在今年被推迟播出的央视“3·15”晚会上,除了被曝光的有关食品、房屋、汽车等商品的品质安全问题外,一些因手机软件中的SDK插件窃取用户隐私信息、侵犯个人隐私安全的问题,尤为令人关注和担忧。越来越离不开手机使用环境的我们,如何才能设置好防范那些恶意SDK插件的屏障,更好地保护个人隐私安全呢?
近日,张林芳律所律师以“SDK事件”为切入点,从法律角度做出了专业分析,该文章于2020年7月27日被《常州日报》A3版面“说法释理”栏目刊载。
▲刊登于《常州日报》2020-7-27星期一A3
律师有话说1什么是SDK?SDK,被称为“软件开发工具包”,是一种为手机软件提供或提升某种功能或服务的便捷插件。虽然现行的法律法规尚未对SDK插件本身作出明确限制,但是,对于其中涉及用户个人信息收集、使用的部分,仍应当遵循关于“保护个人信息安全”的相关法律规定。2侵犯个人信息的行为,或将面临刑事追责根据《中华人民共和国网络安全法》第41条的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。这次涉案的两款SDK插件,都存在于用户不知情的情况下,偷偷窃取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等信息的嫌疑。有的插件甚至会在采集用户手机中带有验证码、个人行程的短信内容后,发送至指定服务器进行存储。上述情况还违背了《App违法违规收集使用个人信息行为认定方法》中对于App收集个人信息应满足的提示要求与限制条款。根据网络安全法第64条规定,违反第41条规定的,可以对网络运营者、网络产品或者服务的提供者处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款,甚至责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。情节严重的,还可能进一步追究刑事责任。此处的“网络产品或者服务的提供者”应包含了SDK插件的第三方提供者。
(图片来源于网络)
3若平台违规,也需承担用户的损失对于侵犯个人信息的责任承担,根据国家网信办发布于2019年5月28日的《数据安全管理办法(征求意见稿)》第30条,以及国家标准化管理委员会于2019年8月5日发布的《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》第4章的规定精神,App平台作为网络运营者应当督促监督SDK插件的第三方提供者加强数据安全管理。因第三方应用发生数据安全事件对用户造成损失的,网络运营者将被推定有过错,并承担部分或全部责任。
因此,为避免发生不必要的纠纷,App开发者尤其需要“谨小慎微”。在使用第三方的SDK插件时,相关开发者应当预先进行检测排查、风险评估,确保软件没有“越权”收集个人信息,并依照《信息安全技术个人信息安全规范》相关规定的要求,通过合同等形式与第三方共同确定保障个人信息安全的内容,以及在个人信息安全方面自身与第三方分别应承担的责任和义务,并向个人信息的主体明确告知。
4个人用户应当如何保障隐私安全?窃取隐私往往“趁虚而入”。作为个人用户,我们一方面需谨防“以身犯险”,应首选主流应用商店下载App,避免使用来路不明的App而导致增加隐私泄露的风险以及后期维权的难度;另一方面,还需时刻“居安思危”,对于通过网络传输的隐私信息,应尽量进行加密与限制处理,必要时选择电话或语音的方式传递信息。
点评个人的一些信息,看似微不足道,可也涉及我们的基本权益。无论技术如何发展进步,都不应牺牲这些权益而换取市场优势与商业利益。自2020年起,随着全新的《信息安全技术个人信息安全规范》《移动互联网应用程序(App)收集使用个人信息自评估指南》等相关规定陆续实施,以及对隐私权和个人信息保护作出专门规定的《中华人民共和国民法典》即将施行,针对个人信息的保护网已日益完善。在国家立法的规制下,我们需要进一步督促应用平台严格把关安全监管,还需要进一步引导公众强化自我保护及维权意识,进而真正实现利益与权益的双赢。(栏目主持 车玉)
本版律师
钱隆 实习律师
法律理论扎实,文字功底深厚;
撰写的《看新时代下常州公共法律服务之“变”》获常州第三届律师论坛二等奖;
撰写的《“网格+“法治 ——探索市域治理模式下的法治现代化》荣获第三届常州基层法治建设论坛三等奖。
要闻精选