一、前 文

在移动互联网时代,App软件开发工具包(SDK)的广泛应用为我们的生活带来了诸多便利,但同时也伴随着产生个人信息安全问题的风险。

2024年6月1日,由国家市场监督管理总局、国家标准化管理委员会发布的“GB/T 43435-2023《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》(以下简称GB/T 43435-2023)”标准开始实施,该标准规定了SDK设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求。

本文将从GB/T 43435-2023的“6.1-b) SDK运营者应明确的个人信息处理规则和保护责任”出发,探讨SDK个人信息保护政策应满足哪些要求,并进行举例说明,以帮助大家更好地理解和应用该标准。

二、条款解析

6.1-b) SDK运营者应明确个人信息处理规则和保护责任

1)

软件开发工具收集的个人信息的目的、方式、范围;

条款解析:

• 精准界定范围。仔细梳理业务需求,在隐私政策中明确声明个人信息收集的目的、方式和范围。

• 确保所声明的内容具体、清晰,不模糊、不宽泛。

2)

SDK申请的系统权限和申请目的;

条款解析

• 明确权限类别与目的,确保申请目的与功能紧密相关,不能将获取的权限用于其他未告知的目的。

3)

SDK收集的个人信息的保存期限、被停止嵌入后的个人信息处理方式;

条款解析

• 应基于实现业务目的所需的合理时长来确定SDK运营者收集的个人信息保存期限,并明确告知存储期限。

• 一旦业务功能相关处理已完成且无其他合法留存理由,如法定留存义务或纠纷处理需求等,就应及时删除或匿名化处理,以最大程度降低信息泄露风险与保护用户隐私,且向用户明确告知处理过程与方式。

4)

个人信息安全责任和保护措施;

条款解析:

• 在隐私政策中清晰地向用户展示在个人信息保护方面所采取的具体措施。

5)

开发工具包是否存在自启动、关联启动;

条款解析:

• 如因需要特殊业务需要自启动、关联启动,须在隐私政策中向开发者及其用户说明,并征求用户同意。

6)

软件开发工具收集的个人信息是否涉及向境外提供;

条款解析:

• 对于是否涉及向境外提供个人信息,SDK运营者需给出清晰明确的声明。

• 若涉及跨境传输,应参考个保法第三十九条提供相关信息,并取得个人的单独同意。

7)

软件开发工具自行或协助应用程序响应用户个人信息权利请求的措施。

条款解析:

• SDK运营者应详细说明用户行使个人信息权利请求的多种便捷途径,如搭建专门的在线申请平台,提供客服邮箱或电话热线等。

• 针对不同类型的权利请求,如访问、更正、删除个人信息等请求,制定清晰明确、易于操作的具体流程,确保用户的权利能够得到切实有效的保障。

三、合规思路

明确SDK个人信息处理规则和保护责任是确保用户知情权的基础,只有让用户清楚地知道自己的哪些信息被收集、为何被收集以及如何被收集,才能建立起信任的基石。

SDK应制定个人信息保护政策并明示该政策,保证内容完整,覆盖1)~7)条的内容。

(一)

软件开发工具收集个人信息的目的、方式、范围

SDK开发者/运营者应仔细梳理业务需求,在隐私政策中明确声明个人信息收集的目的(为什么收集)、方式(怎么收集,通过权限还是通过功能页面要求用户提交)、范围(收集的个人信息类型),确保所声明的内容具体、清晰,不模糊、不宽泛。

SDK开发者/运营者在制定隐私政策时可参考以下原则。

1.目的的明确性

每一项个人信息收集行为背后都应有清晰、合理且与业务紧密相关的目的。例如:当收集用户精确位置信息时,应明确其具体业务目的——为用户提供精准的地图导航服务或显示附近营业厅位置与距离,确保用户的知情权。

2.方式的规范性

逐一说明处理个人信息的各种方式,确保用户对信息获取途径有充分的了解。

  • 通过调用敏感权限(如位置信息、相机拍摄的生物识别信息、通过麦克风采集的声纹);

  • 通过功能页面表单要求用户主动填写(如住址、职业、身份证件号码);

  • 通过其他途径,如函数、环境参数/接口等(如MAC地址、IP、粗略定位);

  • 借助第三方(如通过SDK获取本身就是一种方式,或者通过Android类库)。

3.范围的限定性

逐一列举所处理的个人信息的种类和范围。SDK 运营者只能收集和处理与实现其功能相关的必要个人信息,不能超出此范围收集其他无关信息。例如:推送类型的SDK不应收集用户的财务信息、健康信息等与推送服务不相关的敏感信息。

4.描述的具体性

隐私政策列举收集使用个人信息目的、方式、范围时,应采用具体的描述,避免使用举例性描述(如“如”、“例如”、“包括但不限于”、“等”)和概括性描述(如“身份识别信息”、“网络识别信息”、“设备信息”)。

声明收集个人信息目的、方式、范围如图1。

图1:个人信息收集个人信息目的、方式、范围

(二)

SDK申请的系统权限和申请目的

明确权限类别与目的,确保申请目的与功能紧密相关,不能将获取的权限用于其他未告知的目的。

1.权限类型

SDK 可能会申请多种系统权限,权限类型也因手机系统不同而存在区别。如安卓系统中有拨打电话权限(CALL_PHONE),而ios系统不存在该权限。权限类别可参考“GBT 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求”的附录D。

2.关联目的

SDK 申请系统权限的目的必须与自身的功能紧密相关。例如:用于人脸识别的SDK申请相机权限是合理的。但新闻阅读类SDK申请相机权限,其中却未涉及与拍摄相关的业务功能,则不符合该要求。

3.权限的合规使用

SDK 在获得权限后,必须按照告知用户的目的合规使用权限。不能将获取的权限用于其他未告知的目的。例如:获得位置权限用于提供基于用户所在位置的服务后,不能将用户的位置信息用于出售给广告投放的第三方等未经用户同意的用途。

声明索权及其目的如图2。

图2:申请的系统权限和申请目的

(三)

SDK收集的个人信息的保存期限、被停止嵌入后的个人信息处理方式

应基于实现业务目的所需的合理时长来确定SDK 收集的个人信息保存期限,并明确告知存储期限。一旦业务功能相关处理已完成且无其他合法留存理由,如法定留存义务或纠纷处理需求等,就应及时删除或匿名化处理,以最大程度降低信息泄露风险与保护用户隐私,且向用户明确告知处理过程与方式。

1. SDK 收集的个人信息的保存期限

  • 基本原则:一般情况下,个人信息的保存期限应当为实现处理目的所必要的最短时间。这是为了最大程度地保护用户的个人信息安全,避免信息被不必要地长时间存储而增加泄露或被不当使用的风险。

  • 目的限制原则:存储的个人信息必须与SDK明确告知用户的处理目的直接相关。例如:金融支付SDK收集用户身份信息用于实名认证和风险评估,这两个目的虽有关联但不同,需分别界定各自所需信息及保存时长,认证完成后部分信息可按规定期限删除,风险评估相关信息则根据金融监管要求保存适当时间。

  • 必要性原则:需要根据具体的业务场景和需求来确定保存期限的必要性。例如:某些金融类SDK可能需要根据相关金融监管法规的要求,保存用户的交易记录等信息一定的时间,以满足合规性检查等需求,这种情况下的保存期限就是具有必要性的。

  • 参考因素:除了上述原则,确定保存期限时还可以考虑个人信息的特点与属性(如敏感信息可能需要更严格的保存期限控制)、个人信息的处理方式(如加密处理的信息可能在保存期限上有不同要求)以及对各方利益可能产生的影响等。另外,部门规章、行业规范等有关保存期限的规定也可以作为参考。

  • 特殊情况的规定:如果法律、行政法规对某些类型的个人信息保存期限有明确规定,则必须遵循这些规定。例如:《网络安全法》规定网络日志留存不少于六个月;《征信业管理条例》规定个人不良信息的保存期限自不良行为或者事件终止之日起为 5 年,超过 5 年的应当予以删除等。

2. SDK 被停止嵌入后的个人信息处理方式

  • 停止处理活动:当SDK被停止嵌入后,原则上应立即停止对相关个人信息的一切处理活动,除了法律规定或合同约定的必要情形。如果存在未解决的法律纠纷,可能需要在一定期限内保留相关个人信息作为证据,但除此之外不应再有其他处理行为。

  • 信息的安全防护:对于已经收集但尚未处理完成或仍需暂时保存的个人信息,SDK 开发者仍需承担安全防护责任,采取必要的技术和管理措施,确保信息的保密性、完整性和可用性。如加强对信息存储系统的访问控制、加密传输等安全防护手段,防止信息被未经授权的访问、篡改或泄露。

  • 信息的转移或删除:如果不再有继续保存个人信息的必要,SDK 开发者应根据相关法律法规及与用户的约定,及时对个人信息进行删除或匿名化处理。在进行信息转移时,必须确保接收方具备足够的安全保护能力,并遵循合法的程序和要求。同时,无论采取删除还是转移方式,都应向用户明确告知处理过程与结果,保障用户的知情权和控制权。

声明保存期限和超期处理方式如图3。

图3:保存期限和超期处理方式

(四)

个人信息安全责任和保护措施

SDK开发者应详细阐述所采用的技术手段,像加密技术的运用层级、访问控制的具体规则,以及管理机制如员工信息安全培训体系、应急响应预案的启动流程等,让用户能够了解到 SDK开发者为保护其个人信息在技术、管理等多方面所做出的努力与安排,从而增强用户对 SDK开发者处理个人信息的信任度,也便于用户监督 SDK开发者是否切实履行了相关责任与措施,在出现问题时能有据可依地维护自身权益。

1.技术措施举例

  • 加密技术:采用加密算法对个人信息进行加密处理,无论是在传输过程中还是在存储过程中,确保个人信息的保密性和完整性。如使用 SSL/TLS 协议对网络传输中的个人信息进行加密,或者对存储在数据库中的个人信息进行加密存储。

  • 访问控制:可以通过身份认证、授权机制等方式实现,设置严格的访问权限控制。如使用用户名和密码、数字证书等进行身份认证,根据用户的角色和权限分配不同的访问权限。

  • 数据脱敏:对于一些敏感的个人信息,在不影响业务需求的情况下进行脱敏处理。如对用户的身份证号码、银行卡号等进行部分隐藏或替换,以降低信息泄露的风险。

  • 安全审计:建立安全审计机制,对处理个人信息的操作及安全情况进行定期审计,以便及时发现和追踪异常行为。

2.管理措施举例

  • 安全管理制度:SDK 开发者和应用开发者应建立完善的内部个人信息保护管理制度,包括制定隐私政策、规范操作流程、定期进行安全培训等。如制定详细的个人信息处理流程,明确各个环节的责任人和操作规范。

  • 人员管理:对涉及个人信息处理的人员进行严格的管理,包括背景调查、签订保密协议、定期进行安全意识培训等。确保这些人员了解个人信息保护的重要性,遵守相关的规定和制度。

  • 应急响应机制:制定应急响应预案,在发生个人信息安全事件时能够及时响应,采取有效的措施降低损失,并及时向用户和相关部门报告。如在发现个人信息泄露事件后,立即启动应急预案,对泄露的信息进行封堵、追踪,并通知受影响的用户。

声明个人信息安全责任和保护措施如图4。

图4:个人信息安全责任和保护措施

(五)

开发工具包是否存在自启动、关联启动

如因需要特殊业务需要自启动、关联启动,须在隐私政策中向开发者及其用户说明其目的,并征求用户同意。用户同意前不得进行任何自启动、关联启动行为。

声明自启动/关联启动如图5。

图5:自启动/关联启动

(六)

软件开发工具收集的个人信息是否涉及向境外提供

清晰且明确地声明是否涉及向境外提供个人信息。

  • 若不涉及,应明确指出SDK不会向境外提供个人信息。

  • 若涉及,应参考个保法第三十九条,向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息种类及个人向境外接收方行使个保法规定权利的方式和程序等事项,并取得个人的单独同意。

声明向境外提供情况如图6。

图6:向境外提供

(七)

软件开发工具自行或协助应用程序响应用户个人信息权利请求的措施

在个人信息保护的法律框架下,用户享有一系列权利,如访问权、更正权、删除权、限制处理权等。这一条款的出现是为了确保用户能够有效地行使这些权利,SDK 运营者有责任协助这些权利能够得到落实。

详细说明用户可提出个人信息权利请求的多种途径,如专门的在线申请页面、指定的客服邮箱或电话等。其次,明确不同类型权利请求(访问、更正、删除、限制处理等)的具体操作流程。

声明响应用户个人信息权利请求的措施如图7。

图7:响应用户个人信息权利请求的措施

四、总 结

个人信息保护之路,任重而道远。SDK 开发者/运营者当以 “不患无位,患所以立” 之担当,谨遵标准规范,将用户信息安全置于首位,履行处理规则与保护责任,在数字浪潮中赢得用户信赖,构建安全和谐的信息生态。

(本文作者:北京梆梆安全科技有限公司 陈琳达、马婷婷)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。