第三方SDK合规浅析

2023-11-01 16:42:31 浏览数 (1)

近日,工信部通报了22款APP、SDK存在侵害用户权益行为。通报超半数的原因违反了《个保法》最小化收集的原则,包括超范围收集个人信息,APP强制、频繁、过度索取权限。

此次通报没有说明违规细节,这里拿两个国外典型案例做参考:

2020 年 4 月 Zoom App 被披露存在数据泄露事故。此次事件是由于 Zoom App 内嵌的 Facebook SDK 在用户不知情的情况下向 Facebook 传输用户的手机型号、城市、广告唯一标识符、IP 地址等用户个人信息,Zoom App 在隐私政策内容中并未明确向用户描述这一操作,仅提及“当用户使用脸书帐号登录时,将会收集用户脸书帐号的个人资料”,这个案例属于比较典型的违规收集个人信息,违背了公开透明原则,隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容;

2019年9月,英国的倡导组织隐私国际发现,女性生理期跟踪应用(如MIA Fem和Maya)等,直接向Facebook发送诸如女性避孕药的使用、月经周期和其他女性生理症状等信息。这些应用的数据通过Facebook的软件开发组件(SDK)与Facebook共享,甚至在用户同意应用程序的隐私政策之前就开始分享。这个案例也属于比较典型的的违规收集个人信息,Privacy International针对经期记录类APP提出了建议:(1)在设计应用程序时考虑用户及其可能遇到的潜在危害,进行深入的隐私和风险影响评估;(2)限制收集数据,许多月经应用程序似乎要求了多余的数据,包括使用敏感的个人数据来构建其用户的个人资料,因此,这类APP只应收集应用程序状态所需的数据;(3)将数据共享仅限于提供服务所必需的内容。

为何违规收集会成为SDK违规的重灾区呢?这里举两个例子,在安全反作弊、反欺诈场景,通常会采集Android_id、IDFA、IMEI、IMSI、MAC等设备信息、除此之外还会采集电池容量、衰减率、浏览器信息、陀螺仪、应用列表等等信息,采集的信息越多对于设备指纹的唯一性和稳定性越好,在反作弊、反欺诈领域的效果就越好,这里就存在安全和个人信息保护的平衡问题。同样在广告场景,采集的信息越多对于用户的刻画也就更精确,比如应用列表这个信息,在安全领域他可以来刻画用户是否安装了群控软件来识别作弊的风险,同时他也可以刻画用户的个人偏好,比如多头借贷、游戏爱好者等等。最小化收集涉及到安全的考量、业务的考量、甚至经济利益的考量,所以往往会成为违规的重灾区。我们在收集个人信息时一定要注意用户的影响评估,保证明确性、相关性、最小必要的原则,并做好告知同意。

SDK本身并非“洪水猛兽”,SDK提高了App的开发者的开发效率,降低了开发成本,同时催生了很多商业模式,我们需要做的是在合规的前提下利用SDK,对SDK服务商来讲需要从以下几方面做治理:

1. 最小化收集,避免超范围收集用户个人信息、高频采集用户个人信息。

2. 公开透明,对用户明示第三方 SDK 个人信息收集规则,避免未授权采集用户个人信息用户,未明示同意之前不要做任何采集动作。

3. 安全保障,明确与App的数据处理关系,无论是共同处理者,委托处理者,都需要做好个人信息的安全保护,同时提供有效的个人主体行权通道。

4. 专数专用,不要超范围使用个人数据,按协议约定处理个人数据。

对于宿主App来讲,需要从以下几方面做治理:

1. 事前对第三方 SDK 进行安全审核与合规评估。

2. 事前制定完善的《隐私政策》 《第三方SDK清单》明示第三方 SDK 收集使用个人信息规则。

3. 事前协商完备的 App 与第三方 SDK 数据处理协议。

4. 事后持续对第三方 SDK 进行监督与审计。

用九智汇在App合规检测领域拥有多年的经验,可以提供工具及专家咨询服务,为App开发者合规运营提供帮助。

0 人点赞