(网经社讯)网经社电子商务研究中心数字生活分析师陈礼腾对《中国经营报》记者表示
1.此次通报的产品中有不少知名App及运营商。其一,这反映出部分头部企业存在合规意识与能力不匹配的情况,虽有技术资源,但因业务扩张或管理疏漏,忽略了合规细节。其二,在监管日益严格的大背景下,典型示范作用显著,网信办选择通报知名企业,打破了公众“大企业更安全”的固有认知,促使行业形成“合规即竞争力”的共识。此外,SDK提供商的违规行为也暴露出App运营者对第三方组件审查不力的问题,未来应强化“责任共担”机制,比如要求SDK通过安全认证后再接入。
2.数据收集透明度缺失是核心漏洞之一,部分App未逐一列出嵌入的SDK,也未明确说明收集个人信息的目的、方式和范围,这直接违反了《个人信息保护法》中的“告知—同意”原则。用户无法知晓数据流向,为SDK暗中采集设备指纹、位置等敏感信息提供了可乘之机,甚至可能引发非法数据共享或滥用。其次,最小必要原则的失效进一步加剧了风险,例如天气类App索取通讯录权限等超范围收集行为,可能通过SDK过度索权扩大数据采集范围,增加用户隐私暴露面。此外,SDK集成风险不容忽视,第三方SDK可能成为攻击入口,若未通过安全审计,可能存在恶意代码或漏洞(如未加密传输),导致用户数据在传输或存储过程中被窃取。最后,权利响应机制缺位使得用户无法有效行使删除权、更正权等个人信息权利,一旦发生数据泄露,用户难以及时止损,企业也面临合规处罚风险。
3.企业应在App和SDK开发阶段贯彻隐私设计原则,将数据最小化、加密存储等要求融入架构设计,建立SDK安全评估体系,采用权限动态管理机制,按需申请权限。运营阶段需部署监控系统实时监测异常数据访问行为,定期开展合规审计,建立用户权利响应系统,自动化处理删除、更正等请求,以确保用户权利得到充分保障。
