 App 来说，为了提高开发效率，可以将某项功能交给 第三方来开发，第三方服务提供商将服务封装为工具包（即 SDK）供 开发者使用。目前，SDK 类型主要包括：第三方登录分享类、支付类、 推送类、广告类、数据统计分析类、地图类、风控插件以及一些基础 软件开发包（SDK）安全与合规报告（2020） 2 库等。 1. 常见第三方 SDK 类型 按照第

14、三方SDK能够帮助App开发者实现的具体功能不同进行区 分，其中较为常见、与用户交互程度较强的主要有以下 6 类 SDK。 （1）第三方登录分享类（1）第三方登录分享类 第三方登录分享类 SDK 主要用于简化用户登录流程， 为用户使用 已有的第三方帐号进行登录提供便利， 同步帮助 App 构建自己的帐号 登录体系。作为一种功能较为基础的 SDK，第三方登录分析类 SDK 被 各类 App 广泛使用。 （2）支付类（2）支付类 据国家信息中心 2019 年发布的中国移动支付发展报告数据 显示，截至 2018 年上半年，我国移动支付用户规模约为 8.9 亿，移 动支付交易规模已超过 277 万亿元

15、。随着移动支付的普及应用，支付 功能越来越成为各类 App 的普遍需求。支付类 SDK 帮助开发者在 App 中进行了支付功能的集成，为用户提供购物、充值、付款、退款等相 关功能。 （3）推送类（3）推送类 推送类SDK帮助App开发者向其用户实时推送通知或者消息， 与用 户保持互动， 从而有效地提高用户留存率， 提升用户体验。 推送类SDK 可实现基于用户活跃情况、 设备属性、 地理位置等不同用户群的推送。 推送形式包括状态栏通知、自定义消息、本地通知等，内容可涵盖新 闻资讯、日程提醒、活动预告、新版本更新等。 软件开发包（SDK）安全与合规报告（2020） 3 （4）广告类（4）广告类 据

16、中国互联网发展报告 2020显示，2019 年网络广告市场规 模达 4341 亿。随着移动广告红利时代的到来，App 开始接入广告相 关 SDK 的情形越发普遍， 广告类 SDK 对各类广告形式的支持情况也已 成为影响移动开发者收入、操作等的关键因素之一。 （5）统计分析类（5）统计分析类 数据统计分析类 SDK 可以帮助 App 开发者统计和分析流量来源、 内容使用、用户属性和行为数据等，以便 App 开发者利用数据进行产 品、运营、推广策略的决策。 （6）地图类（6）地图类 地图类 SDK 帮助 App 集成地图显示、交互等相关服务，以便用户 在使用 App 时在应用中访问相关地图数据，轻

17、松实现相关功能，并在 此基础上完成基于自身场景的更深层、更个性化的开发需求。 2. 常见第三方 SDK 应用情况统计 为了对第三方 SDK 的应用情况进行进一步了解， 本章节按类别梳 理、总结了一些常见第三方 SDK 类别的应用情况1。 （1）第三方登录分享类（1）第三方登录分享类 第三方登录分享类 SDK 主要以主流即时通讯或社交类企业推出 的 SDK 为主，常见的类型主要有微信登录分享、微博登录分享、QQ 登录分享等。嵌入此类 SDK 的 App 往往既包括 App 本身，也涉及 App 的同一母公司旗下其他产品，还包括其他各类 App（如新闻资讯、视 1 相关信息梳理来自各 SDK 官网

18、或开发者平台。 软件开发包（SDK）安全与合规报告（2020） 4 频、旅游出行等），具体情况详见表 1。 表 1 常见第三方登录分享类 SDK 应用情况统计 SDK 名称名称主要业务功能主要业务功能简要介绍简要介绍 嵌入此类嵌入此类 SDK 的的 App 微信登录分享 使用微信帐号快速登 录第三方平台或 App。 接入微信登录，实现微 信帐号快速登录，一键 连接。 普遍应用在 各类App中。 微博登录分享 使用微博帐号快速登 录网站或第三方 App， 分享内容，同步信息。 满足了多元化移动终 端用户随时随快速登 录、分享信息的需求。 普遍应用在 各类App中。 QQ 登录分享 使用 QQ 帐

19、号快速登 录网站或第三方平台。 用户使用已有的 QQ 号 码即可登录移动应用， 可减少登录交互操作， 简化用户注册流程。 普遍应用在 各类App中。 以新浪微博 SDK 为例，该 SDK 被广泛嵌入在各类 App 中，生活服 务、游戏和金融行业 App 中嵌入该 SDK 的情况最为普遍，三者合计占 比 44.61%。具体分布情况如图 1 所示： （数据来源：北京智游网安科技有限公司（爱加密） 图1 嵌入新浪微博SDK的App分布情况 软件开发包（SDK）安全与合规报告（2020） 5 （2）支付类（2）支付类 支付类 SDK 通常提供的功能较为单一。 目前常见的支付类 SDK 主 要包括银联支

20、付、支付宝支付、微信支付以及各个大银行自己独有的 支付 SDK 等。嵌入此类 SDK 的，除了各类电商购物平台及相关旅游出 行类 App 外，还包括其他设置了充值、付款、退款等功能的各类 App， 具体情况详见表 2。 表 2 常见支付类 SDK 应用情况统计 SDK 名称名称主要业务功能主要业务功能简要介绍简要介绍 嵌入此类嵌入此类 SDK 的的 App 银联支付 跳转银联页面完成支付 信息录入，最终完成支 付。 综合性互联网支付 工具， 主要支持输入 卡号付款、 用户登录 支付、网银支付、迷 你付 （IC 卡支付） 等 多种支付方式。 普遍应用在各 类设置了支付 场景的 App 中。 微信

21、支付 通过点击微信付款码支 付，或扫描二维码支付 等功能。 综合性互联网支付 工具。 普遍应用在各 类设置了支付 场景的 App 中。 支付宝支付 通过二维码面对面支 付、小程序支付、花呗 分期等多种支付功能。 综合性互联网支付 工具。 普遍应用在各 类设置了支付 场景的 App 中。 以支付宝 SDK 为例， 该 SDK 被广泛嵌入在各类设置了支付场景的 App 中，以游戏和生活服务行业最为广泛，分别有 38.85%与 24.09% 的支付宝 SDK 嵌入了该类 App。具体分布情况如图 2 所示： 软件开发包（SDK）安全与合规报告（2020） 6 （数据来源：北京智游网安科技有限公司（爱

22、加密） 图2 嵌入支付宝SDK的App分布情况 （3）推送类（3）推送类 推送类 SDK 因其多强调交互式体验的特点， 广泛应用于与用户互 动的场景中，目前常见的推送类 SDK 主要有小米推送、百度云推送、 个推推送、极光推送、Mob 推送等。嵌入此类 SDK 的 App 包括新闻资 讯、社交、地图、健康医疗、旅游出行类等 App，具体情况见表 3。 表 3 常见推送类 SDK 应用情况统计 SDK 名称名称主要业务功能主要业务功能简要介绍简要介绍 嵌入此类嵌入此类 SDK 的的 App 小米推送 主要实现消息推送 功能。 通过在云端与客户端 之间建立一条稳定、 可 靠的长连接， 为开发者 提

23、供向客户端应用实 时推送消息的服务， 有 效地帮助开发者触达 用户，提升 App 活跃 百度地图、快 手、 今日头条、 爱奇艺、 淘宝、 支付宝、 UC 浏 览器、QQ 音 乐、 高德地图、 拼多多、QQ 软件开发包（SDK）安全与合规报告（2020） 7 度。浏览器、滴滴 出行、酷狗音 乐等。 百度云推送 推送聊天消息、日程 提醒、活动预告、动 态、新版本更新等功 能。 一站式 App 信息推送 平台， 为企业和开发者 提供免费的消息推送 服务， 开发者可以通过 云推送向用户精准推 送通知和自定义消息 以提升用户留存率和 活跃度。 手机百度、百 度地图、爱奇 艺、蚂蜂窝、 聚美优品、我 查查

24、、 虎嗅网、 当当网等。 极光推送 多种消息类型、用户 和推送统计、短信补 充、A/B 测试、可定 制的私有云等功能。 为超过 50 万移动开发 者和145.2万款移动应 用提供服务， 其开发工 具包 （SDK） 安装量累 计 336 亿， 月度独立活 跃移动终端13.6亿部。 珍爱网、酷狗 铃声、浮浮雷 达、福建移动 （八闽生活） 、 格力、广州地 铁、顺丰、土 巴兔、探探、 快看漫画、汽 车之家、网易 新闻、 搬运帮、 墨迹天气、翼 支付、 去哪儿、 平安好医生、 银联商务等。 个推推送 向其用户推送各类 消息，结合精准的用 户画像分析，给合适 的用户在合适场景 下推送合适的内容。 各行业

25、提供大数据解 决方案， 服务于数十万 App，覆盖数十亿移动 终端。 人民日报、新 华社、CCTV、 新浪微博、京 东、 网易新闻、 滴滴出行等。 Mob 推送 Sharesdk、Smssdk、 Moblink、Mobpush、 秒验、mob 云验证等 以数据应用为主导， 融 合大数据、 云计算、 人 工智能等技术，SDK 绿地集团、龙 珠直播、无他 相机、中国电 软件开发包（SDK）安全与合规报告（2020） 8 功能。下载数量超 370 万， 日 活用户超 2.5 亿。 信等。 以极光推送SDK为例，极光推送SDK嵌入的App主要集中在金融和 生活服务类App，比例接近一半。具体分布情况如

26、图3所示： （数据来源：北京智游网安科技有限公司（爱加密） 图3 嵌入极光推送SDK的App分布情况 （4）广告类（4）广告类 广告类 SDK 提供的服务多为程序化广告， 用以实现精准营销和推 广。目前，国内市场上提供移动广告相关的 SDK 平台众多，主流的有 广点通、多盟、TalkingData、有米等。由于 App 普遍具有广告投放 推广需求，嵌入广告类 SDK 的 App 涵盖多个类别，具体情况见表 4。 表 4 常见广告类 SDK 应用情况统计 软件开发包（SDK）安全与合规报告（2020） 9 SDK 名称名称主要业务功能主要业务功能简要介绍简要介绍 嵌入此类嵌入此类 SDK 的的

27、App 广点通 主要实现广告 投 放 相 关 功 能。 为 App 开发者提供广点 通投放系统，通过广点 通，用户可在平台多个广 告位上进行应用以及应 用活动相关的精准推广。 欢乐淘、楚楚街、 沪江教育、妈妈 圈、十句话战仙、 神仙道、时空猎 人、美丽说等。 多盟 主要实现广告 投放、营销等 相关功能。 专注移动智能营销，提供 程序化广告、数据营销、 代理广告等服务。 中国银行、渣打 银行、中国电信、 招商银行、中国 移动等。 TalkingData 主要实现应用 统计分析、游 戏运营分析、 小程序统计分 析等功能。 以 SmartDP 为核心的数 据智能应用生态为企业 赋能，帮助企业逐步实现

28、 以数据为驱动力的数字 化转型。 腾讯、百度、网 易、搜狐、360、 Google 、 Yahoo 等。 有米 主要实现广告 推广功能。 提供 App 推广、ASO 优 化、出海营销、整合营销 以及广告数据洞察等专 业服务， 满足游戏、 电商、 网服、教育、美妆等行业 客户的推广需求。 封面新闻、晶报 传媒、网易智造、 Kappa 、溢 米辅 导、龙之谷等。 InMobi 主要实现个性 化广告功能。 全球化的移动广告平台， 覆盖超过15 亿移动设备， 每月广告请求超过 2000 亿。 天使纪元、少年 三国志、狂暴之 翼等。 以 InMobi SDK 为例，嵌入该 SDK 的 App 中，6 成

29、以上分布在游 戏行业；其次是生活服务行业，占有 13.91%。具体分布情况如图 4 所示： 软件开发包（SDK）安全与合规报告（2020） 10 （数据来源：北京智游网安科技有限公司（爱加密） 图4 嵌入 InMobi SDK的App分布情况 （5）统计分析类（5）统计分析类 数据统计分析类 SDK 作为一类较不易为用户感知的 SDK，对 App 的运营和统计分析提供支撑作用。目前，常见的数据统计分析类 SDK 包括友盟、海度云、贵士移动等。嵌入此类 SDK 的 App 也广泛来自各 领域，且不乏各领域的头部 App，具体情况见表 5。 表 5 常见数据分析类 SDK 应用情况统计 SDK 名

30、称名称主要业务功能主要业务功能简要介绍简要介绍 嵌入此类嵌入此类 SDK 的的 App 友盟 主要包括移动统 计、应用统计、 游戏统计、移动 广 告 监 测 等 功 能。 结合实时更新的全域数据 资源，挖掘出 15,000+客群 标签、输出 300+应用或行 业的分析指标，通过 AI 赋 能的一站式互联网数据产 品与服务体系。 微博、阿里 云 、 Kantar Worldpanel、 优酷、迈外 迪、酷云互 动、讯码科 技、云房数 据、飞猪、 Marketin、淘 软件开发包（SDK）安全与合规报告（2020） 11 票票、PP 助 手、钉钉、豌 豆荚、 掌慧纵 盈等。 贵士移动 TRUTH

31、移 动 互 联网标准数据库 系列、 TRUTH-Plus生 态 流 量 服 务 、 DATAMINING 数据挖掘分析服 务。 帮助客户了解市场发展趋 势和行业竞争格局， 通过理 解用户特征和全景画像优 化自身运营效率， 另一方面 也可以帮助客户前瞻性地 发现市场机会， 找到具有增 长潜力的赛道和值得投资 的领域。 百度、 蚂蚁金 服、中国平 安、顺丰速 运、腾讯、华 为、 苏宁易购 等。 海度云 主要包括移动应 用统计、网站统 计、渠道分析等 功能。 帮助客户了解市场发展趋 势和行业竞争格局， 优化自 身运营效率， 帮助客户发现 市场机会， 日接受移动数据 量超过 150 亿。 YY、ME

32、直 播 、 100 教 育、环球网 校、无忧英 语、邢帅教 育、 闲趣网络 等。 （6）地图类（6）地图类 地图类 SDK 帮助开发者实现地图数据的调用及相关服务的实现。 目前，常见地图类 SDK 主要包括百度地图、高德地图、腾讯地图等。 嵌入此类 SDK 的 App 多为旅游出行、电商购物、物流、外卖等，具体 情况见表 6。 表 6 常见地图类 SDK 应用情况统计 SDK 名称名称主要业务功能主要业务功能简要介绍简要介绍 嵌入此类嵌入此类 SDK 的的 App 百度地图 主要有地图、定位、搜 索、轨迹、导航、路线 提供手机端、PC 端、 智能穿戴设备的地图 摩拜单车、e 袋洗、点到、 软件

33、开发包（SDK）安全与合规报告（2020） 12 规划、路况等功能。展示能力，在多个行 业场景中可以配置个 性的地图展示效果。 德邦、苏宁易 购、货拉拉、 唯品会等。 高德地图 主要有地图、定位、导 航、路线规划、搜索、 自定义地图和数据可视 化等功能。 LBS 服务提供商，服 务超过三十万款移动 应用，日均处理定位 请求及路径规划数百 亿次。 首汽约车、易 到、 神州专车、 曹操专车、嘀 嗒出行、饿了 么等。 腾讯地图 主要有定位、 地图展示、 地点搜索、路线规划、 导航和室内图等功能。 基于 Android 4.1 及以 上版本设备的应用程 序接口， 通过该接口， 可以轻松的使用腾讯 地图

34、定位服务。 京东、中国邮 政、新达达、 汇通天下、滴 滴出行、美团 外卖、 快手等。 3. 第三方 SDK 的应用特点分析 从第三方 SDK 应用情况来看，主要呈现以下三个特点： 一是 App 使用第三方 SDK 已成为普遍现象。根据爱加密发布的 2020 年 Q1 全国移动 App 安全态势研究报告 ， 截至 2020 年 3 月底， 爱加密大数据中心已收录 Android 应用超过 315 万款， iOS 应用超过 300 万款，其中 29.46%的应用嵌入了 SDK，近 5 成都是框架类 SDK。 从嵌入第三方 SDK 的 App 所处行业类型来看，游戏类嵌入 SDK 的 App 数量最

35、多，占比为 23.85%，其次是生活服务类 App，占比为 18.16%； 位列第三的是教育类 App，占比为 15.46%，详见图 52。可以说，SDK 已成为与 App 相生相依的重要伙伴， 也同时成为了整个移动互联网生 态中极其关键的一环。 2 爱加密 2020 年 Q1全国移动 App 安全态势研究报告。 软件开发包（SDK）安全与合规报告（2020） 13 图5 各类型App嵌入SDK占比情况 二是各类别App平均使用第三方SDK的数量在10个以上。 随着第三 方SDK种类及数量的不断增多， 不少App开发者由于开发时间和成本有 限，大量使用第三方SDK进行代码集成。如图6所示，根据

36、CSDN社区专 业人士利用SDK分析工具，针对1000多款主流App使用SDK情况得出的 统计数据 3，各类别App使用第三方SDK平均在10个以上，最高可达平 均30.6个/类。平均使用第三方SDK个数超过20个的App类型有8类。 3 2019 年 7 月 20 日。 软件开发包（SDK）安全与合规报告（2020） 14 （数据来源：CSDN“IT东”博客的SDK分析工具） 图6App中使用第三方SDK的数量分布图 三是第三方SDK功能逐渐多样化，应用于不同领域的大量App中。 目前，市场上的第三方SDK提供者已不再局限于开发功能单一的SDK， 而是将SDK功能从纵向和横向不断延伸，从而应

37、用于不同领域的大量 App中。 以推送类SDK提供者为例， 除了不断完善基于用户画像的实时、 智能、多场景下的精准推送外，往往会同步对产品运营情况进行统计 分析，帮助App进行产品优化升级，甚至部分SDK提供者还同步推出了 登录验证功能。随着第三方SDK功能的不断强大并逐渐多样化，其应 用市场的规模将持续扩大，市场前景持续看好。可以说，第三方SDK 已成为事实上链接各类业务功能App的数据枢纽，有机会获取来自各 类App不同业务场景下多类别的个人信息。 软件开发包（SDK）安全与合规报告（2020） 15 （二）第三方 SDK 安全标准化现状（二）第三方 SDK 安全标准化现状 1已发布标准情

38、况 目前，涉及第三方SDK安全的，比较有代表性的标准包括国家标 准GB/T 35273-2020 信息安全技术 个人信息安全规范，以及金 融行业标准JR/T 0171-2020 个人金融信息保护技术规范。 国家标准GB/T 35273-2020 信息安全技术 个人信息安全规范 第 9.6 条要求： “如个人信息控制者在提供产品或服务的过程中部署 了收集个人信息的第三方插件（例如，网站经营者与在其网页或应用 程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接 口），且该第三方并未单独向个人信息主体征得收集个人信息的授权 同意， 则个人信息控制者与该第三方在个人信息收集阶段为共同

39、个人 信息控制者”。 金融行业标准JR/T 0171-2020 个人金融信息保护技术规范 第6.1.4.2条h）项要求使用外部嵌入或接入的自动化工具（如代码、 脚本、 接口、 算法模型、 软件开发工具包等） 进行信息共享与转让时， 应定期检查或评估信息共享工具、 服务组件和共享通道的安全性和可 靠性，并留存检查或评估结果记录；第6.1.4.4条f）项要求应对外部 嵌入或接入的自动化工具（如代码、脚本、接口、算法模型、软件开 发工具包等）开展技术检测，确保其个人金融信息收集、使用行为符 合约定要求；并对其收集个人金融信息的行为进行审计，发现超出约 定行为及时切断接入。 第6.2.3条则对与个人金

40、融信息相关的SDK应当 符合的安全要求作出了规定： 与个人金融信息相关的客户端应用软件 软件开发包（SDK）安全与合规报告（2020） 16 及应用软件开发工具包 （SDK） 应符合JR/T 0092-2019、 JR/T 0068-2020 客户端应用软件有关安全技术要求，并在上线前进行安全评估。 2020年3月信安标委秘书处发布的网络安全标准实践指南移 动互联网应用程序（App）收集使用个人信息自评估指南中也强调 根据消费者权益保护法第29条规定，经营者收集、使用消费者个 人信息，“应当公开其收集、使用规则”， App开发者则应“逐一列 出App（包括委托的第三方或嵌入的第三方代码、插件）

41、收集使用个 人信息的目的、方式、范围等”，特别是“如App嵌入了第三方代码、 插件（如SDK）收集个人信息，应说明第三方类型，以及收集个人信 息的目的、类型、方式，说明方式包括隐私政策、弹窗提示、文字备 注、文本链接等。如委托的第三方或嵌入的第三方代码、插件直接将 个人信息传输至境外的，应明确说明跨境传输个人信息的目的、类型 和接收方等。”而SDK作为目前市场上App中最为常见的第三方接入方 式，也应适用于上述规范性文件中关于第三方的规定。 2在研标准情况 自去年以来，第三方SDK安全受到各方关注，专门研究第三方SDK 安全的标准项目也相继启动。通信行业标准方面，2019年共立项两个 相关行业标准项目，分别是移动应用软件SDK安全技术要求和测试 方法和移动应用SDK安全指南，前者在移动应用软件SDK安全威 胁的基础上，依据国家相关法规，结合移动应用软件和第三方SDK行 业发