工信部通报13款第三方SDK违规问题 释放出哪些信号？

21世纪经济报道记者 王俊 实习生 温莹雪 北京报道

近日，工业和信息化部信息通信管理局通报了侵害用户权益行为的APP(SDK)名单，将13款第三方SDK纳入该名单，公开其存在的具体违规问题。

随着对个人信息保护治理的推进，监管思路更加清晰，第三方SDK同APP一同被纳入监管范围之内，让过去隐藏于“宿主App”之下的SDK能够更容易被检测。此次对侵权SDK存在的具体问题进行通报，可见对违法违规收集个人信息的治理更实更深。

不过，受访专家也指出，目前监管侧对采集侧的检测关注度高，建议重视数据收集后处理使用、共享交换等活动，形成个人信息保护的闭环管理。

SDK——隐藏的App黑盒

嵌入SDK的相关App，通常被称为“宿主APP”，从该称呼也能一窥SDK与App之间的关系。

所谓SDK（Software Development Kit），就是软件开发工具包。一般是一些被软件工程师用于为特定软件包、软件框架、硬件平台、作业系统等创建应用软件的开发工具集合。

SDK无法独立展示前台页面，其各种告知行为需要借助“宿主App”传达给用户。但如果部分SDK未向宿主APP告知自身收集的个人信息，或SDK公开了收集规则但宿主App却未向用户表明，那么就有可能违规泄露用户隐私。

截止2021年9月底，爱加密大数据平台共计收录Android移动App 347万款，其中34.17%的App嵌入工具类的SDK。根据移动互联网系统与应用安全国家工程实验室和爱加密移动应用大数据平台联合发布的2021年Q3《全国移动App风险监测评估报告》称，第三方SDK通常是造成用户个人信息在网上“裸奔”的罪魁祸首。

早在2020年7月，央视播出的“3·15”晚会报道了SDK存在的隐私问题。此后工信部发文要求严查涉事SDK企业。

去年10月，工信部曾下架96款侵害用户权益APP、通报3款违规SDK，称检测发现字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK问题较多，分别占问题总量比例的37.4%、29.9%、8.0%。

但当时没有提及违规SDK存在的具体问题，本次通报列明了13款SDK违规收集个人信息的具体问题：8款SDK涉及收集设备Android ID，4款涉及收集设备IMEI号，3款涉及收集设备MAC地址，两款涉及收集设备IMSI号，1款涉及收集设备ICCID号，以上违规收集的信息均属于违规获取设备ID。“身份ID”一经泄露有可能导致被SDK开发者跟踪，存在隐私保护不合规的问题。

除此之外，还有1款SDK涉及收集设备传感器信息，另有1款SDK涉及收集设备安装列表。

北京尚隐科技有限公司CEO张仁卓告诉向21世纪经济报道记者解释称，传感器信息可能会收集用户的计步信息、健身信息、血压信息等等，并且收集传感器的型号、版本号等容易形成设备指纹，用以辨识设备。而“设备安装列表画像”往往用以描绘用户画像，可能泄露一些用户的特征，譬如是某银行的客户、爱好某款游戏等。

做实做细对SDK的监管路径

工信部对侵权SDK进行通报，可见对违法违规收集个人信息的治理将更实更深。

上述提及，自2020年开始，第三方SDK便渐渐被纳入监管范围内。当年7月22日，中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信息治理工作，对SDK的治理被列为年度治理重点。

随着对于第三方SDK的规范陆续出台，第三方服务的开发者也逐渐被明确责任。

2020年10月起，《信息安全技术 个人信息安全规范》明确了第三方接入者的责任。2021年3月，《常见类型移动互联网应用程序必要个人信息范围规定》约束了第三方SDK收集的信息范围需要与APP等同。2021年4月，《移动互联网应用程序个人信息保护管理暂行规定》对第三方服务提供者履行信息保护义务提出了要求。

可以看出，政府部门的监管思路更加清晰，将第三方SDK同APP一同纳入监管范围之内，更容易检测过去隐藏于宿主APP之下的SDK合规风险。

2021年11月工信部更进一步，发布《关于开展信息通信服务感知提升行动的通知》，被称为“524行动”。该通知中的“2”即要求企业建立个人信息保护“双清单”，即已收集个人信息清单和第三方共享个人信息清单。

“核心目的，就是让APP和SDK的开发者遵循‘收集的个人信息清单’和‘实际收集的行为’保持一致。”北京汉华飞天信安科技有限公司总经理彭根对21世纪经济报道记者说。

在张仁卓看来，“双清单”的要求至少是将SDK收集的个人信息呈现在“阳光下”，企业要证明其收集的合规性，对监管机关而言也有了检测的基线。 

加强个人信息保护的闭环管理

然而想要监管躲在App背后的SDK，并非易事。

目前App研发企业大多通过隐私政策的方式对SDK进行了解，但尚无对应的技术手段、检测思路以及动力对第三方SDK进行检测，从而发现其实际的个人信息收集行为是否与隐私政策中描述的一致。

彭根认为，通过事后拦截的方式可以更快速地解决App合规性问题。他认为对于被要求整改的宿主APP来说，目前无外乎四个方案：等待被通报的SDK自行整改、替换相同功能的SDK、自主研发相同功能以及删除相应SDK。但以上方案都面临着无法掌控或研发周期长等业务风险。他建议引入一个“合规审核员”，即动态行为拦截技术，对代码每一次收集用户个人信息的行为进行合规审计，拦截掉违规收集行为。

张仁卓则指出，目前对SDK的监管较强依赖于第三方检测，这种检测方式类似于当前的APP检测，已经相对成熟。

不过，他也提出，目前监管仅关注采集侧的检测，建议加强对数据收集后处理使用、共享交换等活动关注度，这样最后的管理效果更好。

“个人信息保护的闭环管理终究是要落地在‘个人信息管理’上。隐私政策、声明以及权限管理等仅是完成个人信息保护的载体之一，是必要而非充分条件。后续仍需加强对数据处理使用、共享交换等活动的管理。”张仁卓表示。