总法嘉谈｜一文读懂App和SDK合规治理的“前世今生” (下)

输

作为一名法律人来说，“总法律顾问”意味着时光与经验的沉淀，意味着资历同智慧的兼具！

他们就像是大海中的灯塔，天空中的明星，指引着法律人努力的方向。

其实——他们还实力与文采并存，有一颗笔耕不辍的心！

“总法嘉谈”专栏由此而生。

我们将收集总法律顾问们的笔墨佳作，感受他们字里行间流露出的专业素养和人生智慧。

站在他们的肩膀上，读法律、看人生、观世界。

来源：公众号“律商视点”

SDK合规治理的“前世今生”

自从2019年四部门联合开展App违法违规收集使用个人信息专项治理以来（参见文章：总法嘉谈｜一文读懂App和SDK合规治理的“前世今生” (上)），随着治理工作的深入推进，与App存在密切联系的SDK收集个人信息问题也逐渐进入了人们的视野。

一、什么是SDK？

SDK是Software Development Kit软件开发工具包的简称。根据2020年11月由全国信息安全标准化技术委员会颁发的（V1.0-202011）《网络安全标准实践指南》中的定义，SDK是协助软件开发的相关的二进制文件、文档、范例和工具的集合，是对实现APP特定功能的代码进行封装，向外提供简捷的调用接口的二进制文件。而第三方SDK，就是由第三方软件开发提供商提供的实现软件特定功能的工具包。该工具包的提供者与APP开发提供者并非同一主体。例如，使用微信或微博账号快速登陆第三方App，就是在App中嵌入了微信登陆分享或微博登陆分享的SDK。通过嵌入小米推送或百度云推送的SDK，在今日头条、爱奇艺、淘宝等App中实现推送聊天消息、日程提醒、活动预告等功能。

二、SDK有哪些常见类型？

根据2020年11月27日全国信息安全标准化技术委员会（“信安标委”）发布的《网络安全标准实践指南-移动互联网应用程序(App)中第三方软件开发工具包(SDK)安全指引》（“《SDK安全指引》”），按功能分，常见SDK可分为广告类（如：广点通、多盟、有米、TalkingData），推送类（如：极光推送，友盟推送、小米推送、华为推送、百度云推送），统计类（如：友盟、海度云、贵士移动），地图类(如：百度地图，高德地图、腾讯地图)，第三方登录类（如：新浪、QQ、微信），社交类（如：环信，网易云信、融云），支付类(如：微信、支付宝、银联支付)，客服类（如：环信、腾讯云通信），语音识别类(如：百度的语音转文字，讯飞的语音转文字)，短信验证类（如：mob验证码、容联云通讯），基础功能类（GSON、Okhttp 、EventBus）等16大类。按来源分，可分为第三方服务商提供类和开源社区提供类，后者可进一步分为有明确开发主体和无明确开发主体。

三、第三方SDK应用现状如何?

《软件开发包(SDK)安全与合规白皮书（2019）》提到，根据爱加密大数据中心提供的数据，截至2019年4月底，在其收录的共计约267万条Android应用数据中，超过50%的App都不同程度地使用了第三方SDK。各类App使用第三方SDK平均在10个以上，最多可达平均30.6个/类。

2019年6月南方都市报个人信息保护研究中心、中国金融认证中心（CFCA）对60款常用App中继承的SDK个数和调用次数进行测评，并对App使用最广泛的SDK进行系统权限、实际行为、上送信息等方面做了分析，并于7月联合发布了《常用第三方SDK收集使用个人信息测评报告》。根据报告，被测的60款App平均每个使用19.3个SDK，其中使用最广泛的是微信SDK。在实际使用中，消息推送类SDK被调用的次数最多，60款App共调用了264次，SDK调用频率为27%。60款App共使用了113个不同的SDK，这些SDK收集的信息中，设备信息和网络信息被收集得最为频繁。

SDK被广泛使用的原因主要是第三方SDK可大幅度提升App提供者的开发效率，明显降低开发成本，SDK灵活好用，为App提供流畅和定制化的用户体验，且SDK可提高App的兼容性，扩大用户使用范围。

四、App使用SDK的合作模式和两者的法律关系与责任

App使用SDK模式

App提供者与SDK提供者一般是两个不同的主体。SDK提供者将实现特定功能的代码进行封装，并提供简单的调用接口，以便App调用。App提供者无需自己开发这些SDK所提供的功能，只需将SDK嵌入App代码中（有些SDK有独立交互界面，App交互页面也会将其嵌入），调用SDK提供的接口就可让App实现相应的功能，大大节省了开发时间和成本。用户通过App交互界面使用SDK功能。大多时候，用户直接在App交互界面与SDK进行交互，不会通过页面跳转去访问SDK的独立交互界面，因此，用户经常毫无感知SDK的存在。

两者的法律关系

App提供者与第三方SDK提供者之间多基于合同关系，应根据双方之间的协议明确双方的权利和义务。就App的个人信息安全角度，两者的法律关系大致可分为以下三种情况：

（1）信息控制者 vs 个人信息处理者：如果App提供者委托SDK提供者处理个人信息，SDK提供者按照App提供者的要求，代表App提供者处理个人信息，在这种情况下，App提供者是个人信息控制者，SDK提供者是个人信息处理者。按委托代理关系，由App提供者对App承担个人信息安全责任，SDK提供者应严格按照App提供者的要求处理个人信息，协助App提供者响应个人信息主体的权力请求，发生安全事件应及时反馈，并受App提供者的监督（如合同的义务履行和审计）。在这种情况下，SDK提供者将无法与用户直接建立合同关系，也无法以自己的名义就收集用户个人信息的行为获得用户的同意。所有的告知和同意必须由App提供者来完成。

（2）单独个人信息控制者 vs 单独个人信息控制者：如App提供者与SDK提供者均以单独身份各自向App用户提供服务，自行决定处理数据的目的和方式，则他们承担各自的个人信息控制者责任，App提供者同时承担接入第三方管理的责任，包括：a) 建立第三方SDK接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；b) 应与第三方SDK提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施；c) 应向用户明确标识SDK的功能服务由第三方提供；d) 应妥善留存平台第三方接入有关合同和管理记录；e) 应要求第三方向用户征得授权同意，必要时核验其实现的方式；f) 应要求第三方SDK建立响应个人信息主体请求和投诉等的机制；g) 应监督第三方SDK提供者加强个人信息安全管理，发现第三方SDK没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入；h) 产品或服务嵌入或接入第三方SDK的，宜采取：1) 开展技术检测确保其个人信息收集、使用行为符合约定要求；2) 对第三方SDK收集个人信息的行为进行审计，发现超出约定的行为，及时切断接入。

（3）共同个人信息控制者 vs 共同个人信息控制者：如App提供者与SDK提供者共同决定数据的处理目的和方式，则他们双方是个人信息共同控制者，需通过合同来约定各自责任。App提供者应通过合同等形式与SDK提供者共同确定分别应承担的责任和义务，并向个人信息主体明确告知。如App提供者未能向个人信息主体明确告知SDK提供者的身份以及双方在个人信息安全方面分别承担的责任和义务，则App提供者应承担因SDK提供者引起的个人信息安全责任。请注意，如SDK提供者并未单独向个人信息主体征得收集个人信息的授权同意，则App提供者与SDK提供者在个人信息收集阶段就被认为是共同个人信息控制者。

在上述（2）（3）情况下，虽然SDK提供者是个人信息控制者，必须独立征得用户的授权同意，但由于第三方SDK不直接面对用户，最终还是需要App提供者通过弹窗、链接等方式为无单独页面的SDK提供向用户告知的便捷渠道。

五、SDK安全问题频频暴雷

2020年，新冠疫情让提供远程会议服务的Zoom成为最受瞩目的科技公司之一，它的服务对于居家隔离和远程工作者来说必不可少。自2020年第一季度，Zoom的市值实现翻番，日活用户数达到创纪录的484万。但Zoom的iOS客户端却引发了批评。3月26日，《Motherboard》刊文指出，在iOS系统下载或打开Zoom App时，App内嵌的Facebook SDK会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。这不仅发生在用户使用Facebook账号登陆Zoom时，也发生在没有Facebook账号的用户身上。事实上，Facebook就旗下的SDK可能收集用户数据一事做出了清晰地说明，但由于用户对SDK难以感知，Zoom有义务在隐私政策中明确告知该SDK的存在。Facebook也严格规定了，“如果你使用我们的SDK，就代表你保证就用户数据收集、共享和使用向用户提供了足够有力且明确的告知。然而，Zoom的隐私政策里仅提到：“我们的第三方服务提供商和广告合作商（比如谷歌和谷歌分析）会自动收集你在使用我们产品时的一些信息”，但却未提Facebook以及具体会涉及哪些信息。

3月27日，Zoom CEO立即发表回应并道歉，解释他们也是直到3月25日才发现Facebook SDK收集了不必要的设备信息，因此决定从iOS客户端移除Facebook SDK。29日Zoom进一步修改了其隐私政策。尽管如此，美国加州居民Rober Cullen认为Zoom的上述行为违反了《加州反不正当竞争法》、《消费者法律救济法》及《加州消费者隐私法案》，于是对Zoom提起了诉讼。

2020年7月16日央视3.15晚会曝光了上海氪信信息技术有限公司，北京招彩旺旺信息技术有限公司的SDK, 均在未经用户授权，用户不知情的情况下窃取用户个人信息，涉案国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款App，读取了用户设备中包括IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器等各类信息，严重侵害了用户权益。曝光后，社会舆论反响强烈。

其实早在2015年，SDK的安全问题就已被关注。2015年10月19日，苹果商店紧急下架了256款App，这些App的共同特点是使用了有米公司提供的SDK插件。根据移动网络安全机构SourceDNA发布的调查报告，有米提供的SDK存在严重的安全漏洞，可绕过苹果商店的审核机制搜集用户的隐私。2015年10月27日，百度旗下12款软件存在WormHole漏洞，该漏洞可被用来远程安装应用和控制手机。10月30日，百度WormHole漏洞门进一步扩大，采用了百度SDK的大量App都受到影响。

之后，2016年TalkingData SDK因违反Google Play的开发者条款而导致大量嵌入该SDK的App下架。2017年8月，安全公司Look out Security Intelligence的研究人员报告，发现一个名为个信的广告SDK有内置后门，允许下载和执行任意代码。在Google Play上有超过500款App使用了恶意版本的个信广告SDK，受此影响的App下载量已超过一亿次。

2018年4月18日，知名安全机构监测到安卓手机“寄生推”病毒爆发了。“寄生推”SDK可通过预留的“后门”远程控制开启恶意功能，进行恶意广告行为和应用推广，以谋取灰色收益，受到影响的设备会不断弹出广告和安装推广应用，300余款知名App被感染，数十万用户设备ROM内被植入相关的恶意子包，潜在受影响的用户高达2000余万。

六、SDK常见的安全问题

上述被曝光的仅是第三方SDK安全问题的冰山一角，在此我们参考相关资料，总结了第三方SDK目前存在的常见问题如下：

（1）第三方SDK自身安全漏洞堪忧

大多第三方SDK缺乏安全审核环节，造成诸多未知的安全漏洞。源文件安全问题（私有函数调用风险、AES弱加密漏洞）、内部数据交互安全（低保护级别的自定义权限、PengdingIntent不安全使用）、通信数据传输安全（HTTPS关闭主机名验证、Webview忽略SSL证书错误）、本地数据存储安全问题（getdir读写权限配置错误、配置文件读写权限配置错误）以及防御检测问题（外部加载so文件漏洞）。

（2）第三方SDK借助合法App开展恶意行为

为谋取经济利益，一些恶意开发者渗入到SDK开发环节，打着第三方服务的旗号吸引App开发者来使用他们的SDK。一旦恶意的SDK被嵌入合法的App，就可以躲避应用市场和安全厂商的检测。然后，嵌入App中的恶意SDK通过其预留的“后门”对用户的手机进行远程静默安装应用、静默添加联系人、非法获取用户的个人信息。SDK就嵌入App中的SDK自身产生的恶意行为，会破坏使用SDK的App的安全性，对App用户权益、数据安全等造成损害。典型的恶意行为有：隐私窃取、广告刷量、远程控制等。

（3）第三方SDK收集使用个人信息安全问题

这是第三方SDK问题的重灾区，也是当前合规治理的重中之重。2020年12月，南方都市个人信息保护课题组在“2020啄木鸟数据治理论坛”上发布了《个人信息安全年度报告（2020）》。报告对60款App嵌入的第三方SDK收集使用个人信息的情况进行了测评，发现，所有60款受测App使用的第三方SDK获取的权限都超出最小必要范围，57款App使用的SDK获取了设备状态权限、已安装列表等，54款App使用的SDK获取了网络身份标志权限。另外，12款App没有在隐私政策中列出所使用的SDK，16款App调用了所列出的SDK以外的第三方SDK。

理论上，第三方SDK提供者收集使用App用户的个人信息前，应完成三项授权行为：（1）App提供者就其收集使用用户的个人信息应得到用户的授权同意；（2）App提供者就其收集的用户个人信息分享给SDK提供者应得到用户的授权同意；（3）App提供者与SDK提供者之间就用户个人信息的共享和传输，应完成App提供者对SDK提供者的授权。只有完成上述的三重授权，SDK提供者收集使用用户的个人数据才有正当合法性。

根据2020年《网络安全标准实践指南-移动互联网应用程序(App)中第三方软件开发工具包(SDK)安全指引》，第三方SDK收集使用个人信息安全问题可分为以下几个方面：

1. SDK超范围收集个人信息：例如SDK强制申请非必要权限、收集与提供的服务无关的个人信息，自动收集个人信息的频度和时机不合理等。

2. App未说明嵌入的SDK收集使用个人信息的目的、类型、方式等。SDK在无法独立展示交互界面的情况下，需借助App告知给最终用户。由于SDK未向App告知或未完整告知自身收集使用个人信息的规则，或SDK向App完整告知了但App未能向App用户说明，造成最终用户对SDK收集使用个人信息的行为没有感知。

3. SDK未经最终用户同意收集使用或对外提供个人信息。SDK未经最终用户同意，私自调用系统权限偷偷地收集个人信息，通过自启动、关联启动等方式收集个人信息。

4. App对SDK的个人信息安全管理监督不足。App通常与SDK通过开放平台在线签署开发者服务协议来约定双方的权利义务，而开发者服务协议通常缺少针对数据安全的约束条款。此外，App对SDK收集使用个人信息的行为进行技术检测存在一定困难。

七、SDK个人信息保护监管和治理发展脉络梳理

2019年1月，中央网信办、工信部、公安部和市场监管总局四部门联合发布公告，宣布自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理行动。随后，App专项治理工作组成立，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估，并在3月建立了App举报平台。

2019年3月1日，App专项治理工作组发布了《App违法违规收集使用个人信息自评估指南》，提出了9大评估项，32个场景的评估标准，是企业自查自纠的重要参考。其中，第22条规定，如果通过嵌入第三方SDK等方式将个人信息传输至第三方服务器，应通过弹窗提示等方式明确告知用户。

2019年5月28日，国家网信办公布《数据安全管理办法（征求意见稿）》，其中第30条规定：网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应承担部分或全部责任，除非网络运营者能够证明无过错。虽然这条主要针对网络运营者和第三方应用，但对App提供者和第三方SDK提供者之间的责任承担具有借鉴意义，值得关注。

2019年6月1日，信安标委出台了《网络安全实践指南-移动互联网应用基本业务功能必要信息规范》，提出了个人信息收集的通用原则以及16种常见类型的App为实现各自基本业务功能所需的必要信息。之后，在上述指南基础上，信安标委进一步起草了国家标准《信息安全技术 移动互联网应用(App)收集个人信息基本规范（征求意见稿）》(“《规范》”)，分别于2019年8月5日、10月24日和2020年1月20日发布了三版《规范》的征求意见稿。《规范》全面覆盖30种App常见的服务类型，针对各类服务类型分别规定了可收集的最小必要信息（法律法规要求的个人信息和实现服务所需的个人信息）与需个人信息主体授予的最小必要权限范围。因此，作者认为，虽然规范未予以明确，但理论上，嵌入App的第三方SDK收集个人信息也应达到上述的最小必要权限范围。

2019年11月28日，四部委联合制定了《App违法违规收集使用个人信息行为认定方法》（“《认定方法》”），并于12月30日公开发布。认定方法共分6大项认定准则，包含31种场景。是后续治理App一系列行动最为重要的依据之一。认定方法明确了：（1）未逐一列出App嵌入的第三方SDK的收集使用个人信息的目的、方式、范围属于“未明示收集使用个人信息的目的、方式和范围”；(2) 未经用户同意也未做匿名处理，App客户端直接向第三方SDK提供个人信息属于“未经同意向他人提供个人信息”。

2020年3月6日，由国家市场监管总局和国家标准化管理委员会联合发布GB/T35273-2020《信息安全技术 个人信息安全规范》（“2.0版《个人信息安全规范》”），并于2020年10月1日正式实施。2.0版《个人信息安全规范》对第三方接入管理等常见业务实践中的热点问题进行了回应。根据第9.6条，如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方SDK，且该第三方并未单独向个人信息主体征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。根据第9.7条，当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方SDK且不属于委托代理和共同控制者时，个人信息控制者应有第三方接入管理责任。

2020年7月22日，中央网信办、工信部、公安部、国家市场监管总局四部门在京召开会议，正式启动2020年App违法违规收集使用个人信息治理工作。会议指出了2020年的治理工作在七方面重点开展，其中首要重点是制定发布SDK、手机操作系统个人信息安全评估要点，持续受理并处理公众对违法违规手机使用个人信息行为的线索举报和问题反映，对用户规模大、问题反映集中的App、SDK、小程序等进行深度评估。

2020年7月25日，基于App专项治理工作组2019年3月发布的《App违法违规收集使用个人信息自评估指南》，信安标委编制了《网络安全标准实践指南-移动互联网应用程序（App）收集使用个人信息自评估指南》（“《实践指南》”）。其中第2.1条(c)规定，如嵌入第三方SDK收集个人信息，应说明第三方SDK类型或名称，以及收集个人信息的目的、类型和方式。第5.1条 (a)如存在从客户端直接向第三方发送个人信息的情形，包括通过客户端嵌入第三方SDK等方式向第三方发送个人信息的情形，需事先征得用户同意，经匿名化处理的除外。

2020年7月29日，工信部在京召开会议，部署开展纵深推进App侵害用户权益专项整治行动（《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函【2020】164号)，确认了此次专项整治行动对App、SDK违规处理用户个人信息等四大重点领域进行集中整治。

2020年11月27日，信安标委正式发布《网络安全标准实践指南-移动互联网应用程序(App)中第三方软件开发工具包(SDK)安全指引》（“《SDK安全指引》”），给出了SDK常见安全风险，针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了重要的实践指引。

2021年4月14日，国家标准《信息安全技术 移动互联网应用程序(App)SDK安全指南(征求意见稿)》向社会公开征求意见，并于7月-8月完成该安全指南的试点工作。这是国内首个关于SDK安全的国家标准。目前《信息安全技术 个人信息安全规范》（GB/T 35273-2020）对通用的个人信息安全进行了框架性的规范，《信息安全技术 移动互联网应用(App)收集个人信息基本规范（征求意见稿）》针对App做了进一步规范，《SDK安全指引》针对SDK使用过程中存在的恶意程序、安全漏洞、违法违规收集个人信息等问题给出了实践指引。但是在SDK整体的安全开发和个人信息安全方面，目前仍缺少系统性的标准，SDK提供者和App提供者对于双方职责划分，工作协同的定位仍不清晰，缺少统一的沟通途径。因此，该安全指南特别对SDK提供者提出了全生命周期的安全要求，即在SDK设计、开发、部署和运营的每一个环节中，SDK提供者都应保障数据传输和存储安全。这对最大程度地保障App提供者、SDK提供者和用户的利益，促进SDK行业的健康绿色发展具有重要的标准指导意义。

2021年3月12日，国家网信办、工信部、公安部和国家市场监管总局联合制定并发布《常见类型移动互联网应用程序必要个人信息范围规定》，于2021年5月1日实施。该规定对地图导航、网络约车、即时通信、网络社区、网络支付、网上购物、短视频等共计39类常见App的基本功能服务和必要个人信息范围进行了规定。虽从定义上看，SDK并未纳入App范畴中（本规定仅强调“移动智能终端上运行的App存在收集用户个人信息行为的，应遵守本规定），但作者认为，SDK也不能置身事外，嵌入App的第三方SDK收集个人信息也应达到上述的类似最小必要权限范围。

截至2021年4月20日，工信部已累计完成29万款App技术检测，对1862款违规App提出整改要求，公开通报319款整改不到位App，组织下架107款拒不整改的App。紧接着，2021年5月1日、5月10日、5月21日及6月11日，中央网信办共分4批，对17类291款App进行通报。治理工作开展以来，大量 App因存在于SDK有关问题被通报，包括“通过嵌入的SDK违规向第三方提供个人信息”、“未注意列出嵌入的第三方SDK收集使用个人信息的目的、类型”。

八、SDK数据保护和安全合规要点建议

作者结合上述法律法规和国家标准指南，分别从App提供者和SDK提供者两个角度总结了以下与第三方SDK个人信息保护合规相关的要点，为各大企业应对SDK的合规治理工作做一些参考。

（一）针对嵌入SDK的App提供者的合规建议

1. 选择：应谨慎选用安全性高、可靠性高的SDK，遵循合法、正当、必要的原则。使用提供者基本信息明确、沟通反馈渠道有效的SDK。

2. 安全性评估：集成SDK前对SDK进行安全性评估，这点很重要。评估内容分为：（1）来源安全性：类似尽职调查。SDK提供者的基本信息、SDK隐私政策链接地址、SDK提供者的安全能力、SDK的基本功能等；（2）代码安全性：是否存在已知的恶意代码；是否存在已知的安全漏洞；是否申请敏感权限（例如访问用户的通讯录、设备唯一标识符号以及，摄像头、麦克风、地理位置等敏感操作能力）；是否还存在“套娃”：嵌入了其他SDK；（3）行为安全性：调用的敏感权限、目的和频率；收集个人信息的类型、目的和频率；个人信息回传服务器域名、IP地址、所在地址；是否存在热更新以及热更新是否可主动关闭；传输数据是否加密；是否存在单独收集用户个人信息的界面。

3. 热更新管理：要对SDK的热更新内容进行校验，对非官方的热更新内容要及时阻断。

4. 接口管理：通过接口调用SDK功能的，对接口增加鉴权机制。

5. 后续监测：对集成后的SDK进行动态持续的监测和定期安全评估。对已发现的安全漏洞，及时修补，并从SDK官方渠道及时更新最新版本。对已发现的恶意行为的SDK，应及时停用。

6. 用户告知并同意：向用户告知SDK的名称、SDK收集的个人信息类型、目的和方式，申请的敏感权限、申请目的等，并征得用户同意。若SDK需向用户单独告知收集使用个人信息的行为，则（1）App单独提供页面供SDK提供者进行告知；或（2）App为无单独页面的SDK提供向用户告知的便捷渠道。对于已安装注册的App旧用户，可以通过单独页面的方式向用户告知第三方SDK收集使用个人信息的情况。这项很重要，也是治理的重点。

7. 合作协议：与SDK提供者签订合作协议，明确SDK收集的个人信息类型、申请的敏感权限、个人信息的收集目的、保存期限、超期处理方式等，明确双方在个人信息保护方面分别采取的措施、承担的责任和义务等。

8. SDK停用后管理：停用SDK后，应及时从App中移除该SDK的代码和调用该SDK的代码，存在通过App共享或收集个人信息的，应敦促SDK提供者按照合作协议约定，删除从本App共享或收集的个人信息或做匿名化处理。

（二）针对SDK提供者的合规工作建议

1. 告知App提供者：应向App提供者告知SDK的相关信息，包括SDK提供者的基本信息、沟通反馈渠道、安全能力、SDK基本功能、版本号、隐私政策链接地址、申请的敏感权限和申请的目的、收集的个人信息类型和收集目的、个人信息回传服务器所在地域、热更新机制及其开启关闭方式、是否存在单独收集用户个人信息的界面、嵌入的其他SDK等。

2. 合作协议：与App提供者签署合作协议，明确SDK收集的个人信息类型、申请的敏感权限、个人信息的收集目的、保存期限、超期处理方式等，明确双方在个人信息保护方面分别采取的措施、承担的责任和义务等。

3. 隐私政策：要求App提供者在App隐私政策中逐项列举其所使用的有个人信息收集行为的SDK清单（包含SDK名称、命名空间、合作伙伴名称、合作目的、收集个人信息字段、申请的权限以及SDK隐私政策。App提供者应将SDK隐私政策内容通过链接的方式放入App的隐私政策中。如发现App提供者未能向用户告知隐私政策，应主动提示App提供者改进，如不改进，则停止提供服务。

4. 收集个人信息：收集使用个人信息和申请敏感权限应遵循合理、最小、必要原则。收集个人信息的频率应是实现业务功能做必需的最低频率。

5. 安全评估和监测：在SDK发布上线前，进行安全评估，包括：恶意代码检测、安全漏洞检测、权限申请和调用频率检测、后台自启动和关联启动并收集个人信息的行为检测。发布上线后，持续定期进行安全监测，发现安全漏洞及时进行修复并及时告知App提供者。

6. 敏感信息：传输用户个人敏感信息的，应在传输前对个人敏感信息内容进行加密。

7. 热更新管理：应向App提供者告知；提供单独控制热更新功能开启关闭的选项，确保App提供者在不接受热更新功能时仍能正常使用SDK其他功能；在热更新推送前至少5个工作日向App提供者说明本次热更新包更新的时间、具体内容以及可能造成的影响等。

8. 用户告知和同意：作为个人信息共同控制者或独立控制者收集使用用户个人信息的SDK，应单独向用户告知收集使用个人信息的行为并获得用户的同意。

9. 请求和投诉机制：建立相应请求和投诉机制（15个工作日内响应），并告知App提供者。

10. 退出机制：建立Opt-out选择退出机制，当用户拒绝使用SDK提供的服务时，可Opt-out退出。

11. 停止使用后管理：当App停止接入SDK后，若SDK提供者存在从该App共享或收集个人信息的，应按照合作协议，删除从该App共享或收集的个人信息或做匿名化处理。

结  语

App越来越多地深度参与到我们生活的方方面面，嵌入其中的SDK也随之掌握了越来越多的用户个人信息，数据的流向也更加多样化，因此，SDK潜在的风险安全不容忽视。我们应充分调动社会各界力量，形成“政府管控、社会监督、企业履责”三位一体的管理监督机制，共同努力营造SDK良好的安全生态环境。

作

者

介

绍

江瑛

北欧知名公司中国区法务总监

中国区管理层成员

上海国际经济贸易仲裁委员会

（上海国际仲裁中心）仲裁员

江瑛拥有十四年在律所执业以及世界500强美企和北欧公司法务工作经验。获中国和美国纽约州律师执业资格。华政法学硕士，美国加州伯克利大学LL.M.（获科技法和商法双证），国家二级心理咨询师（沪考）。上海市律师协会特邀委员，律协公司和商事专业委员会委员，上海市企业法律顾问协会外资企业法务专委会办公室负责人，中国欧盟商会网络安全法、竞争法、法律与合规工作组成员，国际隐私认证协会（IAPP）会员并获CIPP/E和CIPM证书。

对于我们来说，

又该如何更加了解个人信息合规相关的潮流与趋势呢？

答案是！

赛博-法嘉

数据合规官先锋计划

课程内容直击痛点——

四大服务给你证书也助你落地——

A. 赛博&法嘉数据合规实战班

• 2天集训，线下课程

• 监管专家+实战高手

• 闭门政策详解、模拟实战、落地指导、认证准备

B. 注册个人信息保护专业人员认证（CISP-PIP）

• 4天线上课程，0.5天考试

• 系统理论、顶层设计、交叉知识、中文考试

• 获得国内权威机构资质认证

C. 欧盟隐私信息保护注册专家（CIPP/E®️）课程/国际隐私专业协会（IAPP）系列认证

• 2天线上课程，0.5天考试

• 国际体系、方向细分（三选一）、英文考试

• 获得国际权威机构资质认证

D. 赛博&法嘉-数字合规先锋会

• 上海数据合规与安全产业发展专家组领衔
  

• 1年线下沙龙，平均每月1期，到期可续

• 高端人脉、跨界伙伴、持续学习、惊喜活动

• 持续实践与复盘，获得长期赋能支持

闪闪亮的证书们

适合各位新时代精英人士！

预期效果拔群！

价格优惠！

咨询客服，还有更多优惠！

1、拨打报名咨询电话：13816321539 费老师

2、添加报名咨询微信：

 法嘉小助手

长按识别二维码，添加好友

详情请戳链接！

🔗：走跨界先锋之路，让别人内卷去吧！

如此神仙计划，还不快快行动？！

近期热点活动

“沪航”贸易高质量发展之数据合规风险应对和防范专题培训顺利举办

近期热点文章