软件开发工具包(Software Development Kit,SDK)作为辅助 App 开发的工具,能够大幅度提高互联网企业开发 App 的效率、降低开发成本、解决服务资质限制、满足产品业务功能需要。随着移动互联网的普及和快速发展,SDK 也通过 App 这一载体渗透到了每个用户的日常生产和生活之中。
SDK 在给企业和用户带来效率、便利和功能体验的同时,也存在违规收集使用个人信息的乱象。在互联网时代,个人信息违规获取行为,不仅其本身是对用户个人信息和隐私权益的一种侵犯,甚至可能给用户带来财产或健康上的损害,同时也是一些违法产业的重要“生产资料”的来源。
图 | APP 应逐一披露相关的第三方 SDK
以往囿于缺乏相关专业技术及人才,监管执法工作往往难以大范围开展。且 SDK 本身作为一种 App 内嵌的工具包,在产品交互上并没有独立的机制或页面让用户感知到,这也进一步导致了这一行业或产品违法违规收集使用个人信息行为的泛滥,在监管上存在一定难度。
一、监管态势
近年来,在国家互联网信息办公室的统筹协调下,工业和信息化部、公安部、市场监督管理局等联合各地方监管部门开启了一系列的关于 App 等互联网产品侵害用户权益的专项治理工作,其中 SDK 一度成为 App 专项治理工作推进和互联网企业 App 合规整改的一大难点。
2021 年工信部等相关部门对字节跳动、腾讯、快手旗下三款 SDK 存在的侵害用户权益问题进行通报。2022 年以来,在国新办举办的工业和信息化发展情况新闻发布会上明确,将对第三方软件开发工具包(SDK)实现监管全覆盖。
1、2月18日
工业和信息化部通报了 2022 年第一批侵害用户权益行为的 App 名单,同时对该名单中 App 内嵌的 13 款 SDK 存在违规收集用户设备信息的行为进行了通报。
2、3月18日
国家计算机病毒应急处理中心对声网旗下的一款 SDK 进行了通报。
根据以上监管执法态势进行分析,SDK 合规治理将成为今年的重点监管环节。
二、合规义务
一般而言,按照法律原理和规范要求,确定 SDK 与 App 在处理个人信息活动中的具体角色和对应的法律地位,对于界定 App 与 SDK 开发者各自的合规义务、对应的法律责任,以及确定用户行使个人信息等相关权利的对象,具有重要意义。
而如何明确 App 与接入 SDK 之间在处理个人信息中的法律关系,关键在于由谁决定个人信息在处理活动中的目的和方式。若 SDK 需严格按照其与 App 方约定的个人信息处理目的、期限等规则对个人信息进行处理,形式包括签订个人信息处理协议,如 SDK 方提供的隐私政策、开发者协议、合作协议等。此时 App 作为唯一的个人信息处理者,需就对应收集使用的个人信息向用户履行告知同意义务并承担相应责任。
同时,确定 SDK 与 App 在处理个人信息活动中的法律关系和地位,除 App 与 SDK 之间关于个人信息处理的约定之外,还应结合各方隐私政策中披露的条款内容以及 SDK 对应业务功能的实现形式进行综合判定。
但值得注意的是,一方面,在数字化经济时代,个人信息成为重要的“生产资料”,本身就具有巨大的商业价值诱导性,SDK 方通过合作 App 向用户采集或共享而来的个人信息,除 SDK 本身的业务功能所需外,可能会用作其他的处理目的,如商业分析、自身其他业务及第三方合作等。另一方面,目前信息技术发展迅速,App 也无法通过一纸协议完全控制信息处理的目的和范围,很难要求 SDK 方在 App 停止接入 SDK、终止合作、合作无效时、用户行使撤销权等情形下,将个人信息返还 App 运营者或者予以删除。
在此种情况下,SDK 方在个人信息处理活动中通常无法仅作为单纯的信息处理受托者,或者哪怕双方约定了 SDK 方作为受托者对个人信息进行处理,但处理目的和范围发生改变时,同样也会导致其向个人信息处理者的角色进行转变,进而需承担法律法规中对于个人信息处理者的义务和责任。
因此,SDK 提供方应当在保证处理个人信息范围符合最小、必要的原则性规定之外,制定并要求 App 开发者向用户说明 SDK 及提供方的基本主体信息、处理个人信息的情况等相关规则,尤其在个人信息处理规则披露及用户感知层面。
来源:中国信通院
App 开发者更应当通过将隐私设计(Privacy by Design,PbD)融入产品开发周期中,通过交互及完善个人信息处理规则提高用户感知,提升产品透明度,保证用户的知情权。
(一)App 开发者
1.加强个人信息安全管理
(1)开展个人信息保护影响评估
根据《中华人民共和国个人信息保护法》第五十五条规定,个人信息处理者委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息的,应当事先进行个人信息保护影响评估(PIA),且处理情况记录至少保存三年。评估内容应至少包含 SDK 收集、使用个人信息范围的必要性、数量与评估 SDK 所收集的用户个人信息和向自己所提供服务的关联程度,对于与服务功能无关的收集和使用个人信息的类型,建议予以取消授权,对个人权益及信息安全的影响及风险等。若针对第三方 SDK 接入,应重点关注 SDK 收集个人信息与其业务功能本身的关联程度,以及实现该业务功能是否具有必要性。
(2)常态化监测管理
因存在 SDK 接入后可能存在热更新等情况,除事前应当对接入的第三方 SDK 的合规现状及安全资质进行合作调查和检测。除建立 SDK 白名单及评估机制外,开发者更应当通过技术方法在 App 版本更新、合规标准更新等重要节点,定期对App内接入的第三方 SDK 提供者进行数据安全保护能力鉴定和合规检测,对第三方 SDK 收集、处理个人信息情况进行动态监测评估。若检测发现存在违规收集使用个人信息情况的,应当及时与 SDK 提供方沟通整改或视情况终止合作,更换同类型替代产品。
2.履行告知同意义务
根据《网络数据安全管理条例》(征求意见稿)《App 违法违规收集使用个人信息自评估指南》《App 违法违规收集使用个人信息行为认定方法》等法律及规范要求,App 运营者应当以便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则。
具体形式可参考工信部在《关于开展信息通信服务感知提升行动的通知(“524”行动)》中的治理要求,在双清单中设置专栏,对 App 接入第三方 SDK 的基本信息及其收集个人信息的目的、范围、方式及个人信息处理规则,并在首次运行或注册登录等环节通过勾选、弹窗等方式向用户履行告知同意义务。SDK 调用策略上,应控制 SDK 初始化及收集个人信息代码函数调用时机,确保向用户履行告知同意义务后,且在关联场景下采集个人信息。
同时,基于技术开发能力要求或服务资质上的限制,往往仅通过一个 SDK 无法就该业务场景向 App 开发者提供完整的解决方案,可能在 SDK 内部需要再嵌套其他第三方的 SDK,搭配使用以实现其产品功能。若存在或不知是否存在 SDK “套娃”的情况,则需要与 SDK 方确定具体嵌入的 SDK 基本信息、有无采集个人信息及其范围和目的等信息,并通过个人信息处理规则向用户完整、准确地披露。
3.完善合作协议
若与第三方提供针对性合作的,应当在合作协议中明确:
双方在个人信息处理活动中的法律责任与义务,包括法律规定的个人信息主体行使相关权利的响应机制,以及 SDK 方应配合 App 运营方采取的安全保障措施,如涉及个人敏感信息的传输加密、到期删除等合规要求;
明确信息处理的范围及情况,包括但不限于 SDK 收集信息的目的、方式、范围、数量、存储时间及地点等可能对个人信息产生安全影响的细节。
(二)SDK 提供方
根据本文开头所述,在国家及地区监管部门针对 SDK 加大监管和执法力度的情况下,作为 SDK 提供方应严格按照法律规定,参照相关标准及时完成合规整改,并通过协议或技术措施要求 App 接入方及时更新接入合规版本。
参照前述分析,SDK 提供方应对其所开发的 SDK 处理个人信息行为进行个人信息保护影响评估,并按照合法、最小、必要等原则进行整改。因第三方 SDK 需要依赖 App 本身取得收集、使用个人信息的法律正当性事由,为了保障其处理个人信息的合法性基础,故应当通过开发者协议或服务协议,与 App 开发者约定双方就个人信息处理及安全保障等方面的义务与责任。同时,在隐私政策及官网合规或接入指南中,向终端用户及 App 开发者明确告知每个 SDK 产品收集个人信息的类型、目的、使用规则等,并要求 App 开发者按照固定格式向用户履行告知义务。
随着近年来不断出台个人信息保护相关的法律法规及标准,相关监管执法部门持续扩大技术研发治理成本。在个人信息保护领域,第三方 SDK 将不再是法外之地。作为 App 开发者对接入的 SDK 向用户承担信息安全保障义务,作为 SDK 提供方,也应当按照法律规定落实主体责任。而且作为个人信息处理者,又何尝不是另一个个人信息处理者的信息采集对象呢?加强个人信息保护,不应仅依靠监管执法,更应提高自我理念和加强自我约束,只有各方共同发力,加强行业自律,才能真正保障每个公民的个人信息权利和安全。