导读

第三方SDK的安全漏洞及收集使用个人信息规则不明确等风险给App治理及个人信息保护构成较大的威胁。中央网信办、工业和信息化部、公安部、市场 监管总局四部门(下称“四部门”)已将SDK合规治理纳入2020年App专项治理工作的重点。App开发及运营者及第三方SDK提供方应及时调整SDK的合规策略及方案,以满足执法要求及《个人信息保护法》(草案)(下称“《个保法》”)的要求,尤其应重点关注《个保法》第13、14和18条的规则明示及同意要求,及第53条的定期审计的要求。

一、SDK广泛应用优势及其带来的个人信息保护风险弊端

1.第三方SDK已成为移动互联生态的重要组成部分

为满足研发及运营成本的优化、效率提升、App功能的赋能、客户体验提升、资源和信息协调共享等多种需求,许多不同功能类别的(如框架类、广告类、推送类、统计类、地图类、社交类、支付类或客服类)的第三方研发并封装的软件开发工具包(Software Development Kit)(以下简称“SDK”),被广泛应用于App的开发及运营中。根据统计,超过29%的App应用嵌入了SDK。据有关报告,平均每款App嵌入的第三方SDK数量达19个。

2.第三方SDK带来的个人信息安全风险

(1)SDK自身的安全漏洞

第三方SDK因本身技术或设计存在漏洞或采取了不安全的实现方式如滥用HTTP协议进行数据传输,导致被攻击而使个人信息的安全受到威胁或侵害。据爱加密的统计,检测的22款SDK中存在安全漏洞比例超过70%,存在高危风险漏洞的比例超过40%。

(2)未明示SDK收集使用的个人信息规则

App开发及运营者未充分向个人信息主体告知其所嵌入的第三方SDK及SDK所收集使用的个人信息的类型、方式及范围。该风险的原因可能包括两方面:一为App开发运营者的问题,其知悉第三方SDK提供者收集使用个人信息的情况,却未在隐私政策中向App用户(即个人信息主体)履行告知义务;二为第三方SDK提供者的问题,其对App开发运营者隐瞒了收集使用个人信息的情况,包括可能超过隐私政策授权的范围收集使用个人信息或利用后门违法违规获取敏感权限和信息等情况。

根据《App违法违规收集使用个人信息行为认定方法》,前述行为均可被认定为“未明示收集使用个人信息的目的、方式和范围”,属于App违法违规收集个人信息的行为。该类事项并不少见。今年央视3·15晚会曝光了氪信SDK和招财SDK两款SDK在未经个人信息主体知情同意的情况下收集个人信息。据报道,“寄生推”SDK通过预留的“后门”秘密获取用户设备的特殊敏感权限,以进行恶意广告信息推送和恶意应用安装,超过300多款安卓App和2000万用户受影响。

(3)其他问题

第三方SDK存在超过业务必要情况过度收集个人信息的行为,例如,过于频繁或过大范围收集个人信息等;还存在境外SDK违规收集境内个人信息并向境外传输个人信息等其他问题。

基于SDK的本身特性及功能,其具备与App一致的直接触达个人信息主体并进行个人信息收集使用的能力。因此第三方SDK提供者和App开发及运营者均能成为个人信息处理者,同时也可能因SDK违法违规收集使用个人信息承担全部或部分责任。

就第三方SDK违法违规收集个人信息的法律责任问题,现行的法律法规并未对第三方SDK 提供者和App开发运营者之间的法律责任承担或分割进行明确规定。目前从执法的案例看,App开发运营者一般难以置身事外。前文提到违法违规收集个人信息的氪信SDK和招财SDK,其被央视3.15曝光后工信部立即对涉事的SDK提供者进行了严厉查处,而嵌入该SDK的50多款App被牵连,其中存在问题的App均被要求下架整改,同时App开发及运营者、应用分发平台等有关方也被要求立即进行自查自律等。

3.规范第三方SDK个人信息收集使用行为已是不可逆之势

(1)根据四部门发布的《App违法违规收集使用个人信息专项治理报告2019》,与App安全密切关联的第三方SDK的个人信息安全问题已成为个人信息保护的关注重点。

(2)四部门于今年召开的“2020年App违法违规收集使用个人信息治理工作启动会”上明确将第三方SDK的个人信息安全合规治理纳入了2020年专项治理工作评估的重点。

(3)工信部印发的《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》[工信部信管函〔2020〕164号]中第三方SDK违规处理用户个人信息的整治被列为重点任务。

(4)国内首个关于SDK的国家标准《信息安全技术移动互联网应用程序(App)SDK安全指南》项目已成功立项并已进入正式编制环节。

为满足SDK的安全性和规范性等合规治理需求,本文第二部分将重点结合最新颁布的《个保法》,简要梳理合规要点。

二、SDK个人信息安全合规治理重点

如上所述,第三方SDK提供者和App开发运营者在SDK运作过程中均有可能成为个人信息处理者。《个保法》的第二、三和五章主要规定个人信息处理者在进行个人信息活动中应遵循的义务,其中一些关键条款应予以重点关注,第三方SDK提供者和App开发运营者应及早采取与《个保法》的有关规定及要求相契合的合规治理策略和方案。

笔者建议在SDK个人信息保护合规治理过程中适用事前评估、事中监控和事后审查的合规要求,即在App开发嵌入第三方SDK前进行相应的合规评估,同时对App运营过程中对SDK的个人信息处理活动进行监控;事后采取相应评估或审查等监督措施。该合规工作过程中应重点抓住两个环节:规则的告知同意以及定期审计监督。

1.个人信息收集使用规则的告知同意

根据《个保法》第13、14和18条,个人信息处理活动主要以告知同意为主要合法依据。第三方SDK提供者和嵌入第三方SDK的App开发运营者均应遵循相关的要求,通过App的隐私政策向个人信息主体明确且充分告知App所嵌入的SDK以及SDK所收集的个人信息的范围及目的等。

要做好这一步需要第三方SDK提供者和App开发运营者的协同配合以及相互监督。一方面第三方SDK提供者对App开发运营者应充分告知个人信息收集使用的方式、目的及范围,同时也应采取措施监督App开发运营者履行对个人信息主体告知和获取同意的义务;另一方面,App开发运营者在选择接入第三方SDK时也应尽到审慎注意义务,包括但不限于必要的情况下对SDK及其提供方开展前置的合规风险评估,要求SDK提供方充分明示个人信息收集使用等情况,尤其是敏感个人信息的收集和使用,同时应向用户告知相关情形并请求授权同意。

结合笔者的观察,随着App违法违规收集使用个人信息治理工作的推进,较多App开发运营者及运营者在其隐私政策中已做改进,大部分企业的App均有在隐私政策中明示所嵌入的SDK类别、功能及提供者名称及该提供方的隐私政策链接。

图:某知名企业App的隐私政策披露SDK情况的截图

2.个人信息处理活动的审计监督

从合规的效果来看,个人信息收集使用规则的告知同意属于基础的且为“静态”的合规组成,只有加上“动态”的审计监督等措施,确保合规策略及制度的落地,才能赋予合规生命力。

《个保法》第53条明确要求个人信息处理者应定期对个人信息处理活动及保护措施进行法律法规符合性审计,同时个人信息保护的职责部门可要求个人信息处理者委托专业机构进行审计。

根据该条款,第三方SDK提供者和App开发运营者应对SDK收集使用个人信息处理活动开展定期的审计,发现合规的差距或漏洞和确定其法律法规符合的现状或能力,从而针对性提高其个人信息保护水平。一方面,App开发运营者可通过审计实现对第三方SDK的监控及监督,及时发现SDK的安全漏洞或如其他违法违规收集使用个人信息收集等问题,以提高App合规治理水平;另一方面,第三方SDK提供者可通过审计实现合规现状及能力的自律自查。

因App及SDK本身的技术问题较为复杂,需借助一定的评估技术工具才能完成实质的审计。从审计所需的技术工具及合规落地成本等要求而言,较多企业,尤其中小企业未必具备相关能力以落实第53条的审计要求,因此委托专业机构进行个人信息保护合规的法律法规符合性审计或将是一大趋势。

总而言之,第三方SDK的个人信息安全合规治理需要采取的不仅是过往的形式的隐私政策、合规制度等文本类型的合规审核,还应采取实质且以技术评估工具为支撑的事中审计以及事后审查等合规举措,才能较好推动个人信息保护合规治理。

参考来源:

1.中国信通院,环球律师事务所.软件开发包(SDK)安全合规 白皮书(2019);刘行.《第三方SDK个人信息安全问题》. 2020年网络安全周课题讲座。

2.爱加密,2019年的第二季《全国移动App安全性研究报告》。

3.南都个人信息保护研究中心,中国金融认证中心.常用第三方SDK收集使用个人信息测评报告.2019,07.

4.马凯,郭山清.面向 Android 生态系统中的第三方SDK 安全性分析.软件学报,2018,29(5):1379−1391. http:// www.jos.org.cn/1000-9825/5497.htm

5.https://www.freebuf.com/column/218175.html,最后访问时间为2020年10月29日。

6.http://www.gov.cn/xinwen/2020-07/25/content_5530048.htm, 最后访问时间为2020年10月29日。

7.http://www.zj.xinhuanet.com/2020-08/20/c_1126392932.htm,最后访问时间为2020年10月29日。

声明:本文来自北源有数,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。