移動支付網(wǎng) 作者 偉辰：7月16日，2020年315晚會再次提到手機超限違規(guī)收集個人信息情況。據(jù)央視報道，上海市消費者權益保護委員會委托第三方對市場上的App進行檢測，發(fā)現(xiàn)某些第三方開發(fā)的SDK包存在違規(guī)收集用戶個人信息的情況。

SDK是Software Development Kit的縮寫，即“軟件開發(fā)工具包”。簡單來說，它是輔助開發(fā)某一類應用軟件的相關文檔、范例和工具的集合。對App來說，可以將某項功能交給第三方來開發(fā)以縮短周期。

據(jù)移動支付網(wǎng)了解，具備強大功能的第三方SDK廣泛應用在大量App的設計開發(fā)階段，成為整個手機軟件供應鏈中不可或缺的一部分。

上海市消費者協(xié)會權益保護委員會檢測了50多款App，這些App中帶有兩家公司的SDK：上海氪信信息技術有限公司、北京招彩旺旺信息技術有限公司。而50多款App中包含大量的金融App，如：國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等等。

在上海市消費者協(xié)會權益保護委員會的調(diào)查當中，第三方SDK除了收集用戶手機號碼、設備信息之外，還會收集用戶手機通訊錄、短信信息、傳感器信息等用戶隱私信息。在采集之后還會發(fā)送至指定服務器進行存儲。

北京招彩旺旺信息技術有限公司開發(fā)的SDK甚至會收集并上傳用戶手機中的短信內(nèi)容，帶有驗證碼的短信同樣會被采集上傳。

短信驗證碼是目前手機App驗證用戶身份的重要手段，通過短信驗證碼可以完成開通業(yè)務、支付款項、修改密碼、修改綁定郵箱等敏感操作。在掌握手機號碼的前提下，可以無密碼登陸，只要有系統(tǒng)發(fā)送的驗證碼，就可以快速登陸。

短信驗證碼一旦泄露可能帶來極為嚴重的財務損失。多地警方陸續(xù)破獲使用“偽基站2.0”盜取短信驗證碼，進而通過各大銀行、網(wǎng)站、移動支付App，實現(xiàn)信息竊取、資金盜刷和網(wǎng)絡詐騙等犯罪。

去年1月，中央網(wǎng)信辦、工信部、公安部、國家市場監(jiān)督管理總局四部門聯(lián)合發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》，成立了App違法違規(guī)收集使用個人信息專項治理工作組。

在隨后的幾個月時間里，仿冒App、過度索權、賬戶注銷難、霸王隱私政策等問題得到了社會各界的廣泛關注。在這段時間里《App違法違規(guī)收集使用個人信息行為認定方法(征求意見稿)》、《移動互聯(lián)網(wǎng)應用基本業(yè)務功能必要信息規(guī)范》等文件相繼出爐。

在一系列文件出爐的同時，公安部、國家網(wǎng)信辦、工信部等監(jiān)管部門開始了違法違規(guī)App“點名”，2019年下半年幾乎每個月都會有一批違法違規(guī)App被曝光。

去年11月，央行下發(fā)了《關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》（237號文），并隨通知發(fā)布了《移動金融客戶端應用軟件安全管理規(guī)范》。在規(guī)范中，對移動客戶端的身份認證安全、邏輯安全、安全功能設計、密碼算法及密鑰管理、數(shù)據(jù)安全都做出了要求。

在今年2月，央行發(fā)布了《個人金融信息保護技術規(guī)范》，并在其中強調(diào)，個人金融信息相關的客戶端應用軟件及應用軟件開發(fā)工具包（SDK）應符合《移動金融客戶端應用軟件安全管理規(guī)范》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》客戶端應用軟件有關安全技術要求。