315 曝光 SDK 事件，中国互金协会：防范第三方软件开发工具包风险隐患

IT之家8月1日消息 今日，中国互联网金融协会发布了《关于防范第三方 SDK 风险隐患的提示》。

提示指出，央视在近期举办的 2020 年 “3·15”晚会报道了 SDK（Software Development Kit，即 “软件开发工具包”）违规超限收集用户个人信息的现象。中国互联网金融协会（以下简称协会）在近期开展的移动金融客户端应用软件（以下简称客户端软件）备案工作中也发现，客户端软件使用第三方 SDK 较为普遍。

经分析，SDK 虽然提升了客户端软件的应用部署效率，但也暴露出一些需引起重视的问题，主要包括：隐私政策中未逐一列出第三方 SDK 收集使用个人信息的目的、方式、范围等内容；第三方 SDK 使用权限超出用户授权范围；第三方 SDK 超出业务功能实际需要被高频调用等。

IT之家了解到，为此，中国互联网金融协会提醒称：各提供客户端软件的金融从业机构和外部评估机构，应高度重视第三方 SDK 存在安全隐患的问题，认真排查客户端软件中嵌入第三方代码或 SDK 是否存在违规超限收集用户个人信息的情况，并严格遵照《中华人民共和国网络安全法》、《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）、《个人金融信息保护技术规范》(JR/T 0171—2020)等个人信息保护要求，落实安全防护措施，切实保障用户个人信息和财产安全。