引言:
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布了全国信息安全标准化技术委员会(“信安标委”)编制的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(“新标准”),该新标准将于2020年10月1日实施,并即将取代已经实施了快两年的GB/T 35273-2017(“原标准”)。
在新标准中,我们留意到了一个非常可喜的变化,即在个人信息的委托处理、共享、转让、公开披露方面,新增了关于“第三方接入管理”的详细规定,包括了要求进行安全评估、明确安全责任、需要告知个人信息主体等。在现今APP大量使用到第三方接入程序/软件(例如SDK包),并可能由于这些第三方接入程序/软件过渡索权、超范围收集个人信息等问题日益严重的今天,新标准进一步明确了个人信息控制者对第三方接入管理的要求,是一个非常重要的环节,也是规范技术进步的很好体现。相关法律中暂无对“第三方接入”的定义。这里说的第三方接入,主要是互联网产品或服务的过程中,接入了第三方的产品或服务,具体到应用场景而言的话,比如说某应用程序或网页接入了第三方的软件工具开发包SDK,或调用了第三方的API接口等。特别地,当这个被接入的第三方产品或服务具有收集个人信息的功能时,需要向个人信息主体明确告知,征得个人信息主体的明示同意,接受新标准关于“第三方接入管理”的相关规定。这一点,与信安标委于2020年3月30日新发布的《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》(“安全防范指引”)的规定也互相呼应,当中也要求了需要对嵌入的收集用户个人信息的第三方SDK进行披露,告知第三方SDK类型,及收集使用的个人信息的目的、方式和范围。特别在涉及敏感信息时,还需要告知接收方的身份和数据安全能力,并征得明示同意,当用户撤回同意后,还需要帮助用户删除在第三方SDK的相关数据。其实,以移动应用程序的业务场景为例,一个APP开发并没有想象中那么容易,表面看起来很简单的功能,背后实际由各种复杂的技术在支撑。很多情况下,考虑到快速上线以及整体预算的控制,APP的开发者或运营者常常会借助第三方技术服务的力量,帮助产品实现功能并提供更多样的服务,这时,就出现了大量接入第三方产品和服务的场景了。以常见的视频直播App为例,在支付提现、分享、定位、云存储、加速服务等功能实现过程中均涉及到接入或使用第三方服务。为了能更好地理解对第三方接入管理的重要性,我们以最容易产生个人信息安全风险的第三方SDK为例进行说明。SDK是第三方接入的典型例子,先来看看什么是SDK。SDK 即软件开发工具包(Software Development Kit),是软件工程师用于为特定软件包、软件框架、硬件平台、作业系统等创建应用软件的开发工具集合,开发者无需了解 SDK 内部实现细节,只需要调用程序接口,便可以帮助 App 实现登陆分享、支付、广告、数据统计、地图、风控插件等一系列功能。为了审视SDK相关的安全问题,根据使用形态对SDK进行分类,可以分为:(1)引入SDK: 自身应用中集成引入的第三方SDK(例如ZOOM事件中内嵌了脸书的SDK);(2)外发SDK:将自身业务服务封装,发布出去给第三方厂商调用使用的 SDK。这些第三方SDK有着各类神通广大的功能,比如,专业型的SDK根据功能的不同可以实现推送、通信、存储、安全、地图及位置服务、统计及增长、社交、广告、语音识别、图像识别等各种功能(例如金融行业的开放银行领域,银行业者通过将自己的业务服务和数据服务封装到一个 SDK 中,实现向第三方合作伙伴提供开放金融能力)。我们以通过 Android 提供的标准系统加入平台获取为例,SDK可以收集的信息包括:(1)应用信息类:到用户手机上已经安装的App信息列表和正在运行的应用列表;(3)网络相关信息类:用户移动设备的联网信息、用户通信的设备信息、GPS、NFC 信息等;(4)设备信息类:用户移动设备标识信息、手机IMEI码、SIM标识信息等;(5)传感器信息类:不同型号的移动设备,集成传感器的数量与种类也有所区别,比如用户的行踪可以通过位置传感器精确追踪。第三方接入存在的安全隐患及可能引发的个人信息安全问题包括:当第三方接入的产品或服务(例如SDK)一样具有收集用户个人信息的能力的时候,在较多的情况下,用户较难感知,甚至App的运营者或开发者也未必都知道这些第三方接入的产品收集了哪些个人信息。一旦这些第三方接入的产品在没有经过用户同意的情况下,收集了各类与用户密切相关的敏感信息(例如银行账号,生物特征信息等),并传输到其他服务器甚至境外,将会引发极大的个人数据隐私风险。以第三方SDK为例,目前,已经发现的SDK安全漏洞包括 HTTP 误用,SSL/TLS不正确配置、敏感权限滥用、通过日志造成信息泄露等。如果一个App嵌入的第三方SDK越多,它的安全漏洞可能就越明显,影响范围也就越大。(3)违反个人信息收集的“最小使用”和“目的限制”原则标准明确了个人信息安全的七项基本原则,其中“最小必要原则”是指,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。而“目的明确原则”则是指,需要具有明确、清晰、具体的个人信息处理目的。但是很多第三接入的产品或服务经常通过不透明的方式,大量高频次地收集用户的个人信息,而往往这些被收集的个人信息与业务功能并没有任何直接或间接的关联。(4)恶意第三方接入(例如SDK)导致软件供应链污染比如说,“引入SDK”的主要安全风险来自SDK自身的恶意行为。由于 Android 操作系统带有热更新机制,这使得一部分恶意 SDK 在客户集成阶段会表现为一个非常正常的应用,而一旦应用发布后到了运行阶段,攻击者就会通过热更新机制,更新恶意代码,执行盗取用户数据、采集敏感信息等恶意行为。这种发布后作恶的行为在很大程度上绕过了发布前的静态检测,具有非常大的迷惑性,也使得其作恶行为更加难以被发现。而“外发 SDK”的风险则主要存在于在发布后的运行阶段,极容易遭遇剥离、破解、注入、调试和渗透测试等运行时攻击行为。3、存在“第三方接入”情形时,如何分辨场景、角色和责任?
当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,个人信息控制者和第三方接入服务或产品供应商在数据收集、使用的环境中,将会由于不同的合作关系或个人信息处理活动,而处于个人信息控制者、共同控制者或者接受控制者委托的信息处理者地位,需要进行具体的分析。下面,我们将结合新标准的规定,根据不同的情况,进行分析。(1)当第三方接入的产品是接受网站经营者的委托而进行处理个人信息时,网站经营者(例如:宿主APP)接入了第三方的产品,并委托第三方对个人信息进行处理,网站经营者对个人信息处理的目的和范围决定,受托的第三方接入产品应按照网站经营者的指示进行处理个人信息。那么,网站经营者属于个人控制者,接入的第三方仅构成个人信息处理者。例如 APP 运营者在应用程序中部署了第三方统计分析类的SDK,第三方完全按照宿主APP的指示将个人信息用于统计分析,不能将个人信息再与第三方共享或超出授权委托处理的范围。(2)当第三方接入的产品与网站经营者共同处理个人信息时,网站经营者与第三方共同决定了个人信息处理的范围和目的,此时,第三方可能构成个人信息共同控制者。例如在宿主APP中嵌入了第三方支付SDK或调用了第三方地图供应商的API接口,第三方对数据使用目的、使用方式也享用了共同决定权,与宿主APP一起决定第三方SDK收集哪些信息等。此时,特别需要注意的是,新标准以及上述提及的“安全防范指引”都明确要求了网站经营者需要向用户明确告知第三方收集个人信息的情况并取得用户同意。特别地,当接入的第三方服务仅提供或支持扩展业务功能时,还要求就第三方提供的扩展业务功能进行逐项说明并取得用户明示同意(新标准提高了对扩展业务功能的告知和同意要求)。关于此点,在新标准中的9.6条,也明确表示了,当个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。新标准通过上述这些要求,进一步地应对了第三方接入的常见问题,例如网络经营者没有向用户告知第三方接入的产品收集了哪些信息,没有取得用户的同意,在第三方接入的产品超出授权范围收集个人信息或变更使用目的时只是获得用户的概括式授权同意等问题。关于以上第1点和第2点的情况,按照新标准的规定,如果该第三方构成接受控制者委托的信息处理者或者为共同控制者,适用标准第9.1(委托处理)和9.6(共同个人信息控制者)的规定。(3)当网站经营者接入或跳转到第三方接入的产品时,第三方通常对个人信息处理的范围和目的享有决定权。例如当一些直接收集类的SDK,可以在即便宿主APP关闭了部分权限的情况下,也可以通过一些绕过的手段收集用户的个人信息。此时,第三方接入是为了获得个人信息并且实现该第三方提供的服务功能,因此第三方不是接受委托处理个人信息的受托方,同时,如果宿主APP并不控制这些收集的数据,而是由第三方接入的这个产品实际控制了这些收集的数据,第三方接入很可能成为个人信息的控制者。例如视频直播软件接入了第三方的支付SDK的情况。但实践中多数情况下,网站经营者(例如宿主APP)通常并没有清晰地明确这些服务是由哪些第三方提供的,第三方接入都收集了哪些信息,也没有对第三方接入提供的服务进行明确的区分,更没有对第三方接入的产品或服务进行有效的技术审查和监督管理,从而导致各类安全漏洞,引发严重的个人信息安全风险。因此,新标准特别就这一点进行了详细的明确。从新标准的规定可以看出,关于对第三方接入的管理,与共享、转让、委托处理中的规定和责任相似,例如,包括在事前建立第三方产品或服务接入管理机制,在接入后对第三方产品和服务进行持续监督、通过签署合同约束双方责任、需要明确告知个人信息主体服务由第三方提供、对记录进行保存、要求第三方确保个人信息主体授权同意、对第三方接入的自动化工具技术进行技术检测等等。具体建议如下:(1)建立管理机制:建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件。例如,审慎接入第三方SDK,具体要审核第三方SDK的代码是否安全、收集了哪些信息、采取了哪些安全措施、在哪里存储、具体的使用方式、使用内容、权限申请等。(2)签署合同:应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施。(3)明确标识:应向个人信息主体明确标识产品或服务由第三方提供。例如,当接入了具备收集个人信息的产品或服务时,需要在隐私政策中明确披露接入的第三方SDK的名称、接入目的、收集和使用范围等。(4)明示具体功能:如果通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器,应通过弹窗提示等方式明确告知用户。(5)保存记录:应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅。(6)要求第三方获得授权同意:应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式。(7)要求第三方建立响应机制:应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用。(8)监督管理:应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入。(9)技术检测:当产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、 软件开发工具包、小程序等)时,开展技术检测确保其个人信息收集、使用行为符合约定要求。(10)进行审计:对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超 出约定的行为,及时切断接入。结语:
新标准对第三方接入管理提出了更高的要求,特别是对第三方SDK的监管,也很可能成为本年度的监管重点之一。这也意味着,对于网络经营者而言,也将承担更大的个人信息保护责任,并采取措施落实各项要求,包括需要对接入的第三方进行评估审查,对用户告知和同意机制进行完善,还需要与第三方接入供应商签订合作协等,企业或平台能否有足够的能力或资源完成这些要求,以及这些监督义务需要履行到何种程度适宜,将值得司法界、学术界、企业界等全行业一起继续探讨。
王捷,垦丁海外业务负责人,资深出海法律顾问。广东省法学会信息通讯法学研究会理事,荷兰 RuG 国际经济法与商法硕士,曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。九年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
团队简介:垦丁海外律师团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。