数据安全 | 第三方SDK对个人信息安全的合规现状
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:SDK;App;个人信息;合规
本文约2873字,大约需要阅读10分钟。
2022年1月20日,国新办举行2021年工业和信息化发展情况新闻发布会。工信部新闻发言人、信息通信管理局局长赵志国在国新办新闻发布会上介绍了APP专项整治工作情况。其中,赵局长提及了,2022年工信部将重点突出关键责任链监管,对应用商店、第三方软件开发工具包(SDK)、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。
从以往的安全事件和通报案例中,我们可以看到多起案例均是App集成的SDK存在违规收集个人信息等行为,最终导致App被通报批评,甚至被直接下架。第三方SDK存在安全漏洞、恶意行为和违规收集、使用个人信息问题也越来越受到大众关注。
什么是第三方SDK
SDK 就是Software Development Kit 的缩写,中文意思就是“软件开发工具包”,一般是软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。通常SDK是由专业性质的公司提供专业服务的集合,比如提供安卓开发工具、或者基于硬件开发的服务等。也有针对某项软件功能的SDK,如推送技术、图像识别技术、移动支付技术等,同时资源优势类的公司也提供资源共享的SDK,如一些广告SDK提供盈利渠道,分发SDK提供产品下载渠道。根据功能的不同,SDK有多种不同的分类,例如框架类、广告类、推送类、统计类、第三方登陆类、社交类、支付类人脸识别类、短信验证类、基础功能类等等。
软件开发者使用非自研协助开发的SDK称为第三方SDK。第三方SDK工具包按照集成、工作方式,可分为无交互类SDK、推送类SDK、交互服务类SDK。开发者引入第三方SDK,可降低自己的开发难度,但SDK自身也具备获取设备信息和用户个人信息的能力,也可能存在安全问题。监测数据表明,一款App平均使用第三方SDK的数量在10个以上,通过SDK实现认证登录、消息推送、访问统计等功能,一些自主开发水平较低的中小应用甚至主要功能也完全依靠SDK实现。
第三方SDK的合规现状
2020年的315晚会上,就曝光了某些手机App嵌入的第三方SDK存在未经用户许可,违规收集用户个人信息的情况,包括过度收集用户手机通讯录、短信信息等涉及隐私的个人信息。第三方SDK已成为互联生态的重要组成部分,但是其对个人信息保护的安全风险不容忽视,我们从以下几个方面谈论一下第三方SDK在合规方面可能存在的几个问题:
1. 收集个人信息的必要性
实现同一功能的一些第三方SDK收集的个人信息类型不一样,甚至差别不小。据了解,以推送类SDK的隐私政策来看,不同运营商的推送SDK在实现推送功能时不同程度地收集了设备标识信息、App列表信息、MAC地址等信息,但一些推送SDK则不收集个人信息。也就是说,都是实现同样的功能,不同的SDK收集的信息范围差距很大,那么从另一个角度来看,其实那些推送SDK是否没有收集个人信息的必要性?
自2021年11月1日起施行的《个人信息保护法》第六条明确规定了:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”那么,对于SDK在非必要的情况下收集个人信息,是否存在违反了最小范围合理收集个人信息原则的合规风险?
2. 收集个人信息的合理性
某些SDK嵌入不同类型的App时,收集的个人信息类型存在差异。据了解,某款SDK主要功能是识别用户的手机快速登录,在某地图导航类App中会收集当前手机号的掩码、设备标识符、运营商信息、网络信息等个人信息,而在某网上购物类App中只收集当前手机号的掩码。虽然该SDK未声明为何对于不同类型的App收集个人信息类型作差别对待,但是不禁让人怀疑其收集个人信息是否合理。此外,有些SDK甚至可能存在恶意违规收集个人信息、侵犯个人隐私的问题。
3. 收集个人信息的提示义务
据了解,一些App表示,某些SDK对App开发运营者隐瞒了收集使用个人信息的情况,包括可能超过隐私政策授权的范围收集使用个人信息或利用后门违法违规获取敏感权限和信息等情况,或者SDK在自己的官网进行了相关问题的披露却未如实告知App情况,导致App未能及时告知用户。
根据《App违法违规收集使用个人信息行为认定方法》第二条“未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”和“收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等”均可被认定为“未明示收集使用个人信息的目的、方式和范围”。也就是说,第三方SDK的违规行为或未能及时披露的行为都可能直接导致了App被认定为违法违规收集使用个人信息行为,导致App被通报批评甚至被迫下架,但是往往行政部门却并未将实际犯错的SDK采取任何措施。此外,在App承担了责任后也难以向SDK进行追偿,最终导致SDK合规的动力不足,合规风险仍然存在。
思考与建议
2021年12月,国家计算机网络应急技术处理协调中心(CNCERT)与中国网络空间安全协会发布了《App违法违规收集使用个人信息监测分析报告》(下称“报告”),报告明确说明了SDK收集行为普遍存在,处理活动需规范和政治。报告建议,应加强个人信息保护标准规范体系的建设,研制移动互联网应用程序SDK安全指南,提升个人信息保护。
2021年7月,国家标准《信息安全技术 移动互联网应用程序(App)SDK 安全指南》(以下简称“指南”)试点工作启动会在北京举行,会议邀请各方专家共同研讨SDK 安全国家标准试点工作的后续开展细节。据报道,该指南将从SDK 安全开发、SDK 个人信息安全、App 集成安全等方面,提出SDK 控制者在开发、运营、个人信息处理、数据安全管理、跨境管理等环节应遵循的原则和安全措施。
可以看到,国家正在逐步完善对SDK的监督和管理,SDK对个人信息安全的合规问题将越来越受重视。笔者对此提出几点建议和想法:
1. 建议应明确划分App和SDK的责任承担,区分清晰各方责任及其应承担的后果,而非由App单独承担责任。而针对目前责任划分未明确之前,建议App与SDK签署合同明确约定双方权利义务和责任承担,一旦日后产生违规行为也可区分责任,并对违约方进行追偿。
2. 监管部门可以制定关于App嵌入第三方SDK的事前合规评估标准、运营过程中的监控管理措施,以及事后应采取的合理减损措施。这样,App可根据相关的标准完善个人信息合规措施,甚至在发现违规行为后可有效的采取维护修复行为,减低法律风险和责任。
参考文献
1. 商业合规观察. 《工信部:2022年APP专项整治的3个重点方向,对应用商店、SDK、终端企业、重点互联网企业等实现监管全覆盖》. 2022年1月21日访问微信公众号:
https://mp.weixin.qq.com/s/v3cvC1vGp9hXM_Xwj2O9WA
2. 政务:数字经济发布 《App违法违规收集使用个人信息监测分析报告》发布(附下载). https://m.thepaper.cn/baijiahao_15795981
3. IT之家.《信息安全技术 移动互联网应用程序(App)SDK 安全指南》试点工作启动会今日在京举办. https://www.ithome.com/0/560/971.htm
4. 刘昊鑫 何延哲. CCIA数据安全工作委员会. 《深度分析| 对第三方SDK收集个人信息的“三种现象”的分析与建议》. 2022年1月21日访问微信公众号:https://mp.weixin.qq.com/s?src=11×tamp=1642732343&ver=3571&signature=M8DJSjk8aKZB8Rvn21ZWMgK*nVI7nSN5lVlKn9hmj9pjpwjOaFQd4FJ4JtiBjOZEJKwyqaXoAcQxZYfIQK4aWYwfD1iaYiJNNWXFNyVaCBGPSpndrAnf36D5j6bi7F2k&new=1
5. 互联网安全内参. 《第三方SDK个人信息保护合规趋势及要点》. 2022年1月21日访问微信公众号:
https://mp.weixin.qq.com/s?src=11×tamp=1642732343&ver=3571&signature=V4OzM06JaHk0hnY-iIdcuf412YuaAZXx6xo-uOLzVpN-1YwgGUGikkWmqEV2k1XfeGWs6o3GaGFpGMLXRCzf-i4RUQ3VlpRGXmm7Gg-2aGeUnN5nEApFe8vJHElvpHFH&new=1
6. 刘红涛、郭逸. 绿盟科技金融事业部. 《银行业第三方软件开发工具包(SDK)安全接入指南规范解读》. 2022年1月21日访问微信公众号:https://mp.weixin.qq.com/s?src=11×tamp=1642732343&ver=3571&signature=BFBDE6TQoMJh8JFCLXsZGoHeeXfKt9y5r6Y109uO-skgOrJUqNxoUrB9FOORzvlpXasV*5er49M*FUNc6l6g6M7Km4taY8tZougvLd8xvG1-lJ-VcqhxxI5oUaUgr2wS&new=1
7. 通付盾. 《App供应链安全|第三方SDK自动化安全合规检测》. 2022年1月21日访问微信公众号:
https://mp.weixin.qq.com/s?src=11×tamp=1642732343&ver=3571&signature=fho8RpvZzzG-3ZChsjIWDb2XejwtOJ7fSxtrojxrumJmnQFRAc-OePGNfxl-vCEEh-MsCNc2kuv5IDQgSIDFL8ojqvMeCHRT8Y7UjxIMHEcTYi3bjmZRHXW*cCKV86Rl&new=1
8. Haran. GA小站. 《查看你的APP到底使用哪些第三方SDK收集信息》. 2022年1月21日访问微信公众号:
https://mp.weixin.qq.com/s?src=11×tamp=1642732343&ver=3571&signature=W5XKlhI9*roC4CvSROtB0AmGaA9m5a85oYPBHzjvQOU*ucF*yq6V2qSFk3Qq6Bh-KmFaoDfj*80Cy52ECxiaDrN1GpDbgDn6*4ODg2kOnBmYvbtbvMTw6MM13QcoxWA*&new=1
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、金融、证券、私募、区块链、人工智能、智能合约、大数据、合规等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
执业证号:
14401200810597414
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
往期回顾
数据安全
数据安全 | GDPR数据保护认证制度系列之一:GDPR数据保护认证制度概述
数据安全 |《App违法违规收集使用个人信息监测分析报告》概览
数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用
数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元
数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?
数据安全 | 网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜
数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径
数据安全 | 步步为营—中国企业“走出去”跨境数据合规要点与步骤
数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼
《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?
四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》
涉外法律
涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南
涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案
涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响
案例分享
案例分享 | 购物APP未经许可读取手机剪贴板是否违法?法院:侵害用户隐私权
案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界
案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例
案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!
案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?
案例分享 | 大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定
案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回
立法动态
立法动态 | 九部门联合发布《关于推动平台经济规范健康持续发展的若干意见》
立法动态 |《城市大脑发展白皮书(2022)》与《城市大脑案例集(2022)》发布:智慧城市时代来了!
立法动态 |国家标准《信息安全技术 重要数据识别指南》标准征求意见稿发布
立法动态 | 最高法公开征求意见规范网络消费、直播带货、二手商品、外卖等消费者权益问题
立法动态 | 2022年1月1日起施行更新版外商投资准入负面清单
立法动态 | 港《个人资料(私隐)条例》修订,“起底”行为正式入罪
立法动态 | 中国首次发布出口管制白皮书(附发布会答记者问与全文)
立法动态 | 《区域全面经济伙伴关系协定》(RCEP)生效在即:世界上最具发展潜力的自由贸易区正式启航
立法动态 | 全国首部网络安全地方性法规《湖南省网络安全和信息化条例》
新法速递 |《上海市数据条例》公布 自2022年1月1日起施行
新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)
立法动态 | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见
新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!
立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务
立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾
立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)
立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准
立法动态 | 上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告
立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》
立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布
全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容
新闻速递
新闻速递 | 工信部APP专项整治:对应用商店、SDK、终端企业、重点互联网企业等实现监管全覆盖
新闻速递 | 卢森堡行政法院暂停执行亚马逊公司 7.46 亿欧元的GDPR 罚款
新闻速递 | 荷兰税务机关因非法和歧视性数据处理行为被处以275万欧元罚款
新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为
新闻速递 | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)
新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地
新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定
新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!
新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内
新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见
新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉
新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)
新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解
新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议
行业政策 | 2021年6月中国各省区块链与数字人民币政策速览
简评 | 关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报
其他文章
Foreign Investors can Invest in Equity Investment in Hengqin
“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国
实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则
年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录
点一下在看再走吧