夜雨聆风5月21日,工信部发布了一则通报:31款App及SDK存在违规收集个人信息的问题,要求相关企业限期整改。
这次通报有一个细节值得注意——不只是App被点名,SDK也被单独列出来了。第三方软件开发工具包,正在成为隐私泄露的重要入口。
SDK是什么?为什么它比App更危险?
你可能不知道,你手机里安装的很多App,其实"身不由己"。
一款天气App,核心功能是查天气。但它集成了广告SDK、推送SDK、统计SDK——这些第三方模块让App的开发者能够"站在巨人的肩膀上",不用自己从零开发。但代价是:这些SDK有能力访问App能访问的一切数据。
比如,某广告SDK在后台静默收集用户安装应用列表、设备识别码、浏览记录,加密传输到远程服务器。这些行为,App开发者自己可能都不完全知情——因为SDK的代码是第三方的,开发者只是"集成",并不完全掌握SDK内部做了什么。
这就是为什么工信部要专门把SDK拎出来通报:问题不在于"App本身",而在于App里"寄生的第三方模块"。
这次通报的核心问题
根据通报,31款App及SDK主要存在两类问题:
第一类:违规收集个人信息
包括但不限于:过度索取定位权限、在用户不知情时后台收集位置信息、读取通讯录和短信记录。31款中相当一部分存在"窗口乱跳转"问题——用户点击一个页面,却被跳转到了完全不相干的App或网页。
第二类:SDK权限滥用
工信部今年特别将SDK纳入监管,因为SDK的权限问题比App更难发现。普通用户装了一个天气App,看到它要定位权限,会下意识觉得"合理"——天气App要定位很正常。但用户不知道的是:这个定位请求的发起方,可能不是天气App本身,而是嵌在里面的广告SDK。
普通用户能做什么?
说实话,技术层面的事情普通用户很难彻底防范。但有几个原则可以参考:
定期检查App权限
进入手机设置,查看每个App的权限使用情况。重点关注"定位"权限——哪些App在后台调用了定位?调用频率如何?如果一个天气App在你睡觉时还在调用定位,这不正常。
能用内置功能就不用第三方App
比如,用手机自带的地图,就不用单独装一个地图App;用系统浏览器,就不用装第三方浏览器。内置App的SDK数量通常比第三方App少很多。
关注通报,及时卸载
工信部通报的App通常会要求整改,整改期间可以选择先不用。如果你在31款名单里看到了自己正在用的App,可以等它完成整改后再用,或者寻找替代品。
这次通报的意义
这次通报的信号很明确:监管的颗粒度正在从App下沉到SDK。
过去几年,监管主要针对App违规收集个人信息。但随着App开发者越来越规范,问题开始向产业链上游转移——第三方SDK成为了新的漏洞点。
工信部的这次通报,意味着"App安全"不等于"数据安全"。即使App本身合规,如果它集成的SDK有问题,数据依然会泄露。
你的手机安全,不只取决于你装了什么App,还取决于那些App里嵌入了什么模块。
------
你平时会定期检查手机App权限吗?有没有遇到过让你觉得"不对劲"的App?评论区聊聊,我挑实用的经验分享给大家。
关注数据隐私,欢迎点赞点在看,转给用手机的朋友一起看看。
------
参考文献:
工业和信息化部《关于违规收集个人信息、窗口乱跳转31款App及SDK被通报的公告》(2026-05-21);
中央网信办、工业和信息化部、公安部《关于开展2026年个人信息保护系列专项行动的公告》
