第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?
7月25日,第十五期数据保护官(DPO)沙龙在TalkingData举行,来自研究机构、互联网企业等数据安全一线的工作者重点讨论了App中嵌入的SDK个人信息保护合规问题。
SDK是指集成在App里的软件开发工具包,可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力,有违规收集使用的风险。
有DPO成员认为,应该把监管重点放在App上,促使App自发地向SDK施压,形成良性循环。不同观点则认为,有些头部SDK比App更强势,上述的良性循环难以形成,所以应该对SDK进行直接监管。
近日,南都个人信息保护研究中心发布了《常用第三方SDK收集使用个人信息测评报告》。报告显示,受测的60款App平均每款使用19.3个SDK——从这个数字足以看出App使用SDK的普遍性。
此外,SDK收集最多的是设备唯一识别码IMEI、Android ID等设备信息,其次是Wi-Fi连接信息,包括IP地址、MAC地址,还有不少SDK获取了锁屏、安装或卸载App等用户行为信息。
TalkingData CSO皮山杉以TalkingData为例,讲解了分析/广告监测类SDK收集使用个人信息的实践。
他说,合规的SDK的工作原理为被动调用,而非主动采集。也就是说,由开发者主动调用SDK获取相应数据,来支持和满足开发者所需的分析服务。
此外,合规的SDK在采集数据时,会严格遵循现有的法律规范,并在后续数据收集处理环节进行各项安全、脱敏的技术及管理措施,以最大限度提升数据安全保护能力。
从个人信息安全的角度,App治理工作组成员樊华在会上指出了SDK的三大隐患。
首先App开发者通常不会逐行审核SDK的代码,给了SDK“夹私货”的机会;
其次SDK能够使用App申请到的所有操作系统权限,可能存在“搭便车”额外收集个人信息的情况;
最后SDK没有披露其信息收集规则的渠道,而被多个App使用的SDK可能聚合各方数据并开发利用。
她进一步指出,恶意第三方SDK“不告而做、肆意妄为”的行径更为恶劣,它们不仅伤害了宿主App用户的权益,也会给宿主App本身带来严重的负面影响,使其声誉受损。还有的SDK利用监管漏洞,对中国用户收集多于其他地区的不必要信息。
公开资料显示,2018年4月,恶意SDK“寄生推”通过预留的后门向用户手机植入恶意应用,进行恶意广告行为和应用推广等,潜在影响用户超2000万;
2017年8月,第三方广告SDK“个信”内置后门,在未经用户允许的情况下收集用户隐私数据,嵌入该SDK的500多款App被Google Play悉数下架。
不过,在皮山杉看来,SDK并非“洪水猛兽”,而是在专业化分工下,服务于移动互联网应用业务的工具。他表示,SDK的数据收集需要遵循各国/地区的法律,以及Google Play、App Store的开发者规范。
南都记者了解到,国内外均存在SDK违法违规收集使用个人信息的案例。不同的是,从立法和监管来说,国外对SDK已经出现了有针对性的法律和执法。
在会上,中国信息通信研究院安全研究所数据安全研究部研究员葛鑫和DPO社群发起人、北京大学法治与发展研究院高级研究员洪延青分别介绍了美国和欧洲的相关情况。
葛鑫提到,2014年,美国联邦贸易委员会(FTC)发布了一份报告:《数据经纪商:透明度和问责制的呼吁》,根据报告对数据经纪商的定义,SDK开发者应该被包含在内。
报告指出,数据经纪商主要提供市场营销、风险控制和人员搜索三方面业务,他们从商业、政府和其他公开渠道获得的数据不仅包含消费者的姓名、地址、家庭财产、年龄等原始数据,还包括加工后的数据,几乎涵盖全美消费者,而消费者本人对此并不知情。
因此,FTC建议立法建立一个集中机制,如公开网站,向消费者提供自己的数据在哪里被收集、使用、交易等信息,并行使访问数据或选择退出的权利。“FTC对三种业务的要求的共同点在于提高透明度,另外市场营销和人员搜索业务要给予消费者退出的选项”,葛鑫说。
与美国建议采取公开网站和退出机制相比,欧洲的要求更加严格。
洪延青举例说,法国就要求在App内部提供控制SDK收集个人信息的选项,其数据保护监管机构国家信息与自由委员会(CNIL)目前已经对Fidzup、Singlespot、Teemo和Vectaury四款SDK发出了正式整改通知,要求它们跟宿主App合作设计页面,赋予用户选择权。
以Fidzup为例。洪延青表示,在App的个人信息控制页面,存储和信息访问、个性化、广告选择等每个选项都必须处于默认关闭的状态,由用户自己打开;而且点开每项的下拉菜单,用户可以看到相关的第三方SDK,继续选择是否同意收集。
“这其实就是逼着所有App只要嵌入了第三方SDK,就必须在前端展示。”他说,反观国内,绝大多数App只会在隐私政策里用一句话概括:在某些情况下,我们会跟业务合作伙伴或者关联公司共享个人信息,远远达不到CNIL的标准。【其PPT以在本公号公开】
今年上半年来,各部门频频出台个人信息保护相关的规章、规范性文件、国家标准,形成了个人信息保护的执法高压态势,但是专门针对SDK的还有所缺失。
SDK个人信息保护合规工作应该如何开展?
有DPO成员认为,应该把监管的侧重点放在App上面,促使App自发地向SDK施压。在这种情况下,作为与用户直接交互的一方,App直接承担的责任很大,它就可以依据监管要求向SDK开发者提出详细阐述数据采集逻辑、签署数据处理协议等要求。
对此,另一位DPO成员指出,对于头部SDK来说,它们的话语权反而比一些中小App更大,并不存在“大家不用,它就活不下去”的问题,因此应该直接对SDK进行监管。
举例来说,三个SDK中,有一个迫于合规压力无法实现某个重要功能,App自然会选择另外两个,因为用户更加关注功能的实现,而不是SDK收集了什么信息。“所以监管压力绝不可能只放在App上”,上述成员说。
“现在SDK的风险并不来源于单一App的使用,而是SDK可以把很多款App的数据集成融合之后进行再利用,这种情况下只能通过直接对SDK进行监管来实现。”一位企业法务也不赞成对App监管。
不过,有人并不认同上述观点。他认为,一般来说,头部SDK开发者都来自大型互联网公司,正是重点监管对象,他们不会放任自己“店大欺客”,反而会率先做好自查,在整个行业形成示范效应,通过App向SDK传导监管压力就能构成良性循环。
还有DPO成员认为,可以在把监管重点放在App上的同时,在法律上对SDK的安全和责任划一个底线。
比如规定SDK至少应该向宿主App披露哪些信息、披露到什么程度,这样基本能保证用户的基本知情权和选择权,达到了合规的底线。如果App接受这个底线,就可以接入SDK;如果App认为SDK还不够安全,也可以自己提出其他要求。
上述成员认为,这么做对App的好处在于,如果SDK违反了这个底线责任,将由监管机构来解决,而不是由App去和SDK开发者展开博弈。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点