App共享信息约束再收紧 工信部要求企业建立与第三方共享个人信息清单

21世纪经济报道记者 王俊 实习生 李尹汝 北京报道

在这个APP上浏览信息，转头在另一APP就能看到相关推送内容，大数据时代，个人信息常常被悄无声息的共享。而我们看到的推送、内容推荐、促销活动，很可能出自隐蔽的“第三方应用或服务”。

这些第三方应用、服务嵌入App中，如同隐藏的黑洞般不知不觉地收集个人信息，存在诸多隐患，已渐渐受到了监管侧的关注。近日，工信部信息通信管理局就《关于开展信息通信服务感知提升行动的通知》进行解读，其中提到，为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况，工信部要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。

受访专家认为，此举可约束隐蔽的第三方SDK对个人信息的收集，将企业使用的个人信息更加具体化的呈现在“阳光”下，接受监管机构或消费者的监督。但要想真正摸清SDK收集的信息，必须依赖于SDK主动说明与澄清。

隐秘的“第三方应用或服务”

APP第三方主体包括服务平台、系统服务、软件服务提供商等。此次工信部明确提到的第三方SDK即软件开发工具包，是APP开发者为了提高开发效率，经常使用的工具，可以帮助App高效率、低成本地实现登陆分享、支付、广告、数据统计、地图、风控插件等功能。

App 使用第三方 SDK 已成为普遍现象。根据爱加密发布的 2020 年 Q1《全国移动 App 安全态势研究报告》，截至 2020 年 3 月底， 爱加密大数据中心已收录 Android 应用超过 315 万款，iOS 应用超过 300 万款，其中 29.46%的应用嵌入了 SDK。

《软件开发包（SDK）安全与合规白皮书（2020）》中援引的一组数据显示: 测评的1000多款主流App中，各类别App使用第三方SDK平均在10个以上，最高可达平均30.6个/类。

在带来高效、便捷的同时，SDK也存在隐蔽性较强、自身安全性良莠不齐、与App提供者合作关系复杂化等特点，暗含安全风险。

中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲告诉21世纪经济报道记者，APP申请打开过的权限，SDK随时可以用，但SDK没有明确界面显示，“隐藏在背后”，用户又不熟悉，在收集信息过程中有时存在过度收集行为。

“开发者调用SDK经常是简单的一行代码，程序的实际运行都是在SDK远端，因此检测较为困难。”尚隐公司CEO张仁卓表示，APP开发者对第三方SDK缺乏管控手段，很难实现对第三方SDK收集数据的实际管控。

此外，一些SDK存在代码安全漏洞、恶意行为、违规收集使用个人信息、强制申请非必要权限等问题。加之部分APP未明显告知用户第三方SDK个人信息收集规则或未严格监管其使用的第三方SDK，导致数据泄露等安全事件时有发生。

2020年4月，Zoom APP被披露，其内嵌的Facebook SDK在用户不知情的情况下向Facebook传输用户的手机型号、城市、广告唯一标识符、IP地址等用户个人信息，但Zoom APP在隐私政策内容中并未明确向用户描述这一操作，直接导致其股价大跌。

对第三方SDK监管仍存难题

随着App治理进入深水区，对第三方SDK等的监管也逐渐受到了重视。

2020 年 7 月中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信息治理工作，专门提到了对第三方 SDK 的治理：制定发布 SDK 个人信息安全评估要点，对用户规模大、问题反映集中的小程序等进行深度评估。

相关标准、规范也在陆续出台，收紧对第三方信息共享的约束。

2020年10月，《信息安全技术 个人信息安全规范》正式实施，其中“第三方接入管理”小节中对个人信息控制者的责任进行了明确。2020年11月，全国信息安全标准化技术委员会发布了《网络安全标准实践指南——移动互联网应用程序（APP）使用软件开发工具包（SDK）安全指引》，给App提供者、SDK提供者针对SDK安全问题的实践指引，并对APP使用SDK的相关方和责任进行了明确。

在专项治理推动以及系列相关法规、标准的完善中，第三方SDK收集个人信息行为逐渐迈向透明化。

“但是对第三方SDK的监管仍存在不少难点。”何延哲直言。

首先，监管面临SDK应用场景模糊与收集个人信息必要性的平衡问题。

何延哲解释称，因为“SDK躲在后面”，并不清楚前台用户的具体场景，不清楚用户在使用的功能，它可能利用自身的规律去收集信息，比如定期收集地理位置，来完成自身的诉求。这样一来，会带来收集信息必要性的争议。

其次，SDK收集个人信息过程中采取了一些加密措施，检测不出实际的流量、具体采集数据的类型，给检测工作带来了不确定性。

“第三个问题也是最难的。”何延哲表示，SDK收集的信息量庞大，甚至超过了APP。一个SDK可以嵌入不同的App中，把不同APP的数据从后台打通，这么庞大的数据在App前端没有相关界面显示，后台运行也不可知，对监管而言检测吃力。

可见，对第三方SDK等的监管还需要在实操中不断厘清边界、确立更明确的标准。

国家标准正在制定中

随着《个人信息保护法》的正式实施，对信息处理者的约束、规范将更为细化。此次，工信部要求相关企业建立个人信息保护“双清单”，其中一份清单就是第三方共享个人信息清单。

工信部表示，为了让用户清晰掌握个人信息在APP、SDK及其他第三方间的共享情况，在前期APP专项治理行动基础上，进一步要求企业在二级菜单中列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。 

张仁卓分析，这次工信部的清单要求，更像是摸清楚企业使用个人信息的家底，还是从收集侧关注个人信息保护。但清单的提供，尤其是准确而又全面的个人信息清单，对企业而言，并非易事。从国外公司的发展情况来看，大部分企业不会有“个人信息清单”，个人信息被淹没在大量的企业重要数据之中，在企业内部并未单独作为一个特殊的数据类别加以管理。

他认为，明确清单的作用类似隐私政策、声明，而比隐私政策、声明更进了一步，其实是将企业使用的个人信息更加具体化的呈现在“阳光”下，接受监管机构或消费者的监督。

“但要想真正摸清SDK收集的信息，必须强依赖于SDK主动说明与澄清。”张仁卓表示。

何延哲认为，列明清单对第三方的监管有推动作用，督促上下游言行一致。

针对第三方SDK的国家标准也在起草中，2021年7月，国家标准《移动互联网应用程序(App)SDK 安全指南》试点工作启动，这将进一步提出对SDK安全方面的统一要求，推动提升第三方SDK运营者整体合规“水位线”。