在App背后，侵犯個人信息的SDK正成為執法焦點

美國聯邦貿易委員會（FTC）近期起訴了涉嫌通過SDK插件違法收集信息的美國InMarket公司，該公司商業模式是通過面向消費者的終端獲取數據，然后銷售給各個行業的公司，目前雙方正試圖達成和解。據不完全統計，FTC去年至今至少起訴了三家低調通過SDK違法收集個人信息的公司[i]，中國也有不少類似案例，說明該領域已成執法焦點。今天就根據訴狀[ii]聊聊這個案子以及我國相關的法律規定。

一、為什么說SDK服務商低調？

SDK（Software Development Kit），是集成在應用程序（“App”）里的第三方工具包，為什么說SDK服務商低調，是因為其不是應用程序運營者，只是在應用程序中提供了某項功能，如地圖、支付、統計、社交、廣告等，從消費者感知的角度，存在感比較弱。據統計[iii]，平均每款App會使用19.3個SDK，而微信SDK、騰訊Open SDK、小米推送SDK、華為SDK、支付寶SDK等被超過半數的App嵌入。

以微信為例[iv]，接入的SDK包括：云閃付、微信支付、微粒貸、小程序/公眾號、微信登錄、廣告服務。這其中，部分由騰訊提供，部分由第三方，如云閃付由中國銀聯提供。但正因為其存在感弱，所以其通過服務獲取個人信息后如果違法處理的，也不容易被察覺，但監管機構還是發現了問題。

二、InMarket的SDK服務有哪些違法行為？

InMarket是一家德克薩斯州的數字營銷平臺和數據聚合商，它通過開發專業軟件開發工具包（“InMarketSDK”）直接從移動設備收集位置數據，并利用移動設備位置數據向消費者的移動設備定向投放廣告。

收集位置數據包括兩種方式，一種是直接整合到其運營兩款移動應用程序CheckPoints（完成小任務即可獲得購物獎勵）和ListEase（幫助消費者創建購物清單）收集移動設備的位置數據，另一種是向300多款的第三方應用程序開發商提供SDK接入服務進而出售并共享消費者的位置數據進行廣告推廣。InMarket收集消費者位置數據的做法和違法性可歸納如下：

1、InMarket自運營的兩款應用程序的同意屏幕告知消費者其位置將被用于應用功能（賺取積分和保存列表），但未披露收集用戶精確位置信息及用途；

違法性：收集行蹤軌跡等敏感個人信息時，未同步告知用戶其目的，或者目的不明確、難以理解；收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關。

2、InMarket的隱私政策雖然披露將把消費者數據用于定向廣告，但其同意屏幕未鏈接到隱私政策，也未告知消費者應用程序的數據收集和使用做法。

違法性：在App首次運行時未通過彈窗等明顯方式提示用戶閱讀App及SDK的隱私政策等個人信息收集使用規則；且未同步告知用戶其收集個人信息和敏感個人信息的目的。

3、InMarket不要求使用其SDK的第三方應用程序獲得消費者的知情同意，與應用程序開發商簽訂的合同對隱私方面沒有更多要求，僅要求開發商遵守所有適用法律并維護符合法律要求的隱私政策；

違法性：以欺詐、誘騙等不正當方式誤導用戶，掩飾收集使用個人信息的真實目的違法收集個人信息；未逐一列出SDK收集使用個人信息的目的、方式、范圍等。

4、InMarket將收集的消費者位置數據保留了五年之久；

違法性：未及時刪除個人信息違反最小必要原則。

5、InMarket通過其算法將消費者的位置數據與廣告相關興趣點進行交叉比例，進行用戶畫像，形成廣告產品牟利。

違法性：為“用戶畫像”、“算法推薦”等涉及不當自動化決策違反處理敏感個人信息的保護規則；利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；違反其所聲明的收集使用規則（涉及部分SDK），收集使用個人信息。

三、我國的監管規定和處罰案例

結合前述違法行為，假設InMarket是一家中國企業，其收集和處理消費者的個人信息的行為涉嫌違反《網絡安全法》、《個人信息保護法》、《消費者權益保護法》等有關個人信息的法律規定，具體的違法內容，前文已經分析。同時，對SDK個人信息保護，我國監管部門還有非常詳盡的具體規定。

《App違法違規收集使用個人信息行為認定辦法》和工信部2023年2月發布的《關于進一步提升移動互聯網應用服務能力的通知》，對App開發運營者主體、SDK自身、企業三方分別提出SDK的管理要求，具體包括：

1、App運營者需逐一列明App委托的第三方或嵌入的第三方代碼、插件收集使用個人信息的目的、方式、范圍，否則將被認定為未明示收集使用個人信息的目的、方式和范圍。

2、App運營者使用SDK前對其進行個人信息保護能力評估，通過合同等形式明確約定各方權利和義務，確保個人信息處理依法合規。集中展示并及時更新嵌入的SDK名稱、功能及其處理個人信息的規則。共同處理用戶個人信息，侵害用戶權益造成損害的，依法承擔相應責任。

3、App運營者需公開明示個人信息處理規則，SDK獨立采集、傳輸、存儲個人信息的，應當單獨作出說明。

4、SDK開發者遵循最小必要原則，根據不同應用場景或用途，明確SDK功能和對應的個人信息收集范圍，并向App運營者提供功能模塊及個人信息收集的配置選項，不得一攬子過度收集個人信息。

根據我們的查詢，工信部和各地通管局近年來多次通報了侵害用戶權益行為的SDK服務，包括一鍵登錄、移動端應用訂閱、AdSet廣告、多酷單機、TalkingData、Adview廣告在內的多款SDK被通報。

最后，雖然監管機構陸續加強對SDK收集和處理用戶個人信息的監督，但如果SDK開發者或者App運營者能夠根據監管機構要求，全面完成整改，那么就有可能減輕或免除相應的責任。相反，若是逾期不整改或整改不到位的，監管機構會優先選擇下架相關產品或服務。如果情況嚴重，監管機構還會采取包括罰款在內行政處罰措施，甚至會追究刑事責任。

本文作者：游云庭，上海大邦律師事務所高級合伙人，知識產權律師。汪婷，上海大邦律師事務所顧問。本文僅代表作者觀點。

[i] 另兩家是移動測量公司 Kochava和數字健康平臺GoodRx。

[ii] https://www.ftc.gov/news-events/news/press-releases/2024/01/ftc-order-will-ban-inmarket-selling-precise-consumer-location-data

[iii] https://www.cfca.com.cn/upload/cpbg.pdf

[iv] support.weixin.qq.com/cgi-bin/mmsupport-bin/newreadtemplate?t=datalist/shared