（记者张苏慧）据人民网报道，据“工信微报”消息，按照中央网信办、工业与信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人隐私信息保护系列专项行动的公告》，依据《个人隐私信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人隐私信息保护规定》等法律和法规，工业与信息化部对APP、SDK违法违规收集使用个人隐私信息等问题开展治理。近期，经组织第三方检验测试的机构进行抽查，共发现会计云课堂、小小学英语等24款APP及SDK存在侵害用户权益行为。

  现如今，许多APP在安装时要求用户授予一揽子权限，从通讯录、短信、相册等个人数据，到摄像头、麦克风、定位等实时感知权限，形成“全有或全无”的选择困境。

  在数字化浪潮席卷全球的当下，移动应用程序（APP）及其软件开发工具包（SDK）已成为现代社会基础设施的重要组成部分。从清晨唤醒的闹钟应用，到通勤时使用的导航软件；从工作中的协同办公平台，到社交娱乐时的即时通讯工具；从便捷的移动支付，到智能家居的控制中心——APP已渗透到我们正常的生活的每一个角落。据统计，截至2023年初我国在架APP数量已达258万款。

  SDK作为APP的底层技术组件，其存在往往不为普通用户所知，却在幕后支撑着无数功能实现。身份核验、地图定位、消息推送、数据统计、支付接入、广告投放——这些看似简单的功能，多数都依赖于第三方SDK的集成。一份行业研究报告显示，被100款以上APP所集成的第三方SDK已超3万款。这些SDK如同数字世界的“螺丝钉”，将复杂的技术能力封装成简单接口，大幅度降低了开发门槛，促进了移动互联网生态的繁荣。

  然而，这种繁荣背后潜藏着不容忽视的信息安全风险。SDK作为深度嵌入APP的代码模块，往往具有与宿主APP相近的权限级别，能够访问用户设备中的敏感数据。此外，权限滥用问题同样突出。

  一是系统化窃取用户隐私。多款APP集成的第三方SDK存在隐蔽的隐私收集行为。例如，某阅读类APP集成的广告SDK会在后台静默收集用户安装应用列表、设备识别码、浏览记录等个人隐私信息，并加密传输至远程服务器。

  二是权限过度申请成为常态，敏感数据泄露风险加剧。例如，一款手电筒应用要求获取通讯录权限，一款计算器应用要求获取精确位置权限，这些权限与核心功能毫无关联。更值得警惕的是，权限滥用往往与数据泄露事件直接相关。

  三是版本更新不及时，安全风险长期固化。以某款下载量超过百万的教育类APP为例，其集成的推送SDK版本为两年前发布，存在至少3个已公开的高危漏洞。开发者对SDK更新的忽视，部分源于对稳定性的顾虑，部分则是由于缺乏持续的安全维护机制。

  面对APP及SDK的安全挑战，单一政策或技术方法已难以应对，必须建立涵盖监管部门、应用商店、开发企业、安全厂商和终端用户的多主体协同治理体系，形成全链条、可持续的安全防护机制。

  监管部门正在从“事后处置”向“事前预防、事中监督”转变，建立更为系统的治理框架。自2023年起，工信部已建立全国统一的移动互联网应用程序备案管理系统，要求所有APP进行备案登记，明确责任主体。工信部近年来持续升级全国APP检测及认证公共服务平台，通过人工智能、大数据分析等技术实现对在架APP的动态监测。根据官方公开数据整理，自2019年至2025年上半年，工信部关于侵害用户权益行为的APP（SDK）通报的数量达3136个，下架的数量为646个，“技术+制度”的双轮驱动模式，让监管效能大幅度的提高。工信部提出，下一步将构建移动网络应用程序公共服务平台，通过区块链等可溯源技术实现APP全生命周期管理。

  企业必须落实主体责任，建立全生命周期安全管理。应用开发企业作为安全第一责任人，需从设计源头融入安全理念。在技术层面，应严格遵循“最小必要”原则，仅申请与功能直接相关的权限，并在隐私政策中清晰说明数据收集范围和使用目的。在管理层面，需建立第三方SDK准入审核机制，对拟集成的SDK进行安全评估，并定期对已集成的SDK进行安全审计。此外，企业应当建立应急响应机制，在发现SDK漏洞时能快速推出修复更新。

  作为APP分发的主要渠道，应用商店是重要的“看门人”。主流应用商店已开始建立更为严格的上架审核机制，对申请上架的APP进行自动化安全检测和人工复核。以智能手机生产厂商OPPO为例，其软件商店建立了覆盖“审核-上架-巡查”的全流程风控体系：每款APP上架前需经过5大方向15项自动化检测与147项人工检测，对广告弹窗、权限索取等行为实施严格管控。

  终端用户是安全链条的最后一环，也是最重要的防护节点。调查显示，超过70%的用户在选择APP时不会查看权限要求，60%的用户不会阅读隐私政策。这种现状为违反相关规定的行为提供了生存空间。因此，必须加强用户教育，通过多种渠道提升公众的数字素养。监管部门可联合媒体平台制作通俗易懂的科普内容，教会用户识别风险权限、管理应用权限、了解隐私设置。教育部门可将数字安全教育纳入课程教学体系，从青少年时期培养良好的使用习惯。在技术层面，手机生产厂商可优化权限管理界面，提供更直观的风险提示。例如，小米MIUI系统会在应用请求敏感权限时，明确告知该权限可能带来的风险，帮助用户做出知情选择。