2020 年央视 “315 晚会” (实际播放时间为7月16日晚)播出。本次 “315 晚会” 中曝光了某些手机软件中暗藏 “窃贼”:某些第三方公司开发的 SDK 插件存在未经用户许可,窃取用户手机中短信、通讯录和设备信息等个人隐私信息。
此事一经报道,就引起轩然大波。
随后中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信息治理工作,SDK 的合规性已经成为监管的重点,现在已经常规化。
其实,早在2019年,国内就有法规规范第三方SDK收集信息的,但由于只是规范,没有惩罚措施,所以成了一纸空文。
- 2019 年 3 月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局(以下简称“四部委”)成立的App违法违规收集使用个人信息专项治理工作组发布的《App 违法 违规收集使用个人信息自评估指南》中第 21 条则较为明确地点明“当使用 Cookie 等同类技术(包括脚本、Clickstream、Web 信标、Flash Cookie、内嵌 Web 链接、SDK 等)收集个人信息时,应向用户明示所 收集个人信息的目的、类型”
- 2019 年 11 月 App 违法违规收集使用个人信息专项治理工作组发布的《App违法违规收集使用个人信息行为认定方法》同样规定,以下行为可被认定为“未经同意向他人提供个人信息”:“
- 1. 既未经用户同意,也未做匿名化处理,App 客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供 个人信息;
- 2.既未经用户同意,也未做匿名化处理,数据传输至 App 后台服务器后,向第三方提供其收集的个人信息;
- 3. App 接入第三 方应用,未经用户同意,向第三方应用提供个人信息”。
由此通过要求App 逐一列出并明示所嵌入的第三方代码收集用户个人信息的目的、方式和范围并要求获得用户同意,更好地落实和规范 授权原则。
而实际上,2019年的这些法规基本难以落地,有要求,没惩罚,所以这些法规被绝大部分的公司忽略了。
其实就是需要在APP的隐私政策页面列明使用的第三方SDK有哪些,收集哪些数据,用途是什么……
在app 的下载页面上,用户能了解到该 app 可能收集的某些数据类型,以及该数据是否会关联到他们或对其进行跟踪,如果您的 app 中整合了第三方合作伙伴的代码,还需要说明其如何使用用户的隐私信息。
很多公司都更新了,但仍有部分是没有更新。如果你的竞争对手没有更新,可以去向苹果/工信部投诉的,它可能就不能更新版本,甚至会被下架。
你可以在APP Store的应用下载页面里找到,或应用内的《隐私政策》里找到第三方SDK目录,里面需要告诉用户,这个应用里布署了哪些第三方SDK,收集了什么数据,而且在使用之前获得用户的授权的,目前第三方SDK是首次授权的方式,这种方式还是有争议的,要么就全部授权,要么就全部不授权,不能使用APP,你不能将某个第三方SDK的授权关闭,已经有建议要想web那样实现每个SDK的单独授权:
这样用户可以随意关闭一些认为会需要关闭的SDK,用户有更大的自主和选择性。
参考
- 软件开发包(SDK)安全与 合规报告 (2020)
