1. 极安网首页
  2. 网络安全新闻

第三方SDK个人信息保护合规趋势及要点

四部门已将SDK合规治理纳入App专项治理重点。App开发运营者及SDK提供方应及时调整合规策略及方案,以满足立法和执法的要求,尤应关注个信保法第13、18和53条的要求。

第三方SDK个人信息保护合规趋势及要点-极安网

第三方SDK的安全漏洞及收集使用个人信息规则不明确等风险给App治理及个人信息保护构成较大的威胁。中央网信办、工业和信息化部、公安部、市场 监管总局四部门(下称“四部门”)已将SDK合规治理纳入2020年App专项治理工作的重点。App开发及运营者及第三方SDK提供方应及时调整SDK的合规策略及方案,以满足执法要求及《个人信息保护法》(草案)(下称“《个保法》”)的要求,尤其应重点关注《个保法》第13、14和18条的规则明示及同意要求,及第53条的定期审计的要求。

一、SDK广泛应用优势及其带来的个人信息保护风险弊端

1.第三方SDK已成为移动互联生态的重要组成部分

为满足研发及运营成本的优化、效率提升、App功能的赋能、客户体验提升、资源和信息协调共享等多种需求,许多不同功能类别的(如框架类、广告类、推送类、统计类、地图类、社交类、支付类或客服类)的第三方研发并封装的软件开发工具包(Software Development Kit)(以下简称“SDK”),被广泛应用于App的开发及运营中。根据统计,超过29%的App应用嵌入了SDK。据有关报告,平均每款App嵌入的第三方SDK数量达19个。

2.第三方SDK带来的个人信息安全风险

(1)SDK自身的安全漏洞

第三方SDK因本身技术或设计存在漏洞或采取了不安全的实现方式如滥用HTTP协议进行数据传输,导致被攻击而使个人信息的安全受到威胁或侵害。据爱加密的统计,检测的22款SDK中存在安全漏洞比例超过70%,存在高危风险漏洞的比例超过40%。

(2)未明示SDK收集使用的个人信息规则

App开发及运营者未充分向个人信息主体告知其所嵌入的第三方SDK及SDK所收集使用的个人信息的类型、方式及范围。该风险的原因可能包括两方面:一为App开发运营者的问题,其知悉第三方SDK提供者收集使用个人信息的情况,却未在隐私政策中向App用户(即个人信息主体)履行告知义务;二为第三方SDK提供者的问题,其对App开发运营者隐瞒了收集使用个人信息的情况,包括可能超过隐私政策授权的范围收集使用个人信息或利用后门违法违规获取敏感权限和信息等情况。

根据《App违法违规收集使用个人信息行为认定方法》,前述行为均可被认定为“未明示收集使用个人信息的目的、方式和范围”,属于App违法违规收集个人信息的行为。该类事项并不少见。今年央视3·15晚会曝光了氪信SDK和招财SDK两款SDK在未经个人信息主体知情同意的情况下收集个人信息。据报道,“寄生推”SDK通过预留的“后门”秘密获取用户设备的特殊敏感权限,以进行恶意广告信息推送和恶意应用安装,超过300多款安卓App和2000万用户受影响。

(3)其他问题

第三方SDK存在超过业务必要情况过度收集个人信息的行为,例如,过于频繁或过大范围收集个人信息等;还存在境外SDK违规收集境内个人信息并向境外传输个人信息等其他问题。

基于SDK的本身特性及功能,其具备与App一致的直接触达个人信息主体并进行个人信息收集使用的能力。因此第三方SDK提供者和App开发及运营者均能成为个人信息处理者,同时也可能因SDK违法违规收集使用个人信息承担全部或部分责任。

就第三方SDK违法违规收集个人信息的法律责任问题,现行的法律法规并未对第三方SDK 提供者和App开发运营者之间的法律责任承担或分割进行明确规定。目前从执法的案例看,App开发运营者一般难以置身事外。前文提到违法违规收集个人信息的氪信SDK和招财SDK,其被央视3.15曝光后工信部立即对涉事的SDK提供者进行了严厉查处,而嵌入该SDK的50多款App被牵连,其中存在问题的App均被要求下架整改,同时App开发及运营者、应用分发平台等有关方也被要求立即进行自查自律等。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3428.html