图片97

2019年1月25日，中央网络信息办公室、工业和信息化部、公安部、国家市场监督管理局联合开展了非法收集和使用个人信息的专项治理。随着APP个人信息保护和治理的深入推进，与APP密切相关的第三方软件开发包（SDK）收集个人信息的问题也逐渐进入各方的视野。今年7月，一些行业领先的应用程序被曝光，因为它们没有通知用户SDK在隐私政策中收集用户的个人信息规则。

SDK是协助开发某种应用软件的相关文档、示例和工具的集合。为了提供开发效率和降低成本，应用程序开发人员经常在软件中嵌入第三方SDK。SDK类型主要包括：消息推送、数据统计分析、第三方登录、支付、地图导航、社交共享、风险控制插件和所有基础库。

第三方SDK提供商和应用程序开发人员通常通过SDK提供商的开放平台在线签署开发人员服务协议，以约定双方的权利和义务，并通过背靠背授权获得用户数据收集权。SDK实际上在收集用户个人信息时直接与应用程序同步收集，无需通过应用程序共享。此外，SDK可以使用应用程序申请的所有操作系统权限，并且可能会搭便车收集额外的个人信息。在Android系统中，SDK还可以阅读其他应用程序的存储数据，只要宿主应用程序在公共存储区域拥有阅读权。由于SDK数据收集和处理活动缺乏透明度，用户往往难以感知，应用程序开发人员可能不完全知道。同时，各种SDK功能逐渐多样化，应用于不同领域，有机会在不同的业务场景中获取各种应用程序的个人信息，对于同一个人标签数量可达到200万，因此其数据收集挖掘潜力和泄漏可能造成的危害远远大于应用程序本身，但SDK的合规性远低于应用程序开发人员。

2019年3月1日，APP专项治理工作组编制发布了《APP非法收集和使用个人信息自我评估指南》，其中第二十一条规定，如果使用Cookie及其类似技术收集个人信息，是否向用户明示类似技术包括脚本、Clickstrean、Web信标、FlashCookie、嵌入式Web链接、SDK等。但在实践中，很少有APP在隐私政策中提到SDK的使用，SDK也没有在隐私政策中明确表示会收集用户的个人信息并经用户同意。

根据《数据安全管理办法》（草案）的要求，网络运营商应明确数据安全台的第三方应用程序的数据安全要求和责任，并督促和监督第三方应用程序运营商加强数据安全管理。如果第三方应用程序的数据安全事件给用户造成损失，网络运营商应承担部分或全部责任，除非网络运营商能够证明没有过错。因此，应用程序开发人员应对接入的第三方SDK进行安全管理，否则SDK的数据安全事件不能证明自己没有过错，需要承担部分或全部责任。