“隐秘”的SDK被央视“3·15”晚会曝光，App们还有机会吗？

Original 刘新宇宋海新中伦视界 2022-03-20

2020年7月16日晚上8点，受疫情影响而推迟了四个月的央视“3·15”晚会在央视财经频道播出，引起社会公众、企业界和监管部门的广泛关注。本次晚会共曝光九大典型问题，多数被曝光的企业连夜发表声明并采取整改措施，监管执法部门也连夜采取监管行动。

本次晚会曝光的典型问题之一为“手机里的部分窃贼插件窃取用户信息”，将“隐秘”的SDK的违法违规收集使用个人信息的问题公之于众。实践中，SDK一般作为插件嵌在App中，这也引申出一个问题，“隐秘”的SDK被“央视3·15晚会”曝光，App们还有机会吗？

一、SDK是谁？

1、SDK的定义

根据《软件开发包（SDK）安全与合规白皮书》，SDK是Software Development Kit的缩写，即软件开发工具包。简单来看，它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说，为了提高开发效率，可以将某项功能交给第三方来开发，第三方服务提供商将服务封装为工具包（即SDK）供开发者使用。

2、SDK的类型

目前，SDK类型主要包括：第三方登陆分享类、支付类、推送类、广告类、数据统计分析类、地图类、风控插件等。常见的SDK有高德地图、微信支付、支付宝支付、小米推送、友盟、TalkingData等。

3、SDK的普遍使用及其原因

根据南都个人信息保护研究中心发布的《常用第三方SDK收集使用个人信息测评报告》，受测的60款App平均每款使用19.3个SDK，足以看出App使用SDK的普遍性。而究其原因，《软件开发包（SDK）安全与合规白皮书》指出主要包括三方面原因：

一是接入SDK可以大幅度提升使用者的开发效率，明显降低开发成本；
二是SDK的易用性和灵活性较强，为App提供流畅及定制化的用户体验；
三是SDK能够帮助提高App的兼容性，扩大用户使用范围。

二、“隐秘”的SDK到底“隐秘”在哪里？

1、被曝光的问题SDK都做了什么

根据本次晚会曝光情况，经技术人员检测50多款手机软件，这些软件中分别含有上海某信息技术有限公司和北京某信息技术有限公司两家公司的SDK插件。前述两个插件，都存在于用户不知情的情况下，偷偷窃取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等信息的嫌疑。

除了前述个人信息外，北京招彩旺旺信息技术有限公司的SDK，还涉嫌通过多款App窃取用户的联系人、短信、位置、设备信息等个人信息。

而且，这些App里的SDK在读取用户的个人信息后，还会悄悄地将数据传送到指定的服务器存储起来。

2、被曝光的问题SDK的“隐秘”之处

《中华人民共和国网络安全法》（以下简称“《网络安全法》”）第四十一条第一款规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。《中华人民共和国民法典》（2021.1.1生效）第一千零三十五条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

根据前述规定，可以看出，收集使用用户个人信息，应公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经用户同意。而隐秘收集用户个人信息则属于未经用户同意私自收集用户的个人信息的典型表现之一，也是SDK的常见安全隐患之一。用户很难感知到SDK收集了哪些个人信息，相当一部分的App运营者也不知道自己App中的SDK收集了哪些个人信息，更有甚者都不知道自己的App中嵌入了哪些SDK。如此情况下，SDK隐秘收集个人信息有了“可乘之机”，可以在未经用户同意的情况下，私自违法收集用户的个人信息。

3、被曝光的问题SDK可能造成的危害

被曝光的问题SDK涉嫌隐秘窃取用户个人信息，其收集使用用户该等个人信息的目的、方式和范围我们不得而知，如不加以限制，将很有可能对个人的人身安全和财产安全造成损害。本次晚会也特意以隐秘窃取短信内容和应用安装信息为例，说明了隐秘窃取个人信息的危害性。技术人员指出，一旦用户有网络交易的验证码被获取，极有可能造成严重的经济损失。

此外，结合SDK被普遍应用的情况，技术人员也点出了SDK隐秘窃取个人信息造成危害的严重性。很多手机软件可能都嵌入了同一个SDK，因此一旦某个SDK窃取用户个人信息，将会涉及众多手机软件。换言之，对于用户而言，只要手机设备中安装了任何一款嵌入前述SDK的App，前述插件就可能通过这一款App隐秘窃取个人信息。如果是安装了多款嵌入前述SDK的App，其危害性更是不言而喻。

三、App们还有机会吗？

不设置悬念，不面带微笑，App们，真的还有机会。

1、为什么说App们还有机会？

根据《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）“二、以下行为可被认定为‘未明示收集使用个人信息的目的、方式和范围’”，1. 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等……

根据《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）“五、以下行为可被认定为‘未经同意向他人提供个人信息’”，1. 既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；2. 既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息……

根据前述规定可以看出，监管规定并未禁止App嵌入SDK，但对嵌入SDK提出了“告知+同意”的行为要求。无论App运营者能否控制嵌入的SDK收集使用个人信息行为，也无论App运营者是否向SDK服务商提供个人信息，均需要遵守该等行为要求。

2、App们应该怎么做？

机会需要抓住，要求需要遵守。建议App运营者采取如下措施：

序号	建议采取的措施
1	全面梳理已经App接入的全部SDK，包括手机厂商SDK、第三方SDK等
2	与接入的SDK服务商充分沟通、邀请技术测评机构通过技术手段检测或通过SDK服务商公示的服务条款、个人信息保护政策等相关文本，全面、充分了解接入的SDK收集使用个人信息的目的、方式、范围
3	将接入的SDK收集使用个人信息的目的、方式、范围写入个人信息保护政策，以进行明示，并获得用户的同意
4	通过SDK对外提供信息或向SDK服务商提供用户个人信息的，告知用户对外提供用户个人信息的情况或对个人信息进行匿名化处理
5	通过合作协议和技术手段加强对SDK的管控，尽可能掌握SDK收集使用个人信息的详细情况和动态变化
6	对于媒体曝光和监管通报的存在问题的SDK，如己方App接入了该等SDK，根据问题的严重程度，及时采取要求该等SDK限期整改、停止使用等措施

3、App们不这样做的后果是什么？

可能招致用户流失。就接入问题SDK的App，本次晚会为用户提出的建议为“这些App赶紧卸载”。本次晚会之后，到底会有多少用户卸载这些App，我们不得而知。但对于App运营者来说，投入大量人力、物力和财力才获得的用户，因为接入存在问题的SDK而导致大量的用户流失，属实可惜，但不可怜。合法合规，方能更好前行。

可能招致行政责任。据我们统计，2019年间，App专项治理工作组详细通报存在违法违规收集使用个人信息的App共87家、涉及28个问题类型、合计366个问题。其中，46款App存在既未经用户同意，也未做匿名化处理，通过客户端嵌入的SDK向第三方提供用户设备IMEI号、地理位置、用户GUID、通讯录、应用程序列表、用户点击行为等个人信息的问题，位列App违法违规收集使用个人信息十大常见问题的第二。根据《网络安全法》第六十四条，如App嵌入SDK而不采取合规举措，可能需要承担被责令改正、警告、没收违法所得、罚款等行政责任。

哦，对了，再说一句，千万别抱有侥幸心理。随着App专项治理行动的深入开展和问题通报情况，可以看出，通过文本核查、试用验证和技术检测相结合方式，App专项治理工作组的评估深度和专业程度已经能够满足专项评估的技术要求。以SDK为典型，工作组能够清楚地发现App接入的全部SDK，不要再陷入外部不可能知道App内部情况的误区。

结语

SDK就像一把“双刃剑”，合法使用，为App增光添彩，提升用户体验；违法使用，为App招致祸端，徒增用户烦恼。App们，个人信息保护刻不容缓，不要“一起爬山”，一起合规吧！

The End

作者简介

刘新宇律师

上海办公室合伙人

业务领域：资产证券化与金融产品, 收购兼并, 诉讼仲裁

宋海新律师

上海办公室金融部

作者往期文章推荐：

《小程序个人信息合规要点及操作指引》

《私募基金爆雷后的风险处置机制研究》