首页 > 工作动态
“隐秘”的SDK被央视“3·15”晚会曝光,App们还有机会吗?

发布时间:2020-07-21 14:14访问次数: 信息来源:威海仲裁委员会字号:[ ]


作者:刘新宇 宋海新 

2020年7月16日晚上8点,受疫情影响而推迟了四个月的央视“3·15”晚会在央视财经频道播出,引起社会公众、企业界和监管部门的广泛关注。本次晚会共曝光九大典型问题,多数被曝光的企业连夜发表声明并采取整改措施,监管执法部门也连夜采取监管行动。

本次晚会曝光的典型问题之一为“手机里的部分窃贼插件窃取用户信息”,将“隐秘”的SDK的违法违规收集使用个人信息的问题公之于众。实践中,SDK一般作为插件嵌在App中,这也引申出一个问题,“隐秘”的SDK被“央视3·15晚会”曝光,App们还有机会吗?

一、SDK是谁?

1、SDK的定义

根据《软件开发包(SDK)安全与合规白皮书》,SDK是Software Development Kit的缩写,即软件开发工具包。简单来看,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,为了提高开发效率,可以将某项功能交给第三方来开发,第三方服务提供商将服务封装为工具包(即SDK)供开发者使用。

2、SDK的类型

目前,SDK类型主要包括:第三方登陆分享类、支付类、推送类、广告类、数据统计分析类、地图类、风控插件等。常见的SDK有高德地图、微信支付、支付宝支付、小米推送、友盟、TalkingData等。

3、SDK的普遍使用及其原因

根据南都个人信息保护研究中心发布的《常用第三方SDK收集使用个人信息测评报告》,受测的60款App平均每款使用19.3个SDK,足以看出App使用SDK的普遍性。而究其原因,《软件开发包(SDK)安全与合规白皮书》指出主要包括三方面原因:

一是接入SDK可以大幅度提升使用者的开发效率,明显降低开发成本;

二是SDK的易用性和灵活性较强,为App提供流畅及定制化的用户体验;

三是SDK能够帮助提高App的兼容性,扩大用户使用范围。

二、“隐秘”的SDK到底“隐秘”在哪里?

1、被曝光的问题SDK都做了什么

根据本次晚会曝光情况,经技术人员检测50多款手机软件,这些软件中分别含有上海某信息技术有限公司和北京某信息技术有限公司两家公司的SDK插件。前述两个插件,都存在于用户不知情的情况下,偷偷窃取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等信息的嫌疑。

除了前述个人信息外,北京招彩旺旺信息技术有限公司的SDK,还涉嫌通过多款App窃取用户的联系人、短信、位置、设备信息等个人信息。

而且,这些App里的SDK在读取用户的个人信息后,还会悄悄地将数据传送到指定的服务器存储起来。

2、被曝光的问题SDK的“隐秘”之处

《中华人民共和国网络安全法》(以下简称“《网络安全法》”)第四十一条第一款规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《中华人民共和国民法典》(2021.1.1生效)第一千零三十五条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

根据前述规定,可以看出,收集使用用户个人信息,应公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经用户同意。而隐秘收集用户个人信息则属于未经用户同意私自收集用户的个人信息的典型表现之一,也是SDK的常见安全隐患之一。用户很难感知到SDK收集了哪些个人信息,相当一部分的App运营者也不知道自己App中的SDK收集了哪些个人信息,更有甚者都不知道自己的App中嵌入了哪些SDK。如此情况下,SDK隐秘收集个人信息有了“可乘之机”,可以在未经用户同意的情况下,私自违法收集用户的个人信息。

3、被曝光的问题SDK可能造成的危害

被曝光的问题SDK涉嫌隐秘窃取用户个人信息,其收集使用用户该等个人信息的目的、方式和范围我们不得而知,如不加以限制,将很有可能对个人的人身安全和财产安全造成损害。本次晚会也特意以隐秘窃取短信内容和应用安装信息为例,说明了隐秘窃取个人信息的危害性。技术人员指出,一旦用户有网络交易的验证码被获取,极有可能造成严重的经济损失。

此外,结合SDK被普遍应用的情况,技术人员也点出了SDK隐秘窃取个人信息造成危害的严重性。很多手机软件可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人信息,将会涉及众多手机软件。换言之,对于用户而言,只要手机设备中安装了任何一款嵌入前述SDK的App,前述插件就可能通过这一款App隐秘窃取个人信息。如果是安装了多款嵌入前述SDK的App,其危害性更是不言而喻。

三、App们还有机会吗?

不设置悬念,不面带微笑,App们,真的还有机会。

1、为什么说App们还有机会?

根据《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)“二、以下行为可被认定为‘未明示收集使用个人信息的目的、方式和范围’”,1. 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等……

根据《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)“五、以下行为可被认定为‘未经同意向他人提供个人信息’”,1. 既未经用户同意,也未做匿名化处理,App客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息;2. 既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息……

根据前述规定可以看出,监管规定并未禁止App嵌入SDK,但对嵌入SDK提出了“告知+同意”的行为要求。无论App运营者能否控制嵌入的SDK收集使用个人信息行为,也无论App运营者是否向SDK服务商提供个人信息,均需要遵守该等行为要求。

2、App们应该怎么做?

机会需要抓住,要求需要遵守。建议App运营者采取如下措施:

序号

建议采取的措施

1

全面梳理已经App接入的全部SDK,包括手机厂商SDK、第三方SDK等

2

与接入的SDK服务商充分沟通、邀请技术测评机构通过技术手段检测或通过SDK服务商公示的服务条款、个人信息保护政策等相关文本,全面、充分了解接入的SDK收集使用个人信息的目的、方式、范围

3

将接入的SDK收集使用个人信息的目的、方式、范围写入个人信息保护政策,以进行明示,并获得用户的同意

4

通过SDK对外提供信息或向SDK服务商提供用户个人信息的,告知用户对外提供用户个人信息的情况或对个人信息进行匿名化处理

5

通过合作协议和技术手段加强对SDK的管控,尽可能掌握SDK收集使用个人信息的详细情况和动态变化

6

对于媒体曝光和监管通报的存在问题的SDK,如己方App接入了该等SDK,根据问题的严重程度,及时采取要求该等SDK限期整改、停止使用等措施

3、App们不这样做的后果是什么?

可能招致用户流失。就接入问题SDK的App,本次晚会为用户提出的建议为“这些App赶紧卸载”。本次晚会之后,到底会有多少用户卸载这些App,我们不得而知。但对于App运营者来说,投入大量人力、物力和财力才获得的用户,因为接入存在问题的SDK而导致大量的用户流失,属实可惜,但不可怜。合法合规,方能更好前行。

可能招致行政责任。据我们统计,2019年间,App专项治理工作组详细通报存在违法违规收集使用个人信息的App共87家、涉及28个问题类型、合计366个问题。其中,46款App存在既未经用户同意,也未做匿名化处理,通过客户端嵌入的SDK向第三方提供用户设备IMEI号、地理位置、用户GUID、通讯录、应用程序列表、用户点击行为等个人信息的问题,位列App违法违规收集使用个人信息十大常见问题的第二。根据《网络安全法》第六十四条,如App嵌入SDK而不采取合规举措,可能需要承担被责令改正、警告、没收违法所得、罚款等行政责任。

哦,对了,再说一句,千万别抱有侥幸心理。随着App专项治理行动的深入开展和问题通报情况,可以看出,通过文本核查、试用验证和技术检测相结合方式,App专项治理工作组的评估深度和专业程度已经能够满足专项评估的技术要求。以SDK为典型,工作组能够清楚地发现App接入的全部SDK,不要再陷入外部不可能知道App内部情况的误区。

结语

SDK就像一把“双刃剑”,合法使用,为App增光添彩,提升用户体验;违法使用,为App招致祸端,徒增用户烦恼。App们,个人信息保护刻不容缓,不要“一起爬山”,一起合规吧!

作者简介:

刘新宇律师,威海仲裁委员会仲裁员,中伦律师事务所常驻上海的合伙人。刘律师是中伦律师事务所金融产品组牵头人,在金融产品、数据与隐私保护及争议解决等业务领域具有丰富的执业经验。

刘律师毕业于上海交通大学,获民商法学博士学位,此前曾先后毕业于厦门大学、美国芝加哥肯特法学院及河南大学,分别获民商法学硕士学位、国际比较法硕士学位及经济法学学士学位。刘律师目前受聘为华东政法大学特聘校外导师,同时担任复旦大学司法研究中心研究员。

凭借在金融领域的资深从业经验与专业法律素养,刘新宇律师荣登国际知名法律杂志《亚洲法律杂志》(Asian Legal Business, ALB)2019年度“客户首选律师20强(Client Choice Top 20 Lawyers in China)”榜单,以及“2019年度LEGALBAND中国10佳金融科技律师”榜单。2020年刘新宇律师又被评为The Legal 500 亚太地区Fintech领域领先律师第一等级”。

刘新宇律师在金融和涉外商事诉讼、仲裁(含网络仲裁)领域具有丰富经验,曾代表众多国内外客户通过诉讼或仲裁(含网络仲裁)解决相关争议,争议范围涉及金融产品纠纷、公司治理与股权类纠纷、反不正当竞争纠纷、私募基金相关投资纠纷及其它商事纠纷等,其处理复杂案件的技巧及专业精神受到当事人的极大赞赏与信赖。此外他也为行政、刑事程序提供咨询并处理客户的公司内部调查。刘新宇律师现担任威海、湛江、北海、淄博四地仲裁委员会仲裁员。





打印本页 关闭窗口
分享到: 新浪微博 微信
Produced By 大汉网络 大汉版通发布系统