在App背后，侵犯?jìng)€(gè)人信息的SDK正成為執(zhí)法焦點(diǎn)

美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）近期起訴了涉嫌通過(guò)SDK插件違法收集信息的美國(guó)InMarket公司，該公司商業(yè)模式是通過(guò)面向消費(fèi)者的終端獲取數(shù)據(jù)，然后銷(xiāo)售給各個(gè)行業(yè)的公司，目前雙方正試圖達(dá)成和解。據(jù)不完全統(tǒng)計(jì)，F(xiàn)TC去年至今至少起訴了三家低調(diào)通過(guò)SDK違法收集個(gè)人信息的公司[i]，中國(guó)也有不少類(lèi)似案例，說(shuō)明該領(lǐng)域已成執(zhí)法焦點(diǎn)。今天就根據(jù)訴狀[ii]聊聊這個(gè)案子以及我國(guó)相關(guān)的法律規(guī)定。

一、為什么說(shuō)SDK服務(wù)商低調(diào)？

SDK（Software Development Kit），是集成在應(yīng)用程序（“App”）里的第三方工具包，為什么說(shuō)SDK服務(wù)商低調(diào)，是因?yàn)槠洳皇菓?yīng)用程序運(yùn)營(yíng)者，只是在應(yīng)用程序中提供了某項(xiàng)功能，如地圖、支付、統(tǒng)計(jì)、社交、廣告等，從消費(fèi)者感知的角度，存在感比較弱。據(jù)統(tǒng)計(jì)[iii]，平均每款A(yù)pp會(huì)使用19.3個(gè)SDK，而微信SDK、騰訊Open SDK、小米推送SDK、華為SDK、支付寶SDK等被超過(guò)半數(shù)的App嵌入。

以微信為例[iv]，接入的SDK包括：云閃付、微信支付、微粒貸、小程序/公眾號(hào)、微信登錄、廣告服務(wù)。這其中，部分由騰訊提供，部分由第三方，如云閃付由中國(guó)銀聯(lián)提供。但正因?yàn)槠浯嬖诟腥酰云渫ㄟ^(guò)服務(wù)獲取個(gè)人信息后如果違法處理的，也不容易被察覺(jué)，但監(jiān)管機(jī)構(gòu)還是發(fā)現(xiàn)了問(wèn)題。

二、InMarket的SDK服務(wù)有哪些違法行為？

InMarket是一家德克薩斯州的數(shù)字營(yíng)銷(xiāo)平臺(tái)和數(shù)據(jù)聚合商，它通過(guò)開(kāi)發(fā)專(zhuān)業(yè)軟件開(kāi)發(fā)工具包（“InMarketSDK”）直接從移動(dòng)設(shè)備收集位置數(shù)據(jù)，并利用移動(dòng)設(shè)備位置數(shù)據(jù)向消費(fèi)者的移動(dòng)設(shè)備定向投放廣告。

收集位置數(shù)據(jù)包括兩種方式，一種是直接整合到其運(yùn)營(yíng)兩款移動(dòng)應(yīng)用程序CheckPoints（完成小任務(wù)即可獲得購(gòu)物獎(jiǎng)勵(lì)）和ListEase（幫助消費(fèi)者創(chuàng)建購(gòu)物清單）收集移動(dòng)設(shè)備的位置數(shù)據(jù)，另一種是向300多款的第三方應(yīng)用程序開(kāi)發(fā)商提供SDK接入服務(wù)進(jìn)而出售并共享消費(fèi)者的位置數(shù)據(jù)進(jìn)行廣告推廣。InMarket收集消費(fèi)者位置數(shù)據(jù)的做法和違法性可歸納如下：

1、InMarket自運(yùn)營(yíng)的兩款應(yīng)用程序的同意屏幕告知消費(fèi)者其位置將被用于應(yīng)用功能（賺取積分和保存列表），但未披露收集用戶精確位置信息及用途；

違法性：收集行蹤軌跡等敏感個(gè)人信息時(shí)，未同步告知用戶其目的，或者目的不明確、難以理解；收集的個(gè)人信息類(lèi)型或打開(kāi)的可收集個(gè)人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無(wú)關(guān)。

2、InMarket的隱私政策雖然披露將把消費(fèi)者數(shù)據(jù)用于定向廣告，但其同意屏幕未鏈接到隱私政策，也未告知消費(fèi)者應(yīng)用程序的數(shù)據(jù)收集和使用做法。

違法性：在App首次運(yùn)行時(shí)未通過(guò)彈窗等明顯方式提示用戶閱讀App及SDK的隱私政策等個(gè)人信息收集使用規(guī)則；且未同步告知用戶其收集個(gè)人信息和敏感個(gè)人信息的目的。

3、InMarket不要求使用其SDK的第三方應(yīng)用程序獲得消費(fèi)者的知情同意，與應(yīng)用程序開(kāi)發(fā)商簽訂的合同對(duì)隱私方面沒(méi)有更多要求，僅要求開(kāi)發(fā)商遵守所有適用法律并維護(hù)符合法律要求的隱私政策；

違法性：以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶，掩飾收集使用個(gè)人信息的真實(shí)目的違法收集個(gè)人信息；未逐一列出SDK收集使用個(gè)人信息的目的、方式、范圍等。

4、InMarket將收集的消費(fèi)者位置數(shù)據(jù)保留了五年之久；

違法性：未及時(shí)刪除個(gè)人信息違反最小必要原則。

5、InMarket通過(guò)其算法將消費(fèi)者的位置數(shù)據(jù)與廣告相關(guān)興趣點(diǎn)進(jìn)行交叉比例，進(jìn)行用戶畫(huà)像，形成廣告產(chǎn)品牟利。

違法性：為“用戶畫(huà)像”、“算法推薦”等涉及不當(dāng)自動(dòng)化決策違反處理敏感個(gè)人信息的保護(hù)規(guī)則；利用用戶個(gè)人信息和算法定向推送信息，未提供非定向推送信息的選項(xiàng)；違反其所聲明的收集使用規(guī)則（涉及部分SDK），收集使用個(gè)人信息。

三、我國(guó)的監(jiān)管規(guī)定和處罰案例

結(jié)合前述違法行為，假設(shè)InMarket是一家中國(guó)企業(yè)，其收集和處理消費(fèi)者的個(gè)人信息的行為涉嫌違反《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法》、《消費(fèi)者權(quán)益保護(hù)法》等有關(guān)個(gè)人信息的法律規(guī)定，具體的違法內(nèi)容，前文已經(jīng)分析。同時(shí)，對(duì)SDK個(gè)人信息保護(hù)，我國(guó)監(jiān)管部門(mén)還有非常詳盡的具體規(guī)定。

《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定辦法》和工信部2023年2月發(fā)布的《關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》，對(duì)App開(kāi)發(fā)運(yùn)營(yíng)者主體、SDK自身、企業(yè)三方分別提出SDK的管理要求，具體包括：

1、App運(yùn)營(yíng)者需逐一列明App委托的第三方或嵌入的第三方代碼、插件收集使用個(gè)人信息的目的、方式、范圍，否則將被認(rèn)定為未明示收集使用個(gè)人信息的目的、方式和范圍。

2、App運(yùn)營(yíng)者使用SDK前對(duì)其進(jìn)行個(gè)人信息保護(hù)能力評(píng)估，通過(guò)合同等形式明確約定各方權(quán)利和義務(wù)，確保個(gè)人信息處理依法合規(guī)。集中展示并及時(shí)更新嵌入的SDK名稱(chēng)、功能及其處理個(gè)人信息的規(guī)則。共同處理用戶個(gè)人信息，侵害用戶權(quán)益造成損害的，依法承擔(dān)相應(yīng)責(zé)任。

3、App運(yùn)營(yíng)者需公開(kāi)明示個(gè)人信息處理規(guī)則，SDK獨(dú)立采集、傳輸、存儲(chǔ)個(gè)人信息的，應(yīng)當(dāng)單獨(dú)作出說(shuō)明。

4、SDK開(kāi)發(fā)者遵循最小必要原則，根據(jù)不同應(yīng)用場(chǎng)景或用途，明確SDK功能和對(duì)應(yīng)的個(gè)人信息收集范圍，并向App運(yùn)營(yíng)者提供功能模塊及個(gè)人信息收集的配置選項(xiàng)，不得一攬子過(guò)度收集個(gè)人信息。

根據(jù)我們的查詢，工信部和各地通管局近年來(lái)多次通報(bào)了侵害用戶權(quán)益行為的SDK服務(wù)，包括一鍵登錄、移動(dòng)端應(yīng)用訂閱、AdSet廣告、多酷單機(jī)、TalkingData、Adview廣告在內(nèi)的多款SDK被通報(bào)。

最后，雖然監(jiān)管機(jī)構(gòu)陸續(xù)加強(qiáng)對(duì)SDK收集和處理用戶個(gè)人信息的監(jiān)督，但如果SDK開(kāi)發(fā)者或者App運(yùn)營(yíng)者能夠根據(jù)監(jiān)管機(jī)構(gòu)要求，全面完成整改，那么就有可能減輕或免除相應(yīng)的責(zé)任。相反，若是逾期不整改或整改不到位的，監(jiān)管機(jī)構(gòu)會(huì)優(yōu)先選擇下架相關(guān)產(chǎn)品或服務(wù)。如果情況嚴(yán)重，監(jiān)管機(jī)構(gòu)還會(huì)采取包括罰款在內(nèi)行政處罰措施，甚至?xí)肪啃淌仑?zé)任。

本文作者：游云庭，上海大邦律師事務(wù)所高級(jí)合伙人，知識(shí)產(chǎn)權(quán)律師。汪婷，上海大邦律師事務(wù)所顧問(wèn)。本文僅代表作者觀點(diǎn)。

[i] 另兩家是移動(dòng)測(cè)量公司 Kochava和數(shù)字健康平臺(tái)GoodRx。

[ii] https://www.ftc.gov/news-events/news/press-releases/2024/01/ftc-order-will-ban-inmarket-selling-precise-consumer-location-data

[iii] https://www.cfca.com.cn/upload/cpbg.pdf

[iv] support.weixin.qq.com/cgi-bin/mmsupport-bin/newreadtemplate?t=datalist/shared