数据安全 | 第三方SDK对个人信息安全的合规现状

2022年1月20日，国新办举行2021年工业和信息化发展情况新闻发布会。工信部新闻发言人、信息通信管理局局长赵志国在国新办新闻发布会上介绍了APP专项整治工作情况。其中，赵局长提及了，2022年工信部将重点突出关键责任链监管，对应用商店、第三方软件开发工具包（SDK）、终端企业、重点互联网企业等实现监管全覆盖，打造更为安全的信息通信消费环境。

从以往的安全事件和通报案例中，我们可以看到多起案例均是App集成的SDK存在违规收集个人信息等行为，最终导致App被通报批评，甚至被直接下架。第三方SDK存在安全漏洞、恶意行为和违规收集、使用个人信息问题也越来越受到大众关注。

SDK 就是Software Development Kit 的缩写，中文意思就是“软件开发工具包”，一般是软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。通常SDK是由专业性质的公司提供专业服务的集合，比如提供安卓开发工具、或者基于硬件开发的服务等。也有针对某项软件功能的SDK，如推送技术、图像识别技术、移动支付技术等，同时资源优势类的公司也提供资源共享的SDK，如一些广告SDK提供盈利渠道，分发SDK提供产品下载渠道。根据功能的不同，SDK有多种不同的分类，例如框架类、广告类、推送类、统计类、第三方登陆类、社交类、支付类人脸识别类、短信验证类、基础功能类等等。

软件开发者使用非自研协助开发的SDK称为第三方SDK。第三方SDK工具包按照集成、工作方式，可分为无交互类SDK、推送类SDK、交互服务类SDK。开发者引入第三方SDK，可降低自己的开发难度，但SDK自身也具备获取设备信息和用户个人信息的能力，也可能存在安全问题。监测数据表明，一款App平均使用第三方SDK的数量在10个以上，通过SDK实现认证登录、消息推送、访问统计等功能，一些自主开发水平较低的中小应用甚至主要功能也完全依靠SDK实现。

2020年的315晚会上，就曝光了某些手机App嵌入的第三方SDK存在未经用户许可，违规收集用户个人信息的情况，包括过度收集用户手机通讯录、短信信息等涉及隐私的个人信息。第三方SDK已成为互联生态的重要组成部分，但是其对个人信息保护的安全风险不容忽视，我们从以下几个方面谈论一下第三方SDK在合规方面可能存在的几个问题：

1. 收集个人信息的必要性

实现同一功能的一些第三方SDK收集的个人信息类型不一样，甚至差别不小。据了解，以推送类SDK的隐私政策来看，不同运营商的推送SDK在实现推送功能时不同程度地收集了设备标识信息、App列表信息、MAC地址等信息，但一些推送SDK则不收集个人信息。也就是说，都是实现同样的功能，不同的SDK收集的信息范围差距很大，那么从另一个角度来看，其实那些推送SDK是否没有收集个人信息的必要性？

自2021年11月1日起施行的《个人信息保护法》第六条明确规定了：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”那么，对于SDK在非必要的情况下收集个人信息，是否存在违反了最小范围合理收集个人信息原则的合规风险？

2. 收集个人信息的合理性

某些SDK嵌入不同类型的App时，收集的个人信息类型存在差异。据了解，某款SDK主要功能是识别用户的手机快速登录，在某地图导航类App中会收集当前手机号的掩码、设备标识符、运营商信息、网络信息等个人信息，而在某网上购物类App中只收集当前手机号的掩码。虽然该SDK未声明为何对于不同类型的App收集个人信息类型作差别对待，但是不禁让人怀疑其收集个人信息是否合理。此外，有些SDK甚至可能存在恶意违规收集个人信息、侵犯个人隐私的问题。

3. 收集个人信息的提示义务

据了解，一些App表示，某些SDK对App开发运营者隐瞒了收集使用个人信息的情况，包括可能超过隐私政策授权的范围收集使用个人信息或利用后门违法违规获取敏感权限和信息等情况，或者SDK在自己的官网进行了相关问题的披露却未如实告知App情况，导致App未能及时告知用户。

根据《App违法违规收集使用个人信息行为认定方法》第二条“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”和“收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等”均可被认定为“未明示收集使用个人信息的目的、方式和范围”。也就是说，第三方SDK的违规行为或未能及时披露的行为都可能直接导致了App被认定为违法违规收集使用个人信息行为，导致App被通报批评甚至被迫下架，但是往往行政部门却并未将实际犯错的SDK采取任何措施。此外，在App承担了责任后也难以向SDK进行追偿，最终导致SDK合规的动力不足，合规风险仍然存在。

2021年12月，国家计算机网络应急技术处理协调中心（CNCERT）与中国网络空间安全协会发布了《App违法违规收集使用个人信息监测分析报告》（下称“报告”），报告明确说明了SDK收集行为普遍存在，处理活动需规范和政治。报告建议，应加强个人信息保护标准规范体系的建设，研制移动互联网应用程序SDK安全指南，提升个人信息保护。

2021年7月，国家标准《信息安全技术 移动互联网应用程序（App）SDK 安全指南》（以下简称“指南”）试点工作启动会在北京举行，会议邀请各方专家共同研讨SDK 安全国家标准试点工作的后续开展细节。据报道，该指南将从SDK 安全开发、SDK 个人信息安全、App 集成安全等方面，提出SDK 控制者在开发、运营、个人信息处理、数据安全管理、跨境管理等环节应遵循的原则和安全措施。

可以看到，国家正在逐步完善对SDK的监督和管理，SDK对个人信息安全的合规问题将越来越受重视。笔者对此提出几点建议和想法：

1. 建议应明确划分App和SDK的责任承担，区分清晰各方责任及其应承担的后果，而非由App单独承担责任。而针对目前责任划分未明确之前，建议App与SDK签署合同明确约定双方权利义务和责任承担，一旦日后产生违规行为也可区分责任，并对违约方进行追偿。

2. 监管部门可以制定关于App嵌入第三方SDK的事前合规评估标准、运营过程中的监控管理措施，以及事后应采取的合理减损措施。这样，App可根据相关的标准完善个人信息合规措施，甚至在发现违规行为后可有效的采取维护修复行为，减低法律风险和责任。