查看原文
其他

第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

蒋琳 朱芳圆 网安寻路人 2020-02-26

7月25日,第十五期数据保护官(DPO)沙龙在TalkingData举行,来自研究机构、互联网企业等数据安全一线的工作者重点讨论了App中嵌入的SDK个人信息保护合规问题。



SDK是指集成在App里的软件开发工具包,可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力,有违规收集使用的风险。


有DPO成员认为,应该把监管重点放在App上,促使App自发地向SDK施压,形成良性循环。不同观点则认为,有些头部SDK比App更强势,上述的良性循环难以形成,所以应该对SDK进行直接监管。



01SDK存在“夹私货”“搭便车”等安全隐患



近日,南都个人信息保护研究中心发布了《常用第三方SDK收集使用个人信息测评报告》。报告显示,受测的60款App平均每款使用19.3个SDK——从这个数字足以看出App使用SDK的普遍性。



此外,SDK收集最多的是设备唯一识别码IMEI、Android ID等设备信息,其次是Wi-Fi连接信息,包括IP地址、MAC地址,还有不少SDK获取了锁屏、安装或卸载App等用户行为信息。


TalkingData CSO皮山杉以TalkingData为例,讲解了分析/广告监测类SDK收集使用个人信息的实践。


他说,合规的SDK的工作原理为被动调用,而非主动采集。也就是说,由开发者主动调用SDK获取相应数据,来支持和满足开发者所需的分析服务。


此外,合规的SDK在采集数据时,会严格遵循现有的法律规范,并在后续数据收集处理环节进行各项安全、脱敏的技术及管理措施,以最大限度提升数据安全保护能力。


从个人信息安全的角度,App治理工作组成员樊华在会上指出了SDK的三大隐患。


首先App开发者通常不会逐行审核SDK的代码,给了SDK“夹私货”的机会;


其次SDK能够使用App申请到的所有操作系统权限,可能存在“搭便车”额外收集个人信息的情况;


最后SDK没有披露其信息收集规则的渠道,而被多个App使用的SDK可能聚合各方数据并开发利用。


她进一步指出,恶意第三方SDK“不告而做、肆意妄为”的行径更为恶劣,它们不仅伤害了宿主App用户的权益,也会给宿主App本身带来严重的负面影响,使其声誉受损。还有的SDK利用监管漏洞,对中国用户收集多于其他地区的不必要信息。


公开资料显示,2018年4月,恶意SDK“寄生推”通过预留的后门向用户手机植入恶意应用,进行恶意广告行为和应用推广等,潜在影响用户超2000万;


2017年8月,第三方广告SDK“个信”内置后门,在未经用户允许的情况下收集用户隐私数据,嵌入该SDK的500多款App被Google Play悉数下架。


不过,在皮山杉看来,SDK并非“洪水猛兽”,而是在专业化分工下,服务于移动互联网应用业务的工具。他表示,SDK的数据收集需要遵循各国/地区的法律,以及Google Play、App Store的开发者规范。


02他山之石:App内设SDK收集个人信息开关



南都记者了解到,国内外均存在SDK违法违规收集使用个人信息的案例。不同的是,从立法和监管来说,国外对SDK已经出现了有针对性的法律和执法。


在会上,中国信息通信研究院安全研究所数据安全研究部研究员葛鑫和DPO社群发起人、北京大学法治与发展研究院高级研究员洪延青分别介绍了美国和欧洲的相关情况。


葛鑫提到,2014年,美国联邦贸易委员会(FTC)发布了一份报告:《数据经纪商:透明度和问责制的呼吁》,根据报告对数据经纪商的定义,SDK开发者应该被包含在内。


报告指出,数据经纪商主要提供市场营销、风险控制和人员搜索三方面业务,他们从商业、政府和其他公开渠道获得的数据不仅包含消费者的姓名、地址、家庭财产、年龄等原始数据,还包括加工后的数据,几乎涵盖全美消费者,而消费者本人对此并不知情。


因此,FTC建议立法建立一个集中机制,如公开网站,向消费者提供自己的数据在哪里被收集、使用、交易等信息,并行使访问数据或选择退出的权利。“FTC对三种业务的要求的共同点在于提高透明度,另外市场营销和人员搜索业务要给予消费者退出的选项”,葛鑫说。


与美国建议采取公开网站和退出机制相比,欧洲的要求更加严格。


洪延青举例说,法国就要求在App内部提供控制SDK收集个人信息的选项,其数据保护监管机构国家信息与自由委员会(CNIL)目前已经对Fidzup、Singlespot、Teemo和Vectaury四款SDK发出了正式整改通知,要求它们跟宿主App合作设计页面,赋予用户选择权。


以Fidzup为例。洪延青表示,在App的个人信息控制页面,存储和信息访问、个性化、广告选择等每个选项都必须处于默认关闭的状态,由用户自己打开;而且点开每项的下拉菜单,用户可以看到相关的第三方SDK,继续选择是否同意收集。


“这其实就是逼着所有App只要嵌入了第三方SDK,就必须在前端展示。”他说,反观国内,绝大多数App只会在隐私政策里用一句话概括:在某些情况下,我们会跟业务合作伙伴或者关联公司共享个人信息,远远达不到CNIL的标准。【其PPT以在本公号公开】


03国内监管路径:重点放在App还是SDK?



今年上半年来,各部门频频出台个人信息保护相关的规章、规范性文件、国家标准,形成了个人信息保护的执法高压态势,但是专门针对SDK的还有所缺失。



SDK个人信息保护合规工作应该如何开展?


有DPO成员认为,应该把监管的侧重点放在App上面,促使App自发地向SDK施压。在这种情况下,作为与用户直接交互的一方,App直接承担的责任很大,它就可以依据监管要求向SDK开发者提出详细阐述数据采集逻辑、签署数据处理协议等要求。


对此,另一位DPO成员指出,对于头部SDK来说,它们的话语权反而比一些中小App更大,并不存在“大家不用,它就活不下去”的问题,因此应该直接对SDK进行监管。


举例来说,三个SDK中,有一个迫于合规压力无法实现某个重要功能,App自然会选择另外两个,因为用户更加关注功能的实现,而不是SDK收集了什么信息。“所以监管压力绝不可能只放在App上”,上述成员说。


“现在SDK的风险并不来源于单一App的使用,而是SDK可以把很多款App的数据集成融合之后进行再利用,这种情况下只能通过直接对SDK进行监管来实现。”一位企业法务也不赞成对App监管。


不过,有人并不认同上述观点。他认为,一般来说,头部SDK开发者都来自大型互联网公司,正是重点监管对象,他们不会放任自己“店大欺客”,反而会率先做好自查,在整个行业形成示范效应,通过App向SDK传导监管压力就能构成良性循环。


还有DPO成员认为,可以在把监管重点放在App上的同时,在法律上对SDK的安全和责任划一个底线。


比如规定SDK至少应该向宿主App披露哪些信息、披露到什么程度,这样基本能保证用户的基本知情权和选择权,达到了合规的底线。如果App接受这个底线,就可以接入SDK;如果App认为SDK还不够安全,也可以自己提出其他要求。


上述成员认为,这么做对App的好处在于,如果SDK违反了这个底线责任,将由监管机构来解决,而不是由App去和SDK开发者展开博弈。




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  13. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  14. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. 评价GDPR一周年:一些正负面观点

  40. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  41. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  42. 英法两国对 AdTech和广告类SDK的监管案例分析

  43. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)




Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存