【动画】@App开发者们，你想了解的SDK安全风险都在这！******

　　日前，工业和信息化部信息通信管理局通报了今年第一批侵害用户权益行为App，有13款内嵌第三方SDK存在违规收集用户设备信息行为。

　　现如今，大量App借助SDK实现特定功能，提供便捷服务，满足用户多样需要，但APP使用SDK也可能带来相关安全问题，包括SDK自身安全漏洞、SDK恶意行为、SDK收集使用个人信息三类。

　　其中，SDK恶意行为是指嵌入APP中的SDK自身产生的恶意行为。这种恶意行为将破坏使用SDK的APP的安全性，对用户权益、数据等方面造成严重威胁。典型的恶意行为如流量劫持、资费消耗、隐私窃取等。

　　常见SDK恶意行为

　　流量劫持指SDK信息拉取、上报和展示目标App提供者设定的目标不同，恶意劫持App流量，可能对App造成损害；隐私窃取指SDK在用户不知情或误导用户的情况下，隐蔽窃取用户的通讯录、短信息等个人敏感信息，隐蔽进行拍照、录音等敏感行为，并发送给恶意开发者；广告刷量指SDK在最终用户不知情的情况下，在后台模拟人工点击广告链接进行牟利。

　　在SDK收集使用个人信息方面，安天移动安全发现，应用接入第三方SDK引发的违规收集个人信息问题较为普遍。其中，包括用户同意隐私政策前就开始收集个人信息、隐私政策中未明确提及所接入的SDK和数据收集情况、SDK收集的个人信息范围与隐私政策不相符等。

　　除了上述 SDK恶意行为外，当前 App 接入的 SDK 中还存在以上风险行为类型

　　在对某统计类SDK检测分析时研究发现，其主要提供用户行为统计功能，并在此过程中实现用户终端数据的收集和上传。

　　由于该SDK 在不同App中存在模块代码和版本的不同，因此对其在不同月活范围 App 中的数据收集行为进行抽样分析，从结果上来看，该SDK 普遍存在违规收集和超范围收集个人信息的问题，并且在月活较低的 App 接入的版本中，还存在通过云控参数控制 SDK 在终端侧收集数据范围的情况，并且涉及大量用户隐私路径数据的访问。

　　以某知名地图 App为例，在相关检测中发现，在隐私政策中明确提到了应用内第三方 SDK所收集的个人信息类型为设备信息和 Wi-Fi 地址。而实际上传的数据中除了包含 WiFi 的BSSID名称信息外，还频繁上传用户安装应用的列表信息。

　　国家标准计划《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》中明确定义了不同业务场景下，应用收集个人信息范围的最小化原则。而在应用接入的 SDK 中，收集个人信息范围、频度的必要性和最小化原则同样适用于SDK的功能业务场景。

　　虽然部分应用接入 SDK 时明示了 SDK 所收集的个人信息范围，但其合理性和必要性存疑，例如收集个人信息范围为软件安装列表，但实际除了收集安装应用包名信息外，还收集了安装应用运行状态信息等，这就涉及超范围收集个人信息。

　　例如，某统计类 SDK除了应用开发者本身主动调用相关事件接口外，SDK自身还注册监听了多种广播消息，在监听到相关消息后则会触发数据的收集和上传行为。例如对解锁屏、电源连接断开事件进行监听、对用户终端安装、卸载应用行为进行监听，除此以外，还会监听应用前台、后台的切换行为从而触发数据的收集和上传。

　　另外，当前 App 接入的 SDK 中还存在云端控制SDK行为，热更新技术控制 SDK 行为，后台拉活、自动下载安装、误触下载等风险行为。

　　（监制：张宁 策划：李政葳 制作：黎梦竹）

各地探索服务自动驾驶交通管理新举措******

各地探索服务自动驾驶交通管理新举措

如何为“聪明的车”建设“智慧的路”

本报记者 董凡超

　　驾驶座上没司机，汽车也能上路行驶？或许，这就是未来的日常。随着5G通信、物联网、大数据、人工智能等新一代信息技术的快速演进，自动驾驶已经逐渐从蓝图走进现实。

　　2022年12月，上海市十五届人大常委会第四十六次会议表决通过《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定》，旨在推动产业高质量发展，保障道路交通安全。

　　通过地方立法回应创新驱动下产业发展诉求的做法不仅在浦东一隅。《法治日报》记者梳理发现，近年来，各地各部门将自动驾驶作为科技创新支撑加快建设交通强国的重要领域之一，积极推进自动驾驶技术发展与应用，在政策法规、标准规范、技术研发、试点示范等方面开展了一系列工作。

　　创新发展

　　多个部委有举措

　　清华大学法学院教授余凌云告诉记者，完善自动驾驶汽车准入制度要在充分了解自动驾驶汽车的基础上，制定一套合理而透明的市场准入标准，现行的汽车驾驶自动化分级国家标准将汽车驾驶自动化等级划分为L0-L5级。

　　近年来，我国智能网联汽车产业飞速发展，目前正处于技术快速演进、产业加速布局的关键阶段。除了明确分级标准外，相关部委已开展包括深化试点示范、完善政策环境、推动基础设施建设等工作。

　　在出台发展政策方面，交通运输部、工信部、公安部印发《智能网联汽车道路测试管理规范(试行)》；交通运输部联合发改委等11个部门出台《智能汽车创新发展战略》。

　　在推进标准规范制定方面，工信部、交通运输部、公安部推动相关标准化技术委员会协同合作；在国家车联网产业标准体系框架下研究智能交通标准体系；制定营运客车、营运货车安全技术条件；编制《公路工程适应自动驾驶附属设施总体技术规范》。

　　在推进测试验证方面，交通运输部认定6家封闭场地测试基地(北京、西安、重庆、上海、泰兴、襄阳)；推动测试区数据共享、结果互认，提升测试服务水平；制定《自动驾驶封闭测试场地建设技术指南(暂行)》。

　　在推进试点示范方面，交通运输部开展新一代国家交通控制网和智慧公路的试点；推动5G通信和北斗导航等技术的应用；在北京、上海、河北等地推进一批自动驾驶和车路协同试点项目。

　　目前，各部委正坚持“鼓励探索、包容失败、确保安全、反对垄断”的原则，在地方先行先试、产品准入试点、智能交通基础设施建设等方面多措并举，持续推动我国自动驾驶汽车行业高质量发展。

　　上路行驶

　　制度保障少不了

　　2021年6月23日，依据全国人大常委会授权，上海市十五届人大常委会第三十二次会议全票通过决定，支持浦东新区高水平改革开放。一个新名词——浦东新区法规，进入公众视野。由此，上海拥有两类不同性质的地方立法，一类适用于全上海，一类专门为浦东制定，在浦东新区实施。

　　浦东新区法规明确，开展无驾驶人智能网联汽车道路测试、示范应用、示范运营，车辆应当具备最小风险运行模式，配备处于无驾驶人状态的显示装置以及故障或事故后的警示装置，经过有驾驶人智能网联汽车道路测试并达到规定里程或时间。开展智能网联汽车创新应用的路段、区域由市交通部门会同公安、经济信息化、通信管理等部门根据道路基础条件和实际需要划定并组织开展验收。验收通过后，应当向社会公示，并在该路段、区域及周边设置相应标识和安全提示。

　　山西省阳泉市作为全国首个全域开放自动驾驶的地级市，目前已开展全市200公里道路自动驾驶测试运营工作，50个交通路口路侧基础设施完成智能化改造，形成市域级车城网。2021年9月，阳泉市多个部门出台了《阳泉市智能网联汽车示范应用管理办法》，对自动驾驶载人测试进行了支持。

　　重庆市永川区和湖北省武汉市均出台管理规定，允许获得资质的示范应用主体开展车内无安全员的远程测试、示范和商业运营，为开展自动驾驶业务的企业提供详细的指导和支持。

　　在政策支持下，中国在自动驾驶技术研发和应用方面均位居世界前列。各地法律、规定之于自动驾驶，态度是——鼓励创新、包容审慎、循序渐进，实行分级分类管理，按照从低风险场景到高风险场景、从简单类型到复杂类型的要求，确保安全有序、风险可控。

　　余凌云指出，自动驾驶真正获得普及，还需从全国立法层面为产品准入和道路准入提供统一的合法性支撑，预防和应对技术的不确定性挑战，寻求道德伦理的正当性。

　　“自动驾驶可通过地方立法进行试验来积累经验，最后在国家层面形成统一立法。”余凌云认为，自动驾驶立法应当坚持创新性、前瞻性、开放性的理念，并以“渐进式”立法思路为宜。

　　保障安全

　　公安机关在行动

　　走进阳泉市的数字经济产业园，自动驾驶车辆不时从身边驶过。

　　记者在采访中了解到，阳泉市公安局交警支队四大队为自动驾驶车辆开放了200公里的测试道路，支持其规模化测试运行。并针对区域内住宅聚集区、商业大厦等地周边人员流动性大、即停即走现象多、管理难度大的特点，设置了专用停车位和停车牌，进一步规范了自动驾驶车辆停车行为。

　　据阳泉市公安局交警支队四大队副大队长胡鹏飞介绍，在日常管理中，该大队打造智能网联示范区的专门勤务模式，创建了“线下巡逻与线上巡检”相结合的管控机制，以机动中队为单位，“路长”每天对辖区道路交通情况进行巡逻，如遇自动驾驶汽车存在交通违法行为，及时通知测试安全员，并对企业进行通报。同时，还制定了专门的交通事故处理程序，为及时处置交通事故及安全事件提供机制保障。

　　此外，该大队每月都会组织专人深入企业进行交通安全知识宣讲，详细检查安全员的资质及车辆的安全性能，严禁不符合安全要求的车辆上路行驶。

　　在北京市亦庄新城设立的高级别自动驾驶示范区，科技带来的崭新变化正在改变群众的出行体验——北京交管局联合有关科技公司开展基于自动驾驶车辆感知设备的交通事件举报应用研究，以及基于手机定位的紧急求助、信号灯绿波护航研究等联创课题研究，探索自动驾驶与交通管理的双向赋能，全面提升群众出行的安全感与科技感。

　　余凌云表示，自动驾驶的技术革命可能导致与自动驾驶汽车相关的法律问题层出不穷，也会赋予交通管理全新的执法重点并带来了技术层面考验。在可预见的未来，公安交管部门应当重点解决自动驾驶汽车的事故责任认定、隐私保护与网络安全等问题。

　　“交通管理未来也会依托物联网技术的应用高度智能化、自动化、网络化，真正具有‘千里眼、顺风耳’，做到取证实时化，智能预防事故主动化。公安交管部门也应积极延展科技触角，用有效、精准同时不侵犯隐私的执法手段，护航自动驾驶技术应用行稳致远。”余凌云如是说。

　　图为2022年12月23日，山西省阳泉市公安局交警支队四大队民警对辖区自动驾驶车辆道路交通通行情况进行巡逻指挥。 崔凯 摄