（記者　張?zhí)K慧）據(jù)人民網(wǎng)報(bào)道，據(jù)“工信微報(bào)”消息，按照中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局等四部門聯(lián)合發(fā)布的《關(guān)于開展2025年個(gè)人信息保護(hù)系列專項(xiàng)行動(dòng)的公告》，依據(jù)《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，工業(yè)和信息化部對(duì)APP、SDK違法違規(guī)收集使用個(gè)人信息等問題開展治理。近期，經(jīng)組織第三方檢測(cè)機(jī)構(gòu)進(jìn)行抽查，共發(fā)現(xiàn)會(huì)計(jì)云課堂、小小學(xué)英語等24款A(yù)PP及SDK存在侵害用戶權(quán)益行為。

現(xiàn)如今，許多APP在安裝時(shí)要求用戶授予一攬子權(quán)限，從通訊錄、短信、相冊(cè)等個(gè)人數(shù)據(jù)，到攝像頭、麥克風(fēng)、定位等實(shí)時(shí)感知權(quán)限，形成“全有或全無”的選擇困境。

APP及SDK已深入大眾生活日常

在數(shù)字化浪潮席卷全球的當(dāng)下，移動(dòng)應(yīng)用程序（APP）及其軟件開發(fā)工具包（SDK）已成為現(xiàn)代社會(huì)基礎(chǔ)設(shè)施的重要組成部分。從清晨喚醒的鬧鐘應(yīng)用，到通勤時(shí)使用的導(dǎo)航軟件；從工作中的協(xié)同辦公平臺(tái)，到社交娛樂時(shí)的即時(shí)通訊工具；從便捷的移動(dòng)支付，到智能家居的控制中心——APP已滲透到人們生活的每一個(gè)角落。據(jù)統(tǒng)計(jì)，截至2023年初我國(guó)在架APP數(shù)量已達(dá)258萬款。

SDK作為APP的底層技術(shù)組件，其存在往往不為普通用戶所知，卻在幕后支撐著無數(shù)功能實(shí)現(xiàn)。身份核驗(yàn)、地圖定位、消息推送、數(shù)據(jù)統(tǒng)計(jì)、支付接入、廣告投放——這些看似簡(jiǎn)單的功能，多數(shù)都依賴于第三方SDK的集成。一份行業(yè)研究報(bào)告顯示，被100款以上APP所集成的第三方SDK已超3萬款。這些SDK如同數(shù)字世界的“螺絲釘”，將復(fù)雜的技術(shù)能力封裝成簡(jiǎn)單接口，大幅降低了開發(fā)門檻，促進(jìn)了移動(dòng)互聯(lián)網(wǎng)生態(tài)的繁榮。

APP隱患威脅用戶信息與設(shè)備安全

然而，這種繁榮背后潛藏著不容忽視的信息安全風(fēng)險(xiǎn)。SDK作為深度嵌入APP的代碼模塊，往往具有與宿主APP相近的權(quán)限級(jí)別，能夠訪問用戶設(shè)備中的敏感數(shù)據(jù)。此外，權(quán)限濫用問題同樣突出。

APP及SDK潛藏多重安全隱患：

一是系統(tǒng)化竊取用戶隱私。多款A(yù)PP集成的第三方SDK存在隱蔽的隱私收集行為。例如，某閱讀類APP集成的廣告SDK會(huì)在后臺(tái)靜默收集用戶安裝應(yīng)用列表、設(shè)備識(shí)別碼、瀏覽記錄等個(gè)人信息，并加密傳輸至遠(yuǎn)程服務(wù)器。

二是權(quán)限過度申請(qǐng)成為常態(tài)，敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)加劇。例如，一款手電筒應(yīng)用要求獲取通訊錄權(quán)限，一款計(jì)算器應(yīng)用要求獲取精確位置權(quán)限，這些權(quán)限與核心功能毫無關(guān)聯(lián)。更值得警惕的是，權(quán)限濫用往往與數(shù)據(jù)泄露事件直接相關(guān)。

三是版本更新不及時(shí)，安全風(fēng)險(xiǎn)長(zhǎng)期固化。以某款下載量超過百萬的教育類APP為例，其集成的推送SDK版本為兩年前發(fā)布，存在至少3個(gè)已公開的高危漏洞。開發(fā)者對(duì)SDK更新的忽視，部分源于對(duì)穩(wěn)定性的顧慮，部分則是由于缺乏持續(xù)的安全維護(hù)機(jī)制。

多主體協(xié)同筑牢APP，及SDK信息安全防線

（圖片來源：攝圖網(wǎng)）

面對(duì)APP及SDK的安全挑戰(zhàn)，單一政策或技術(shù)手段已難以應(yīng)對(duì)，必須建立涵蓋監(jiān)管部門、應(yīng)用商店、開發(fā)企業(yè)、安全廠商和終端用戶的多主體協(xié)同治理體系，形成全鏈條、可持續(xù)的安全防護(hù)機(jī)制。

監(jiān)管部門正在從“事后處置”向“事前預(yù)防、事中監(jiān)督”轉(zhuǎn)變，建立更為系統(tǒng)的治理框架。自2023年起，工信部已建立全國(guó)統(tǒng)一的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序備案管理系統(tǒng)，要求所有APP進(jìn)行備案登記，明確責(zé)任主體。工信部近年來持續(xù)升級(jí)全國(guó)APP檢測(cè)及認(rèn)證公共服務(wù)平臺(tái)，通過人工智能、大數(shù)據(jù)分析等技術(shù)實(shí)現(xiàn)對(duì)在架APP的動(dòng)態(tài)監(jiān)測(cè)。根據(jù)官方公開數(shù)據(jù)整理，自2019年至2025年上半年，工信部關(guān)于侵害用戶權(quán)益行為的APP（SDK）通報(bào)的數(shù)量達(dá)3136個(gè)，下架的數(shù)量為646個(gè)，“技術(shù)+制度”的雙輪驅(qū)動(dòng)模式，讓監(jiān)管效能大幅提升。工信部提出，下一步將構(gòu)建移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序公共服務(wù)平臺(tái)，通過區(qū)塊鏈等可溯源技術(shù)實(shí)現(xiàn)APP全生命周期管理。

企業(yè)必須落實(shí)主體責(zé)任，建立全生命周期安全管理。應(yīng)用開發(fā)企業(yè)作為安全第一責(zé)任人，需從設(shè)計(jì)源頭融入安全理念。在技術(shù)層面，應(yīng)嚴(yán)格遵循“最小必要”原則，僅申請(qǐng)與功能直接相關(guān)的權(quán)限，并在隱私政策中清晰說明數(shù)據(jù)收集范圍和使用目的。在管理層面，需建立第三方SDK準(zhǔn)入審核機(jī)制，對(duì)擬集成的SDK進(jìn)行安全評(píng)估，并定期對(duì)已集成的SDK進(jìn)行安全審計(jì)。此外，企業(yè)應(yīng)當(dāng)建立應(yīng)急響應(yīng)機(jī)制，在發(fā)現(xiàn)SDK漏洞時(shí)能夠快速推出修復(fù)更新。

作為APP分發(fā)的主要渠道，應(yīng)用商店是重要的“看門人”。主流應(yīng)用商店已開始建立更為嚴(yán)格的上架審核機(jī)制，對(duì)申請(qǐng)上架的APP進(jìn)行自動(dòng)化安全檢測(cè)和人工復(fù)核。以智能手機(jī)廠商OPPO為例，其軟件商店建立了覆蓋“審核-上架-巡查”的全流程風(fēng)控體系：每款A(yù)PP上架前需經(jīng)過5大方向15項(xiàng)自動(dòng)化檢測(cè)與147項(xiàng)人工檢測(cè)，對(duì)廣告彈窗、權(quán)限索取等行為實(shí)施嚴(yán)格管控。

終端用戶是安全鏈條的最后一環(huán)，也是最重要的防護(hù)節(jié)點(diǎn)。調(diào)查顯示，超過70%的用戶在選擇APP時(shí)不會(huì)查看權(quán)限要求，60%的用戶不會(huì)閱讀隱私政策。這種現(xiàn)狀為違規(guī)行為提供了生存空間。因此，必須加強(qiáng)用戶教育，通過多種渠道提升公眾的數(shù)字素養(yǎng)。監(jiān)管部門可聯(lián)合媒體平臺(tái)制作通俗易懂的科普內(nèi)容，教會(huì)用戶識(shí)別風(fēng)險(xiǎn)權(quán)限、管理應(yīng)用權(quán)限、了解隱私設(shè)置。教育部門可將數(shù)字安全教育納入課程體系，從青少年時(shí)期培養(yǎng)良好的使用習(xí)慣。在技術(shù)層面，手機(jī)廠商可優(yōu)化權(quán)限管理界面，提供更直觀的風(fēng)險(xiǎn)提示。例如，小米MIUI系統(tǒng)會(huì)在應(yīng)用請(qǐng)求敏感權(quán)限時(shí)，明確告知該權(quán)限可能帶來的風(fēng)險(xiǎn)，幫助用戶做出知情選擇。