SDK产品涉刑风险大数据分析报告及合规建议(下)

来源:北京植德律师事务所

文章摘要
接上篇《SDK产品涉刑风险大数据分析报告及合规建议(中)》,本篇我们重点谈谈从SDK系列刑事案件、行政处罚案件中获得启发,为此我们整理了一些对SDK提供者、APP运营者的合规建议。

接上篇《SDK产品涉刑风险大数据分析报告及合规建议(中)》,本篇我们重点谈谈从SDK系列刑事案件、行政处罚案件中获得启发,为此我们整理了一些对SDK提供者、APP运营者的合规建议。
三、合规风险与建议

(一)SDK提供者面临的合规风险与建议
1、合规风险
在SDK使用过程中存在的主要风险主要包括三种类型:
一是SDK自身安全漏洞,即若SDK提供者在开发时仅关注SDK的功能实现,可能忽视SDK的信息安全性,导致SDK本身存在安全漏洞,如源文件安全、内部数据交互安全、通信数据传输安全、本地数据存储安全、防御检测。
二是SDK恶意行为,即嵌入APP中的SDK自身产生的恶意行为,将破坏APP的安全性,对用户权益、数据造成严重威胁。并且有些SDK嵌入APP初期不具有恶意行为,随着后续的更新实施恶意行为。常见的恶意行为有流量劫持、资费消耗、隐私窃取、静默下载安装、广告刷量、恶意广告、勒索、挖矿、远程控制等。
三是SDK收集使用个人信息问题,即APP使用存在收集使用个人信息问题的SDK时,APP用户个人信息构成安全危险。如SDK超范围收集个人信息,未说明APP嵌入SDK收集使用个人信息的目的、类型、方式,SDK未经用户同意收集、使用或对外提供个人信息,APP对嵌入SDK的安全管理监督不足。
本案中涉及的合规风险包括:SDK存在静默下载安装、广告刷量的恶意行为;SDK未说明收集使用个人信息的目的、类型、方式;SDK未经过用户同意就收集、使用IMEI、IMSI等个人信息。
2、合规建议
结合《个人信息保护法》《数据安全法》《网络安全法》等法律、国家标准《信息安全技术移动互联网应用程序(APP)SDK安全指南》(征求意见稿)、技术指南《移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》等,提出合规建议如下:
第一,与所嵌入程序提供者签订合作协议。双方共同约定在防止恶意行为、安全漏洞响应、数据安全防护、个人信息安全保护方面各自应承担的责任和义务,明确收集使用的个人信息类型、使用目的、保存期限、超期处理方式等,做到信息披露及时、准确。
第二,向所嵌入程序提供者履行告知义务。明示 SDK 热更新机制相关信息、 SDK 相关信息。例如,在热更新方面,热更新推送前至少5个工作日说明热更新时间节点等内容,提供单独控制热更新功能开启关闭的选项。在SDK相关信息方面,提供 SDK 提供者基本信息、沟通反映渠道、SDK基本功能、版本号、隐私政策链接地址、申请的敏感权限和申请的目的、收集的个人信息类型和收集目的、个人信息回传服务器所在地域、热更新机制及其开启关闭方式、是否存在单独收集用户个人信息的界面等。
第三,遵循最小必要原则。收集使用个人信息应遵循合理、最小、必要原则。收集个人信息的范围和频率应是实现自身业务功能所必需的最小范围和最低频率。
第四,保障用户个人信息权益。建立Opt-out选择退出机制,当用户拒绝使用SDK提供的服务时,可Opt-out退出。当SDK作为个人信息共同控制者或独立控制者收集使用用户个人信息时,应单独向用户告知收集使用个人信息的行为并获得用户的同意。
第五,进行上线前安全评估和上线后定期监测,防范安全漏洞和恶意行为。在SDK发布上线前,进行安全评估,包括:恶意代码检测、安全漏洞检测、权限申请和调用频率检测、后台自启动和关联启动并收集个人信息的行为检测。发布上线后,持续定期进行安全监测,发现安全漏洞及时进行修复并及时告知App提供者。
第六,进行安全存储和处理。优先本地存储和处理个人信息。在本地存储和处理个人敏感信息,对个人敏感信息内容进行加密。不留存不可变更的设备唯一标识符。SDK在停止接入后,及时删除共享或收集到的个人信息或做匿名化处理。
(二)从APP运营者的角度,如与SDK提供者合作,需要注意的合规风险与建议
1、合规风险
第一,由于SDK服务的使用者及使用目的不同,SDK提供者的数据法身份也不同,对于不同的身份,APP运营者可能面临不同的合规风险,具体分析如下:
a. SDK提供者是受托处理者。
例如APP接入性能监测SDK、客服SDK等工具类SDK时, SDK服务者并无使用有关个人信息的目的,SDK仅根据APP运营者的需要或指示处理有关信息。在此场景下,构成委托处理关系。
如SDK提供者违规处理个人信息的,APP运营者作为个人信息处理者仍直接面对个人信息主体,承担相应责任。
b. SDK提供者是独立的个人信息处理者。
例如APP接入支付类SDK、广告类SDK、直播SDK时,SDK提供者的服务并不限于接入的APP,还可能在其他APP或其自身的APP中使用有关信息,由于APP运营者无法与对SDK处理个人信息的行为进行充分的限制,其可以自主决定处理目的、处理方式,因此SDK提供者属于个人信息处理者。
在此场景下,APP运营者类似于平台方的地位,如SDK提供者违规处理个人信息的,APP可能构成帮助侵权。
第二,APP运营者未来可能需要对第三方SDK的违规行为承担“先行赔付”责任。《网络数据安全管理条例(征求意见稿)》第四十四条明确要求互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。此外,如第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。该条款拟通过加重App运营者的赔偿责任,以促使其积极履行第三方数据安全管理责任和义务。因此,APP运营者应根据法律、行政法规的要求,参考有关国标,落实对第三方的安全管理,避免前述条款生效致使自身承担赔偿责任。
2、合规建议
第一,在接入前APP运营者应通过协议等形式对双方的个人信息处理规则和保护责任进行约定,包括明确处理个人信息的目的、期限、处理方式、个人信息的种类、保护措施以及权利和义务等内容。对于构成委托处理的SDK,APP运营者应落实《个人信息保护法》第二十一条对委托方义务要求。此外,建议APP运营者参考《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》《信息安全技术个人信息安全规范》等国标中第三方接入管理的规定进行落实。
第二,APP运营者需要在个人信息处理规则中告知有关个人信息处理的SDK情况,披露第三方SDK的使用目的、收集的个人信息、联系方式、隐私政策链接等信息。
第三,除了通过协议约束第三方和向用户告知有关接入情况外,还应定期对其个人信息处理情况进行监督。首先,APP运营者可利用市场成熟的技术工具,在接入前或接入后定期对SDK进行技术检测,以判断其收集的个人信息、调取的设备权限是否与协议约定一致,是否具备热更新、关联启动等高风险功能,或存在向境外提供数据的情形,做好充分的安全评估和记录。其次,APP运营者还可关注监管对SDK的行政处罚动态,对如发现违规情况,应尽快停止其接入。但从相关技术实践来看,只有在更新App的情况下才能将相关代码移除。这意味着,每一个第三方SDK的停止使用,都会产生一次更新APP的需求,因此有可能会对App运营更新的正常频率产生扰动影响,此外还可能受应用商店的审核时效等不可控因素影响。因此,除了日常管理外,还建议APP运营者做好相关风险应急预案,尽最大努力降低损失。
(完。实习律师余灏对本文亦有贡献。)

技术驱动法律,专业成就未来