• 16675644625
珠海app开发人员使用SDK合规性建议
作者:浪马峰科技 / 2019-09-18 14:37 / 浏览次数:
珠海app开发人员使用SDK合规性建议

SDK是辅助某一类应用程序开发的相关文档,是范例和工具的集合,APP开发人员为了提供开发效率,为了降低成本,在软件中多嵌入第三方SDK.SDK类型:消息推类、数据统计分析类、第三方登录类;包括支付类、地图导航类、社交共享类、风控插件以及所有的基础库等。常见的推送类SDK为Aurora推送,Mob推送;数据统计分析类SDK有友盟;第3者登录共有类SDK为WeChat登录共享,QQ登录共享;支付类SDK为WeChat支付,支付宝、银联支付;地图导航类SDK为百度地图,高德地图。

2019年1月25日,中央网络通信、工信部、公安部、市场监督总局4个部门共同在APP违法违规收集中开展了使用个人信息的特别管理。随着APP个人信息保护管理工作的深入推进,与APP存在密切关系的第三方软件开发包(SDK)的个人信息收集问题也逐渐进入各方面的视野。今年7月,一些行业头部APP被曝光,因为他们没有告知用户SDK以隐私策略向用户SDK收集用户个人信息规则。

第三方SDK提供商和APP开发人员通过SDK供应商的开放平台在线签署开发人员服务协议,并承诺双方权利的义务。获取通过“背对背授权”收集用户数据的权利,SDK在收集用户个人信息时,实际上与APP同步收集,不需要通过APP共享。另外,SDK可以使用应用中申请的所有操作系统的权限,可能存在“希契凯克”多余地收集个人信息的情况。在Android系统中,只要宿主应用程序具有公共存储的读取权限,SDK就可以读取其他APP的存储数据。由于SDK数据收集和处理活动缺乏透明性,用户往往难以察觉,APP开发者也不一定完全知道。同时,各类SDK功能逐渐多样化,应用于不同领域,有在各类APP不同业务场景中获得多种个人信息的机会,由于可以达到相同个体标签数的200万之多,因此该数据在挖掘潜力和泄漏后所带来的危害都远远大于APP本身。对SDK的法规遵从性远远不及APP开发者。

根据“数据安全管理办法”(征求意见稿)的要求,网络运营商应明确与其平台相关的第三方应用程序的数据安全要求和责任,并监督第三方应用程序运营商加强数据安全管理。如果数据安全事件发生在第三方应用程序中并给用户造成损失,除非网络运营商能够证明没有错误,否则网络运营商应承担部分或全部责任。因此,应用程序开发人员应该管理第三方SDK的访问,否则SDK数据安全事件,不能证明他们没有错,需要承担部分或全部责任。

1、选择SDK
选择第三方制造的SDK时,根据对应的功能和性能要求,不需要只考虑价格问题。另外,也有必要考虑安全上的问题。关于SDK的申请及使用的所有权限,您只需要满足APP开发人员所需的功能。超过APP使用的功能后,即使功能合理,也需要进行修剪。替代方案应该在不收集个人信息或不使用机密权利的情况下实现所希望的功能的情况下被采用。有必要对SDK固有的机密信息进行个别管理。我们需要进行严密的控制。对SDK在国家安全水平上进行保护的评估测试和申报,检查是否达到国际信息安全管理体系等国际机构认证标准的要求,获得相应的认证。

2、个人信息安全影响
在访问第三方SDK之前应开展个人信息安全影响评价(PIA),并根据评估结果采取有效的保护个人信息主体的措施。PIA可以通过SDK数据接收方的基本状况、数据收集的目的、类型、目的达成不收集数据或者删除数据来达成,数据可能给个人信息主体的侵害;必须综合考虑数据的社会和个人的潜在收益和风险。为了收集数据的限制、数据收集的持续性、暂时的数据收集、数据的收集是否已经达成,是否需要继续收集数据,为了收集数据,判断是否收集数据,是否有法律上的限制和其他因素。具备独自的网络安全和数据保护功能,对PIA进行动态再研究,确认是否有新的变化。
 
3、用户同意
《SDK安全与合规白皮书》中,SDK以独自的名义向用户提供服务,通过启动SDK接口,有时会启动或开始用户安装的另一个APP的服务。这是因为第三方的SDK提供商有机会公开自己的品牌。用户使用的企业实际提供的特定服务可以明显地被感知到,三重权限原则,即用户认证平台允许用户的许可,从而解决合法性问题。

4、安全评估
对第三方SDK进行代码审核和漏洞检查,通过SDK反编译,评估出狱可靠性、代码质量、潜在安全风险。针对SDK所申请的敏感隐私权限,采集用户个人信息的字段、频率、转发服务端的场面等,进行安全评价,确保将SDK部署所需的权限降至最低。对SDK权限的申请和获取进行了限制,例如Android系统统一进行APP的权限声明,禁止SDK热更新(如果热进一步影响SDK性能,对SDK有必要发出自主声明)等。注意SDK部署的安全和版本更新,及时修复安全问题并更新代码。对导入了SDK的代码进行了混淆保护,外壳,加密等处理。
 
5、供应商管理制度
在网络安全级别的保护评估测试要件或国际信息安全管理体系中,有供应商管理要求。APP开发者在第三方SDK签订的服务合同或安全责任书中,应明确后期的技术支持和服务承诺等内容,明确双方的安全责任及应实施的个人信息安全措施,包括信息安全风险处理要求。同意信息安全要求,制作文件。有必要定期监视、确认和确认SDK的服务。

其他SDK用户在收集用户信息时无明显感知。由于第三方SDK不直接面向用户,需要APP开发人员通知用户(如增加通知链接,弹出窗口,更改隐私政策等)并取得使用者的「同意」。应用程序开发人员可以在使用Cookie或类似技术时加入SDK的使用,以告知用户收集个人信息的目的。数据采集的类型,当涉及到敏感信息时,还需要告知接收方其身份和数据安全能力,并在明示同意的情况下,甚至可以直接增加第三方SDK隐私策略链接..并在用户撤回同意后,帮助用户删除第三方SDK中的相关数据。

App开发者基于合同相对性,对于第三者SDK收集用户个人信息使用时,有必要对用户承担契约法下的违约责任以及网络安全法下的行政责任,同时有义务将各顺应性义务传达给第三者SDK提供者。

在实际中,阿里系列企业也将要求其服务提供商在获得ISO27000系统认证后获得相应的认证。腾讯的微信登录今年增加了随机化身、随机别名登录,微信微型节目ID是独立的,同一用户在不同的小程序ID中不同,将第三方降低到数据相关度,保护用户的个人信息。

本文由珠海浪马峰科技整理编辑,详情链接地址为:http://www.lmfkj.cn/a/xwdt/ssxw/640.html
【浪马峰业务】网站建设、网站设计、服务器空间租售、网站维护、网站托管、网站优化、百度推广、微信公众号
如有意向---联系我们
热门栏目
热门资讯

网站建设 成功案例 新闻动态 关于我们 联系我们

备案号:粤ICP备19065969号-3 

公司地址:珠海市香洲区敬业路51号A栋三层3-6室 咨询QQ:2254581916 手机:16675644625 电话:0756-8588358