21世纪经济报道记者王军南方财经全媒体集团记者吴立阳实习生文北京报道

近日，工信部信息通信管理局通报了侵害用户权益的app(SDK)名单。值得注意的是，此次有13个第三方SDK因非法收集个人信息被列入名单。

记者对此次举报的13个非法SDK进行了梳理，发现其功能各有不同，包括第三方登录分享、广告分发、语音识别等。，并且他们为完成所需功能而收集的信息也不同。在盈利模式上，部分SDK开发者主要依靠向使用其功能的APP开发者收取服务费来盈利，而部分SDK通过收集用户行为习惯和处理个人信息卖给广告主来实现变现，这也是SDK违规的主要来源。

SDK和APP的关系也需要重构。当SDK违规时，需要根据实际的信息收集和处理来界定其责任。受访专家表示，在合规监管趋严的背景下，具体的合规要求需要通过监管行动和案例形成行业共识。

不同功能的SDK

SDK(Software Development Kit)是一种软件开发工具包，软件工程师经常使用它来为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具集合。

“如果把一个APP的开发比作盖楼，SDK可以算是盖楼需要的砖块。”民间网络安全组织“网刀”安全团队创始人曲子龙向记者解释，SDK的开发者可以理解为一个制砖公司，包装设计一个应用功能，供APP开发者直接便捷调用。

在实际应用中，不同的SDK往往对应不同的功能。在中国信息通信研究院安全研究所2020年发布的《软件开发工具包(SDK)安全与合规报告》中，常见的SDK按照实际功能分为第三方登录分享、支付、推送、广告、统计分析、地图。

以此次被通报违规的字节跳动穿山甲SDK为例。根据其官网信息，SDK致力于“为全球开发者提供用户增长、流量变现、LTV推广等全生命周期服务和增长解决方案，已帮助超过10万个app在穿山甲平台快速成长。”提供广告接入、流量分析、用户运营等开屏广告、视频广告、互动广告等功能。

工信部通报的另一个SDK，二次验证SDK，主要提供登录验证的功能。据其官网介绍，携带这款SDK可以省去用户“输入手机号-获取验证码-输入验证码”的过程，从而降低用户的运营成本，优化使用体验。

由于功能不同，实际操作中它需要收集的用户信息也不同。中国电子技术标准化研究院网络安全研究中心评测实验室副主任何延哲告诉记者，以Android ID、设备MAC地址等能够识别用户常用设备的信息为例，即使同样的信息被不同的SDK不同地使用，也有可能使用推送广告、安全风险控制等功能。

此外，地图SDK需要收集用户的地理位置信息，第三方登录分享类需要与另一个APP分享或获取账号信息，因此需要应用列表信息，这些都是SDK实现合理功能的信息诉求。

去年11月正式施行的《个人信息保护法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当告知个人接收人的姓名或者联系方式、处理目的、处理方式以及个人信息的种类，并取得个人同意。”目前大部分app主要采用让用户单独查看第三方SDK列表的方式，告知相关SDK具体的信息采集情况，获得用户授权。

但是，这并不意味着所有的SDK都被切断了通过技术渠道获取授权列表之外的个人信息的可能。此次工信部通报的12个SDK，都是通过违规收集个人信息侵犯用户权益的。其中，8个SDK与采集设备的Android ID相关，4个与采集设备的IMEI号相关，3个与采集设备的MAC地址相关，2个与采集设备的IMSI号相关，1个与采集设备的ICCID号相关。

值得注意的是，这并不是工信部第一次采取措施整治SDK违规。早在2020年7月，央视播出的“3.15”晚会就报道了SDK的隐私问题。此后，工信部发文要求严查涉事SDK企业。去年10月，工信部下架了96款侵害用户权益的app，并通报了3款违规SDK，称测试发现字节跳动穿山甲SDK、腾讯优粮汇SDK、Aauto更快广告SDK存在诸多问题。

信息收集背后的商业

app使用第三方SDK已经成为普遍现象。据Ai加密发布的《Q1 2020全国移动App安全形势研究报告》显示，截至2020年3月底，Ai加密大数据中心已采集超过315万个Android应用，超过300万个iOS应用，其中29.46%嵌入SDK。

在实际应用中，由于SDK是第三方开发者为实现特定功能而打包的程序工具包，因此可以将同一个SDK提供给不同的app来提高其开发效率，SDK开发者可以向这些app收取一定的服务费。

但是，靠服务费生存，需要足够多的应用。曲子龙指出，目前能靠服务费贯穿商业模式的SDK很少，尤其是很多SDK还在免费提供的时候，有些SDK是通过收集用户的行为习惯和个人信息处理后卖给广告主来实现的。一些大公司会自行分析收集到的数据，以改善用户体验和相关推荐功能，而广告主则会通过汇总从不同APP和SDK来源获得的个人信息，得到完整的用户画像。

此次被通报违规的SDK中，除了穿山甲SDK，网易七鱼SDK还提供使用用户信息的智能营销服务。据其官网介绍，SDK通过手机APP、web咨询、呼叫中心的全渠道接入，对访问名片的用户行为进行访问统计、访问轨迹和洞察，从而构建用户画像，完成营销的关键环节。

北京汉华天妃新安科技有限公司总经理彭根表示，在工信部通报的13个非法SDK中，非法收集的Android ID、IMEI号、设备MAC地址等信息基本属于设备的唯一代码，相关信息的处理器可以根据这些信息准确定位具体的设备和用户。“目前收集这些设备ID信息的目的大多还是在精准的广告推送上。”

2021年4月，iOS发布14.5版本更新，“App追踪透明”的新要求引起了业界的广泛关注。在这一新的隐私规定下，如果一个APP需要使用设备的位置、ID、图片、浏览习惯等数据，必须获得用户的许可，用户可以随时拒绝提供相关信息。在苹果的推动下，谷歌也表示将逐步消除Chrome浏览器中的第三方cookie，让广告商无法追踪用户的浏览历史。

两大手机操作系统制造商加强隐私监管引起了广告行业的恐慌，脸书等公司公开对此提出质疑。德国9个不同的行业协会称，由于苹果本身在App Store销售搜索广告，其隐私政策涉嫌垄断，这将损害整个广告市场。与此同时，一些大型广告公司也提出了自己的解决方案，比如用CAID标识符替换IDFA，以规避新规；升级算法，通过模糊匹配、概率匹配等方式推送一个用户群体而不是精准个体。

何彦哲指出单纯讨论SDK收集哪些个人信息是必要的，很难界定一个清晰的边界。由于设备的MAC地址、IMEI号等唯一标识符具有唯一性和可追溯性，因此更容易被滥用，危害也更大。对于非唯一标识符，它可以降低它们的敏感性，并给予用户控制权。即使SDK集合的种类增加，用户也可以通过重置的方式将其禁用，这或许会成为隐私保护需求与市场需求之间矛盾的解决方案。

APP和SDK的关系需要重构

随着工信部将13个第三方SDK列入侵害用户权益的app(SDK)名单，违法违规收集个人信息的治理越来越深入。在此背景下，进一步厘清app与SDK开发者的关系，落实主体责任，是信息治理的必然要求。

吕晴律师事务所主任合伙人熊告诉记者，APP和SDK的关系有很多种可能。有些SDK主要是基于特定需求从APP获取信息，根据APP开发者的要求和目的，在APP的控制范围内进行处理。在这种情况下，SDK是信息处理和数据处理的受托方，在处理目的和处理方法的约束范围内不独立承担责任。但由于对数据的实际控制，APP作为数据的委托方，对整个处理过程承担全部连带责任。SDK基于自身目的和需求处理信息时，可以视为独立的信息处理者，因此需要严格执行多重授权的合规性要求。

南财记者查询了当前主流app的第三方SDK目录，发现不少app在目录中区分了不同种类的SDK。以某知名短视频app为例，独立处理信息和数据的SDK更详细地公开了个人信息、使用目的、使用场景和隐私政策。

2020年11月，全国信息安全标准化技术委员会发布了《网络安全标准实践指南——移动互联网应用程序(APP)使用软件开发工具包(SDK)的安全指南》，明确了APP使用SDK的各方及责任。

从APP个人信息安全的角度来看，《安全指引》规定，原则上APP提供者是APP个人信息的控制者，是保护用户个人信息安全的第一责任人，SDK提供者根据APP使用SDK的不同方式承担相应的个人信息安全责任。

具体来说，当APP嵌入开源SDK或者与SDK端在同一侧时，由APP端负责；APP方委托SDK方处理个人信息时，由APP方负责，SDK方配合履行相关责任；双方以自身身份提供服务，自行决定数据处理目的和方式的，SDK方承担个人信息控制方责任，APP方承担个人信息控制方责任，接入第三方管理；如果双方共同决定数据处理的目的和方式，双方是个人信息的共同控制人，各自的责任需要通过合同等形式约定。如有侵犯个人信息权的，承担连带责任。

另一方面，APP与SDK之间的信息共享也需要进一步细化信息类型、采集时间、具体用途等规定。何延哲指出，无论是用于安全风险控制还是广告投放，都存在信息使用的“度”的问题。以广告推送为例，不同用户的定位精度往往伴随着信息采集类型的变化。

目前有些app在调用个人敏感信息的SDK或者打开独立处理信息的SDK时，会使用弹窗提醒用户。但在实际应用中，不同厂商对合规的理解和水平仍存在差异。熊表示，行业还在摸索具体做法，但很多专业人士其实对告知的方式缺乏清晰的认识，需要通过监管行动和案例形成一定的行业共识。

更多信息请下载21金融APP。