據人民網報道，日前，中央網信辦、工業和信息化部等四部門聯合發布《關于開展2025年個人信息保護系列專項行動的公告》，對APP、SDK違法違規收集使用個人信息等問題開展治理。近期，共發現會計云課堂、小小學英語等24款APP及SDK存在侵害用戶權益行為。

如今，許多APP在安裝時要求用戶授予一攬子權限，從通訊錄到攝像頭等，形成“全有或全無”的選擇困境。

APP及SDK已深入大眾生活日常

移動應用程序（APP）及其軟件開發工具包（SDK）已成為現代社會基礎設施的重要組成部分。從清晨喚醒的鬧鐘應用，到通勤時使用的導航軟件；從工作中的協同辦公平臺，到社交娛樂時的即時通訊工具；從便捷的移動支付，到智能家居的控制中心——APP已滲透到人們生活的每一個角落。據統計，截至2023年初我國在架APP數量已達258萬款。

一份行業研究報告顯示，被100款以上APP所集成的第三方SDK已超3萬款。這些SDK如同數字世界的“螺絲釘”，將復雜的技術能力封裝成簡單接口，大幅降低了開發門檻，促進了移動互聯網生態的繁榮。

APP隱患威脅用戶信息與設備安全

SDK作為深度嵌入APP的代碼模塊，往往具有與宿主APP相近的權限級別，潛藏多重安全隱患。

一是系統化竊取用戶隱私。例如，某閱讀類APP集成的廣告SDK會在后臺靜默收集用戶安裝應用列表、設備識別碼、瀏覽記錄等個人信息，并加密傳輸至遠程服務器。

二是權限過度申請成為常態，敏感數據泄露風險加劇。例如，一款手電筒應用要求獲取通訊錄權限，一款計算器應用要求獲取精確位置權限，這些權限與核心功能毫無關聯。

三是版本更新不及時，安全風險長期固化。以某款下載量超過百萬的教育類APP為例，其集成的推送SDK版本為兩年前發布，存在至少3個已公開的高危漏洞。開發者對SDK更新的忽視，部分則是由于缺乏持續的安全維護機制。

多主體協同筑牢APP及SDK信息安全防線

面對APP及SDK的安全挑戰，單一政策或技術手段已難以應對，必須建立多主體協同治理體系。

監管部門正在從“事后處置”向“事前預防、事中監督”轉變，建立更為系統的治理框架。自2023年起，工信部已建立全國統一的移動互聯網應用程序備案管理系統，要求所有APP進行備案登記，明確責任主體。

企業必須落實主體責任，建立全生命周期安全管理。應用開發企業作為安全第一責任人，需從設計源頭融入安全理念。在技術層面，應嚴格遵循“最小必要”原則，僅申請與功能直接相關的權限，并在隱私政策中清晰說明數據收集范圍和使用目的。

作為APP分發的主要渠道，應用商店是重要的“看門人”。主流應用商店已開始建立更為嚴格的上架審核機制，對申請上架的APP進行自動化安全檢測和人工復核。

終端用戶是安全鏈條的最后一環，也是最重要的防護節點。監管部門可聯合媒體平臺制作通俗易懂的科普內容，教會用戶識別風險權限、管理應用權限、了解隱私設置。手機廠商可優化權限管理界面，提供更直觀的風險提示。例如，小米MIUI系統會在應用請求敏感權限時，明確告知該權限可能帶來的風險，幫助用戶做出知情選擇。