谁接入谁担责 数据安全不能是“甩锅游戏”

你的手机里可能住着“小偷”？近日，中央网信办通报了墨迹天气TV版、医家等15款App及CTP穿透采集、金仕达穿透采集等16款SDK违规收集个人信息的问题，直指这些App（应用程序）未明确公示其嵌入的第三方SDK（软件开发工具包）信息，而SDK则存在规则缺失、投诉无门等乱象。对普通用户而言，App与SDK的互相推诿责任，更让用户隐私沦为难以监管的盲区。那么，App与SDK，谁是“真凶”？

App大家都不陌生，就是我们日常使用的软件，如天气查询、医疗健康服务等；而本次通报中重点提及的SDK，则是由第三方提供的“代码模块”，它就像工具箱里的不同工具，App开发商会根据不同需要接入多个不同功能的SDK，当我们被App索要各种授权时，就有可能被这些隐藏在后台的SDK“暗度陈仓”。比如，某医疗App声称“仅收集必要健康数据”，但其接入的SDK却擅自调用了通讯录权限，有的甚至还在读取了用户隐私信息后“悄悄地”将数据传送到指定的服务器存储起来，当用户有网络交易的验证码被获取，就极有可能造成严重的经济损失，而这个时候，App运营者往往会以“技术黑箱”为由推责，用户则因信息不对等陷入维权困境。

对此，国家计算机病毒中心早在2019年就发布了《移动App违法违规问题及治理举措》，指出App和SDK存在的六大类问题，其中就包括了涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私等。社交平台上，也一直有软件开发领域的相关从业人员呼吁重视SDK侵犯用户隐私的问题，但一直未引起公众的足够重视。

2020年央视“3·15”晚会，曝光了两家公司的SDK插件嵌入50余款App偷偷窃取用户隐私的行为，将这个问题由幕后推向了前台。当年发布的《网络安全标准实践指南》明确了App提供者是个人信息保护的首要责任人，SDK提供者按使用方式承担相应责任，但这只是一份“建议”，无法起到有力的约束效果。2021年《中华人民共和国个人信息保护法》才明确要求处理个人信息需“知情同意”，但相关责任划分仍模糊。直到今年3月，四部门联合专项行动将SDK单独列为治理对象，要求其提供规则说明、投诉渠道并禁止超范围采集，而本月的通报正是该行动的落地体现，15天整改期与后续处罚措施彰显了执法决心。

此次中央网信办的通报不仅是“问题曝光”，更是对行业责任的呼吁。当技术复杂性与用户权益保护产生冲突时，唯有通过明确的“硬规则”切断推诿责任的可能，才能让隐私安全从“甩锅游戏”回归“责任契约”。用户的每一次点击授权，都不应成为数据黑产的“通行证”——这既是监管的使命，更是数字时代的基本底线。

（文丨段译 编辑丨赵静）

（央视新闻客户端）