2019年起,中央网信办、工信部、公安部、市场监管总局四部门联合开展 APP违法违规收集使用个人信息专项治理。随着APP个人信息保护治理工作的深入推进,与APP存在密切联系的第三方软件开发包(SDK)收集个人信息问题也逐渐进入各方视野。2021年6月以来,中国信息通信研究院大数据应用与安全创新实验室紧跟技术发展趋势与行业热点,发起“SDK安全专项行动”,2022年3月已公布第四期第一批结果。SDK合规问题的重要性日渐凸显。
本文对涉及SDK的刑事处罚、行政处罚案件进行大数据分析,分析SDK产品常见涉刑风险,并以“SDK刑事首案”[1]及其他典型案例中凸显的核心问题进行梳理分析,提出相应合规建议。考虑篇幅较长,我们分为上、中、下三篇发布。
一、涉SDK案件大数据分析
(一)刑事案件大数据分析
样本来源:元典智库
检索方式:关键词=SDK,案件类型=刑事案件,并去除检索结果中的重复项以及与SDK无关的样本。
数据范围:不起诉案件:28件;已提起公诉/审结案件:22件。
检索时间:2022年6月10日。
经检索元典智库,与SDK相关、涉及信息网络的文书共50份。
1、多涉常见信息网络犯罪
从案由来看,共涉及案由6项,多为常见的信息网络犯罪。值得注意的是,尽管监管部门对于SDK的专项治理同APP个人信息保护治理工作密切相关,但在目前可通过公开渠道查询到的刑事案件中,涉及侵犯公民个人信息罪的案件数量并不占多数。而涉及非法获取计算机信息系统数据、非法控制计算机信息系统罪的案件最多,共计35件,占70%;涉及破坏计算机信息系统罪的案件次之,共计8件,占16%。这实际上也反映出了刑事司法与行政监管所关注的侧重点的不同。
序号 | 名称 | 案件数 | 占比 |
1 | 非法获取计算机信息系统数据、非法控制计算机信息系统罪 | 35 | 70% |
2 | 破坏计算机信息系统罪 | 8 | 16% |
3 | 帮助信息网络犯罪活动罪 | 3 | 6% |
4 | 侵犯公民个人信息罪 | 2 | 4% |
5 | 提供侵入、非法控制计算机信息系统程序、工具罪 | 1 | 2% |
6 | 开设赌场罪 | 1 | 2% |
合计 | 50 | 100% |
2、随APP/SDK治理工作推进,案件数量有明显增加
从案件数量的增长趋势上看,2019年后,涉SDK刑事案件数量激增,这也与国家自2019年以来加强对App及SDK的监管力度不无关系。
3、涉案SDK主要用于刷单、恶意广告、远程修改程序等非法用途
从目前检索到的刑事案件所涉SDK类型及SDK与犯罪行为的关系来看,主要包括如下几种类型:
(1)用于恶意广告及广告刷量。样本案例中涉及此类案件33件、占比66%,包括三种方式:一是,第三方SDK控制手机自动在后台开启指定的APP广告;二是,在用户不知情的情况下,运行或跳转至指定的APP,或通过后台模拟人工点击广告链接或其他链接的行为实现推广目的;三是,通过SDK监控用户手机中的程序运行状态,同步获取用户手机数据,根据获取的数据后弹出对应形式的广告。
(2)用于远程修改程序。样本案例中涉及此类案件7件、占比14%,主要是第三方SDK在手机端启动本地后台服务器,接收远程控制端发来的控制指令,在用户不知情的情况下实施增删、修改系统数据等恶意行为。
(3)用于静默下载、安装恶意软件。样本案例中涉及此类情形5件、占比10%,主要是第三方SDK在用户不知情的情况下,后台静默下载、安装所推广的软件、恶意软件或病毒木马。
(4)用于窃取隐私。样本案例中涉及2件、4%,主要是第三方SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者。
(5)用于骗取资费。样本案例中涉及1件、2%,主要是第三方SDK通过消耗用户网络套餐资费、恶意发送收费短信,订阅收费服务,拦截并自动回复订阅短息等行为,造成用户的资金损失。
行为名称 | 方式 | 案件数量 | 所占比例 |
恶意广告及广告刷量 | 1、第三方SDK控制手机自动在后台开启指定的APP广告; 2、在用户不知情的情况下,运行或跳转至指定的APP,或通过后台模拟人工点击广告链接或其他链接的行为实现推广目的; 3、通过SDK监控用户手机中的程序运行状态,同步获取用户手机数据,根据获取的数据后弹出对应形式的广告。 | 33 | 66% |
远程修改程序 | 第三方SDK在手机端启动本地后台服务器,接收远程控制端发来的控制指令,在用户不知情的情况下实施增删、修改系统数据等恶意行为。 | 7 | 14% |
静默下载安装 | 第三方SDK在用户不知情的情况下,后台静默下载、安装所推广的软件、恶意软件或病毒木马。 | 5 | 10% |
隐私窃取 | 第三方SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者。 | 2 | 4% |
资费消耗 | 第三方SDK通过消耗用户网络套餐资费、恶意发送收费短信,订阅收费服务,拦截并自动回复订阅短息等行为,造成用户的资金损失。 | 1 | 2% |
4、涉案SDK功能类型以广告型、第三方登录型、基础框架型为主
检索结果显示,涉案SDK的类型、各类SDK与犯罪行为的关系及所涉嫌的罪名主要包括如下几类:
(1)广告类SDK,共计32件,主要涉及恶意广告以及静默安装,或者作为赌博等非法网站的跳转平台。SDK经营者主要提供广告展示功能,通过使用广告SDK,APP提供者可以在APP中展示广告商投放的广告,进而根据用户的点击赚取收益。涉及罪名包括非法获取计算机信息系统数据、非法控制计算机信息系统罪/提供侵入、非法控制计算机信息系统程序、工具罪、帮助信息网络犯罪活动罪/开设赌场罪等。
(2)第三方登录类SDK,共计10件,主要是通过其他账号体系(如微博、微信)等第三方账号登录APP,从而远程控制、修改程序或者窃取用户隐私。涉及罪名包括破坏计算机信息系统罪、侵犯公民个人信息罪。
(3)提供APP基础功能类SDK,共计5件,主要是在明知对方是赌博网站等违法网站的情况下,为其提供图片缓存、视频播放等SDK或者骗取用户资费的支付工具,或者在未取得许可情况下强行进入其无权进入的计算机系统,获取计算机信息系统中SDK组件向后台发送到特定的指令数据。涉及罪名包括帮助信息网络犯罪活动罪/开设赌场罪等、破坏计算机信息系统罪。
(4)识别类SDK,共计1件,主要是将活体识别类SDK作为破解对象,行为人通过破解SDK二进制加密算法,绕过活体人脸认证进入系统,涉及破坏计算机信息系统罪。
涉案SDK类型及所涉罪名一览
SDK类型 | 功能描述 | 案件数量 | 与犯罪行为关系 | 涉及罪名 |
广告类SDK | 提供广告展示功能,通过使用广告SDK,APP提供者可以在APP中展示广告商投放的广告,进而根据用户的点击赚取收益。 | 30 | 作为犯罪工具: 1、恶意广告 2、静默安装 | 非法获取计算机信息系统数据、非法控制计算机信息系统罪/提供侵入、非法控制计算机信息系统程序、工具罪 |
2 | 作为犯罪工具: 所推广、跳转对象的对象是赌博网站等非法网站 | 帮助信息网络犯罪活动罪/开设赌场罪等 | ||
第三方登录类SDK | 提供通过其他账号体系(如微博、微信)等第三方账号登录APP的功能。 | 8 | 作为犯罪工具: 远程控制、修改程序 | 破坏计算机信息系统罪 |
2 | 作为犯罪工具: 窃取隐私 | 侵犯公民个人信息罪 | ||
基础功能类SDK | 提供APP的基础功能,如网络访问、图片缓存等。 | 2 | 作为犯罪工具: 在明知对方是赌博网站等违法网站的情况下,为其提供图片缓存、视频播放等SDK | 帮助信息网络犯罪活动罪/开设赌场罪等 |
提供开发某一类APP或跨平台APP所需的整体框架 | 2 | 作为犯罪对象: 在未取得许可情况下强行进入其无权进入的计算机系统,获取计算机信息系统中SDK组件向后台发送到特定的指令数据 | 破坏计算机信息系统罪 | |
提供移动支付功能 | 1 | 作为犯罪工具: 资费消耗 | 破坏计算机信息系统罪 | |
识别类SDK | 提供语音识别、人脸识别、活体检测等功能 | 1 | 作为犯罪对象: 行为人通过破解SDK二进制加密算法,绕过活体人脸认证进入系统。 | 破坏计算机信息系统罪 |
根据上述统计数据可以看出,SDK不仅可以成为犯罪工具,在一些刑事案件中,由于SDK自身存在安全漏洞,因此也可能被恶意利用,成为犯罪对象。
(二)行政案件大数据分析
样本来源:威科先行数据库、工信部官网
检索方式:关键词=SDK,并去除检索结果中的重复项以及与预装SDK无关的样本。
数据范围:2022年1-5月。
检索时间:2022年6月10日。
经浏览工信部公布的关于侵害用户权益行为的APP通报,及检索威科先行的行政处罚案例库,2022年1-5月SDK相关的行政处罚案件为2批。
在处罚原因上,第一批SDK相关行政处罚的处罚原因是,SDK未履行告知义务,未告知收集使用个人信息的目的、方式和范围。第二批SDK相关行政处罚的处罚原因是,SDK违反收集个人信息的最小必要原则,违规收集个人信息。可以看出,在个人信息保护领域,行政机关较为关注的是,SDK是否向用户履行告知义务、是否合法合理收集个人信息。
SDK产品行政处罚一览
代表案例 | 处罚原因 | 处罚结果 | 常用条款 |
某聊等17个APP | 隐私政策等公示文本中没有逐一列明SDK收集使用个人信息的目的、方式和范围 | 1、警告 2、责令停产停业(整改期间关闭IP地址) | 1、《网络安全法》第22条、41条、第43条、第60条、第六十四条 2、《个人信息保护法》第7条、第17条、第66条 |
某飞语音等13个SDK | SDK违规收集个人信息(设备安装列表、IMEI、IMSI、ICCID、MAC地址、Android ID、传感器信息) | 通报批评 | 1、《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等 |
(未完,待续。实习律师虞晨对本文亦有贡献。)
植德数据合规业务组与争议解决业务组紧密配合,为应对刑事领域新挑战,制作了《数据合规刑事红线指引1.0版》
。本指引围绕数据合规领域的十个刑事罪名,就罪名概述、法律依据、合规问答、案例分析、启示及合规建议进行深入解析,以期为企业准确理解数据合规刑事红线、防范数据合规刑事风险提供参考。企业可以将本指引作为内部培训参考资料,其中罪名概述、法律依据部分可以作为企业分析、判断自身业务刑事风险的依据,合规问答、案例分析部分可以作为防范数据合规刑事风险的重要参考,启示及合规建议可以作为企业开展数据合规工作的指引。
具体可以参考如下链接:
植德数据合规组与争议解决组合作完成的《重磅发布|数据合规刑事红线指引1.0版》
[1] 即欧某某等非法控制计算机信息系统罪案,见:(2018)浙0482刑初574号刑事判决书、(2019)浙04刑终71号刑事判决书。
