简析App使用第三方SDK的合规现状及对策

内容提要：本文从App使用第三方SDK侵犯个人信息，损害用户权益引发的社会热点事件入手，基于两者的概念、类型，法律关系，进而阐述第三方SDK控制个人信息存在的主要安全问题及责任，并就保护用户权益的现状与不足，提供对策建议。

App过度授权，个人信息泄露，侵犯个人信息等事件层出不穷，与App具有紧密联系的SDK，也继而浮出水面，走到公众眼前。

Zoom是家美国科技公司Zoom Video Communications, Inc.开发的视频会议软件，2020年，因为新冠疫情，人们被限制出户，该视屏会议软件，一时分头无两，但3月26日却出乎意外被爆料出Zoom App内嵌的Facebook SDK未经用户同意，私自向Facebook传送用户的手机型号、时区、城市、运营商等信息，侵犯个人信息，一时引发Zoom的用户信任危机。

同年7月16日我国央视的“315”晚会上报道：上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司的SDK，均在未经用户授权,用户不知情的情况下窃取用户个人信息，涉案App 50多款，读取了用户设备中包括IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录等各类个人信息，严重侵害了用户权益，一经播出，社会反响剧烈。

一、App的概念

App（Application应用软件），科普词条中定义为手机软件，主要指安装在智能手机上的软件。现有2016年8月1日实施的《移动互联网应用程序信息服务管理规定》第二条规定：本规定所称移动互联网应用程序，是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件；2021年3月12日由国家网信办、公安部办公厅等部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》第二条规定：App包括移动智能终端预置、下载安装的应用软件，基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序；对App的概念、范围做出了法律定义。

二、SDK概念及第三方SDK的基本类型

SDK （Software Development Kit软件开发工具包），百度百科：SDK是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。2020年11月由全国信息安全标准化技术委员会颁发的（V1.0-202011）《网络安全标准实践指南》给

出的法律定义是：软件工具开发包，是协助软件开发的相关二进制文件、文档、范例和工具的集合，简称SDK，本指南中的SDK，是指对实现App特定功能的代码进行封装，向外提供简捷的调用接口的二进制文件。第三方SDK，顾名思义即由第三方软件开发提供商提供实现软件特定功能的工具包。该工具包的提供者与App开发提供者并非同一主体。

第三方SDK基本类型有：1、支付类：App中的支付宝支付、微信支付、银联支付等提供移动支付功能的SDK；2、推送类：手机百度、百度地图、今日头条、珍爱网等App中的百度云推送、小米推送等提供消息推送功能的SDK；3、第三方登录分享类：App中微信账号快速登录、qq账号快速登录、微博快速登录等提供其他账号体系登录功能的SDK；4、广告类：中国银行、中国移动、网易制造、360、Google等App中的多盟、有米等提供广告展示功能的SDK；5、地图类：美团外卖、滴滴出行、摩拜单车、京东等App中的腾讯地图、高德地图等提供地图和定位功能的SDK。除此之外，还有包括提供分享、排行等社交功能的社交类SDK，提供客服对话窗口、客服机器人等客服功能的客服类SDK，提供短信验证功能的短信验证类SDK，提供移动业务安全分控功能的安全风控类SDK，提供人脸识别类SDK等等。

三、App与第三方SDK的法律关系

2019年7月，南都个人信息保护研究中心、中国金融认证中心联合发布《常用第三方SDK收集使用个人信息测评报告》显示：常用60款App共使用最少966个SDK，每款APP平均使用SDK达19.3个。SDK大量被使用到App的开发中，为什么用户没有感觉，他们之间到底是什么样的法律关系？

App使用第三方SDK的技术逻辑是：（1）App提供者与SDK的提供者并非同一主体；（2）SDK的提供者是对有支付、推送、定位等特定功能的代码进行封装形成SDK，并在SDK中预留调用接口，以便App调用；（3）App提供者不需要自己去开发相应的SDK功能，其只要调用SDK，就可以让App实现相应功能，节省开发时间、人力和成本。

第三方SDK与App的提供者并非同一个主体，为什么我们经常毫无感知，这是因为App提供者为了提升用户体验，使用SDK时不会通过页面跳转等方式去访问SDK的独立界面，而是直接在App的交互界面中形成与用户的交互，这就使得用户在使用App时往往没有任何感知。

因此App与第三方SDK呈现出来的法律关系是基于软件使用许可、合作或授权等合同建立的合同关系，双方的权利、义务、责任受双方协议的约束和调整。

四、第三方SDK控制用户个人信息的主要的安全问题及责任

1、第三方SDK在App的使用中控制用户个人信息的主要安全问题。

（1）违规收集用户数据。 因为App对第三方SDK的使用具有一定的隐蔽性，用户没有感知，甚至根本不知道SDK的存在，公众无法进行有效注意；另外第三方SDK代码封装时，相对App提供者而言存在盲盒状态，App无法知晓SDK收集用户个人信息情况；或者为不影响用户的体验，对SDK收集用户信息的情况处于放任，未监管状态，这些都让第三方SDK在未经用户同意或者超范围收集用户个人信息时，零负担，更不用说给予提示，用户个人信息被无声收集，侵犯而毫不自知。

（2）自身安全漏洞。 SDK作为一个代码的封装包，如各类应用软件，有自己的安全漏洞问题，常见的漏洞有源文件安全、数据存储安全、HTTP误用等，存在被攻击，被篡改，被利用的系统风险，而该风险也间接影响了调用SDK的App，意味着，调用SDK越多的App，其安全漏洞风险越高。

（3）SDK恶意实施非法行为。 不良的SDK开发者，为了谋求非法利益，利用App对SDK的使用，劫持用户流量、静默安装恶意软件或病毒木马、推送恶意广告、消耗用户的套餐资费等恶意行为，给用户和App带来巨大的损失。

2、App与第三方SDK提供者控制用户个人信息的责任承担。

基于以上第三方SDK侵犯用户个人信息的方式，我国目前主要根据App与第三方SDK，对用户数据的掌控和处理的角色标准，来确定双方的用户责任。依照2020年3月6日国家市场监督管理总局、国家标准化管理委员会联合发布的《信息安全技术个人信息安全规范》的9.6条的规定：对个人信息控制者的要求包括：a) 当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；b) 如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者应承担因第三方引起的个人信息安全责任。注：如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如，..、软件开发工具包 SDK、..），且该第三方并未单独向个人信息主体征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。

因此依照该标准：当第三方SDK未单独向用户征得个人信息的授权同意时，App和SDK为共同的个人信息控制者，App应向用户告知其与SDK对个人信息安全各自的合同责任，若未告知的，由App承担安全责任。

五、App使用第三方SDK的安全现状与不足

1、立法不完善。

（1）具有强制性效力规定笼统，缺少具体的操作性。

《消费者权益保护法》第29条：经营者收集、使用消费者信息，应当公开其收集、使用的规则；《中华人民共和国安全法》第22条规定：…网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意…；第四十一条网络运营者收集、使用个人信息，应当…，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息…;等这些立法虽然已经相关主体收集信息内容、方式等做了具体的规定，但有些规定却很笼统，也并非直接针对SDK的使用规定。

（2）推荐性标准具有操作性，但缺少强制性效力。

目前除了2020年7月全国信息安全标准化技术委员会发布的TC260- PG-20202A《移动互联网应用程序（ App ）收集使用个人信息自评估指南》及2020年3月6日国家市场监督管理总局、国家标准化管理委员会联合发布的GB/T 35273—2020《信息安全技术个人信息安全规范》等行业标准和国家标准有直接对SDK的使用，如规定嵌入的第三方代码、插件（如SDK）收集

个人信息，说明第三方代码、插件的类型或名称，及收集个人信息的目的、类型、方式。对个人信息控制者的要求包括：建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施；应向个人信息主体明确标识产品或服务由第三方提供等等；以上的规定虽然具体，具有可操作性，但仅限是国家标准及行业的推荐性标准，并非强制力的标准，有赖于App、SDK开发者的自愿。

2、App或SDK提供者的自觉性差。

我们不可否认SDK的开发封装有其盲盒操作，App开发者无法对其进行技术验证，无法得知可能存在风险的部分，但App开发者并非不能使风险最小化，但为什么问题还是层出不穷呢？因为的互联网经济链条中，用户估值是一个App用户价值的体现，用户估值往往都是用户的价值指数乘以平台的用户数量进行计算，即使用户是一个僵尸的用户，也是一个App的用户价值体现。因此相比而言App开发者，更看中SDK的功能，增强其吸睛，吸粉能力。同时SDK还提高了App的开发者的开发效率，降低了开发成本，所以对于SDK的使用，基于强劲的商业利益驱使，APP开发者的对SDK是否收集数据，收集了那些数据，有没有超过范围收集数据，有否有安全漏洞等存在的安全风险，通常不会做评估和审核，经常进行弱化处理，甚至忽略不计。而刚好SDK作为受益者，也乐在其中。

3、用户在保护个人权益意识上欠缺 。

不仅仅是因为SDK具有隐蔽性，使得用户难以觉察到自身权益受到侵害，更多的是用户对自身权益的法律意识和防护意识淡薄。2017年《中国网民网络安全意识调研报告》指出：“约九成网民认为当前网络环境是安全的。与之相反的是，仅有2.0%的网民认为非常危险；9.2%的网民认为当前的网络环境比较危险。”因此，在这份调研报告中大部分的人对于网络安全的发展环境还保持相对乐观的看法和态度。但现实是信息数据泄露攻击事件层出不穷，网络犯罪环境恶劣，特别是以移动端为入口App的发展，手机用户个人信息被盗取、售卖，电话骚扰、资金被骗等网络犯罪活动日益猖獗。

六、改善第三方SDK使用现状的对策建议

1、建议完善具有强制力效力的法律规定或加快国家推荐性标准转化为强制性标准。

现行《消费者权益保护法》、《网络安全法》等规定虽有强制性的效力，但因规定笼统，不具有具体操作性，上有政策，下有对策，让开发者寻找到了许多漏洞。而为弥补国家法律规定的不足，我国虽然制定了《移动互联网应用程序（ App ）收集使用个人信息自评估指南》及《信息安全技术个人信息安全规范》等国家标准，行业标准，但这些标准仅为其推荐性的标准，没有其强制执行的效力，需通过其他经济手段或者其他市场调节手段促使其App、SDK的开发者自愿接受采用。且对于App或SDK的开发者而言，”推荐性国家标准”这一重要关键词与”一划而过”的App格式网络协议一样，极容易被忽略。因此建议加快国家推荐性标准转化为强制性标准，使得App使用SDK的合规政策可以被具体实施，从而维护用户权益，维护网络安全环境，对已经采取了个人信息安全保护的政府和市场主体而言，也是一种鼓励和赋权。

2、建议加强对App、SDK开发者的惩治及查处，强化自觉意识。

科技资讯新媒体中国互联网报导：“中国的互联网之路，长时间都是沿着”先产业发展后规范再治理”的逻辑在进行，一方面需要法规、监管的细化和及时补位。另一方面企业也要奉行社会本位，严格依法守法，承担起应有的社会责任，对用户要负责，这是中国互联网企业想要壮大、想要走出去必须做到的。”因此不仅要对违法所有者进行严格的惩处，且通过这样的惩处让这些开发者提高自觉的意识，自觉对企业和用户的利益负责，对整个社会负责，才是最重要的。

3、建议加大安全防护宣传，用户从自身做起，增强安全防护意识。

用户个人信息的保护牵涉用户的人身和财产安全，随着互联网技术的突飞猛进，用户在使用App时，只是一时享受平台的功能，但也从未意识到互联网技术的双面性，其可以带来正面的便利，也可以带来负面的伤害，甚至这种伤害猛如虎，因此在使用App之前，对用户加强防护宣传和引导是必要的，建议（1）注册App前，那些常用、实用的，值得信任的App，那些是被广告迷惑，可能存在非法目的App，要慎重进行评估和甄别。（2）使用App时要了解起用户协议，隐私政策，了解App所使用的SDK，及对这些SDK的授权内容，使用用途之类进行评估，以保障自己的信息被采集的安全。（3）确认相关App、SDK的授权，是否经过用户的同意，是否有设置撤销功能键，及功能的难易复杂，是否便于用户及时取消。目前规范的App，有考虑用户权益，并在国家标准下会有明示、或同意授权等功能流程的设置，因此，在使用之前可通过互联网等信息渠道多方了解App后再行使用，为自身权益保护筑起防火墙。

七、结语

App或SDK面对商业利益目的，会采用一切可能留住客户、制造商机，而现状所暴露出来的问题，不仅不利个人信息安全的保护，对用户体验，App、SDK的良性发展也势必造成障碍。因此App、SDK的使用合规离不开监管部门、平台等各方利益集体统一认识、行动一致；用户则同样需要提高个人信息和隐私保护意识，掌握个人信息保护技能，以合力促治理。