在App背后，侵犯个人信息的SDK正成为执法焦点|app|sdk|应用程序|插件|用户文档|移动

美国联邦贸易委员会（FTC）近期起诉了涉嫌通过SDK插件违法收集信息的美国InMarket公司，该公司商业模式是通过面向消费者的终端获取数据，然后销售给各个行业的公司，目前双方正试图达成和解。据不完全统计，FTC去年至今至少起诉了三家低调通过SDK违法收集个人信息的公司[i]，中国也有不少类似案例，说明该领域已成执法焦点。今天就根据诉状[ii]聊聊这个案子以及我国相关的法律规定。

一、为什么说SDK服务商低调？

SDK（Software Development Kit），是集成在应用程序（“App”）里的第三方工具包，为什么说SDK服务商低调，是因为其不是应用程序运营者，只是在应用程序中提供了某项功能，如地图、支付、统计、社交、广告等，从消费者感知的角度，存在感比较弱。据统计[iii]，平均每款App会使用19.3个SDK，而微信SDK、腾讯Open SDK、小米推送SDK、华为SDK、支付宝SDK等被超过半数的App嵌入。

以微信为例[iv]，接入的SDK包括：云闪付、微信支付、微粒贷、小程序/公众号、微信登录、广告服务。这其中，部分由腾讯提供，部分由第三方，如云闪付由中国银联提供。但正因为其存在感弱，所以其通过服务获取个人信息后如果违法处理的，也不容易被察觉，但监管机构还是发现了问题。

二、InMarket的SDK服务有哪些违法行为？

InMarket是一家德克萨斯州的数字营销平台和数据聚合商，它通过开发专业软件开发工具包（“InMarketSDK”）直接从移动设备收集位置数据，并利用移动设备位置数据向消费者的移动设备定向投放广告。

收集位置数据包括两种方式，一种是直接整合到其运营两款移动应用程序CheckPoints（完成小任务即可获得购物奖励）和ListEase（帮助消费者创建购物清单）收集移动设备的位置数据，另一种是向300多款的第三方应用程序开发商提供SDK接入服务进而出售并共享消费者的位置数据进行广告推广。InMarket收集消费者位置数据的做法和违法性可归纳如下：

1、InMarket自运营的两款应用程序的同意屏幕告知消费者其位置将被用于应用功能（赚取积分和保存列表），但未披露收集用户精确位置信息及用途；

违法性：收集行踪轨迹等敏感个人信息时，未同步告知用户其目的，或者目的不明确、难以理解；收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

2、InMarket的隐私政策虽然披露将把消费者数据用于定向广告，但其同意屏幕未链接到隐私政策，也未告知消费者应用程序的数据收集和使用做法。

违法性：在App首次运行时未通过弹窗等明显方式提示用户阅读App及SDK的隐私政策等个人信息收集使用规则；且未同步告知用户其收集个人信息和敏感个人信息的目的。

3、InMarket不要求使用其SDK的第三方应用程序获得消费者的知情同意，与应用程序开发商签订的合同对隐私方面没有更多要求，仅要求开发商遵守所有适用法律并维护符合法律要求的隐私政策；

违法性：以欺诈、诱骗等不正当方式误导用户，掩饰收集使用个人信息的真实目的违法收集个人信息；未逐一列出SDK收集使用个人信息的目的、方式、范围等。

4、InMarket将收集的消费者位置数据保留了五年之久；

违法性：未及时删除个人信息违反最小必要原则。

5、InMarket通过其算法将消费者的位置数据与广告相关兴趣点进行交叉比例，进行用户画像，形成广告产品牟利。

违法性：为“用户画像”、“算法推荐”等涉及不当自动化决策违反处理敏感个人信息的保护规则；利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；违反其所声明的收集使用规则（涉及部分SDK），收集使用个人信息。

三、我国的监管规定和处罚案例

结合前述违法行为，假设InMarket是一家中国企业，其收集和处理消费者的个人信息的行为涉嫌违反《网络安全法》、《个人信息保护法》、《消费者权益保护法》等有关个人信息的法律规定，具体的违法内容，前文已经分析。同时，对SDK个人信息保护，我国监管部门还有非常详尽的具体规定。

《App违法违规收集使用个人信息行为认定办法》和工信部2023年2月发布的《关于进一步提升移动互联网应用服务能力的通知》，对App开发运营者主体、SDK自身、企业三方分别提出SDK的管理要求，具体包括：

1、App运营者需逐一列明App委托的第三方或嵌入的第三方代码、插件收集使用个人信息的目的、方式、范围，否则将被认定为未明示收集使用个人信息的目的、方式和范围。

2、App运营者使用SDK前对其进行个人信息保护能力评估，通过合同等形式明确约定各方权利和义务，确保个人信息处理依法合规。集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。共同处理用户个人信息，侵害用户权益造成损害的，依法承担相应责任。

3、App运营者需公开明示个人信息处理规则，SDK独立采集、传输、存储个人信息的，应当单独作出说明。

4、SDK开发者遵循最小必要原则，根据不同应用场景或用途，明确SDK功能和对应的个人信息收集范围，并向App运营者提供功能模块及个人信息收集的配置选项，不得一揽子过度收集个人信息。

根据我们的查询，工信部和各地通管局近年来多次通报了侵害用户权益行为的SDK服务，包括一键登录、移动端应用订阅、AdSet广告、多酷单机、TalkingData、Adview广告在内的多款SDK被通报。

最后，虽然监管机构陆续加强对SDK收集和处理用户个人信息的监督，但如果SDK开发者或者App运营者能够根据监管机构要求，全面完成整改，那么就有可能减轻或免除相应的责任。相反，若是逾期不整改或整改不到位的，监管机构会优先选择下架相关产品或服务。如果情况严重，监管机构还会采取包括罚款在内行政处罚措施，甚至会追究刑事责任。

本文作者：游云庭，上海大邦律师事务所高级合伙人，知识产权律师。汪婷，上海大邦律师事务所顾问。本文仅代表作者观点。