你大概知道自己的手机里装了多少个APP,你也知道APP在收集你的个人隐私数据。但你或许不知道,除此之外,你的数据还可能同时被隐藏在APP里的第三方SDK收集。
去年8月,中国一款嵌入到500多个APP中的广告软件SDK被曝未经允许盗取用户数据,主要是呼叫日志,并将数据发送到公司服务器上。截至目前,这些APP在安卓生态系统中的下载量已经超过1亿次。此前,苹果商城也曾因为256个APP使用的SDK违规收集用户信息,将这些APP全部下架。
几乎所有APP都会使用SDK,而SDK收集用户信息的行为非常普遍。这意味着,你授权APP收集的个人信息被第三方获取了,而你很可能却对此毫不知情。
精准投放的“好帮手”
APP通常会使用第三方SDK快速实现支付、验证、统计等功能,相比自行开发耗费的资源,直接使用SDK性价比更高。此外,SDK还扮演着可信第三方的角色,把监测到的APP流量数据提供给投资人,作为考量APP价值的重要依据。
众所周知,精准推送服务是APP获取用户和留住用户的常用行为。据南都记者了解,APP本身收集的用户数据有限,而SDK可以通过与多家APP开发公司合作获取大量用户数据,而这些数据不但可以实现用户画像,还能用来精准投放广告,这正是一个APP梦寐以求的。此时,在APP开发公司和SDK提供商之间,又增加了一层合作关系。
SDK收集的用户信息可以详细到什么程度?北京网贷协会数据安全专家韩洪慧曾在采访中提到,“SDK一旦嵌入,如果你注册登录了这个APP,并默认授权,所有的行为数据都能记录,它会在不知不觉中爬取手机通讯详单、聊天记录、银行账号的密码口令、短信、通讯录、行动范围、位置信息等。”
“SDK比爬虫读取的数据更全,不公开数据和公开数据都可用SDK收集,但造成的结果就是数据常常会被滥采或滥用。”韩洪慧说。
采集的信息
“无底线”、“侵犯隐私”
高级产品研发专家马巍源曾在一篇名为《聊聊SDK采集数据的秘密》的文章里,揭露过移动互联网行业SD?K采集用户隐私乱象,并将它们按照危险级别分类。其中危险级别“高”及以上的包括采集设备上安装的所有APP列表、采集正在运行或最近运行的APP信息、采集用户的账户信息。
“这类用户信息的采集可以说比较无底线”,文章指出,通过采集前两类信息可以清楚了解用户设备中安装的各类APP信息、日启动次数及时长等,由此得知设备用户的喜好;若数据量庞大,还可推算出每款APP应用的市场占有率、各类竞品APP的情况,在用户不知情的情况下“侵犯了用户隐私”。
而安全危险级别同样“极高”的采集用户移动设备账户信息,可以获取用户账户列表,将移动设备信息与用户账号关联,对设备进行唯一标识。“采集如此数据带来的风险也显而易见,若用户账号被泄露、被克隆,那对于用户产生的损失可能是利益上的、更甚是生命上的”,文章强调,“此类数据的采集对用户隐私侵害极大。”
如果APP不想被第三方SDK“私货”影响,文章提出了两种解决方法:一是要求第三方修改SDK,二是换一家“干净的”。
●法规约束
“模糊”的第三方APP不能推卸告知义务
对用户来说,APP作为网络产品提供者,是个人信息保护的直接责任方,应该遵守《中华人民共和国网络安全法》(下称“网安法”)里的对应条款。
网安法第二十二条规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;第四十二条规定,未经被收集者同意,网络运营者不得向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外。也就是说,A?PP如果想要和第三方共享用户的个人信息,必须事先取得用户的明示同意。
显然,SDK属于这里所说的“第三方”。但事实是,用户往往并不知道自己的个人信息在何时、以何种方式被共享给了SDK。这是因为,“隐私政策”作为A?PP和用户之间关于如何处理和保护用户个人信息的载体,对与第三方共享用户个人信息的表述极为模糊。
“隐私政策”的内容通常包括APP如何收集、使用、共享、保护用户个人信息,用户同意之后才能使用APP。在隐私政策关于共享的相关表述中,最常见的是“可能会将用户的个人信息分享给第三方”。但是,几乎没有APP会在隐私政策中详细列举所谓的“第三方”究竟包括哪些。
这对用户来说当然不公平,但从APP的角度来说,他们也有自己的顾虑。北京玺泽律师事务所高级合伙人刘新焱对南都记者表示,由于APP开发公司可能和多家SDK提供商合作,而且未来和谁合作也不确定,所以才不把SDK提供商的名字写入自己的隐私协议。不过他强调,即便如此,APP还是不能推卸对用户的告知义务。
●法律责任
SDK是APP的一部分,APP应承担所有法律责任
能收集详细的用户隐私数据,又处于监管的灰色地带,甚至使用它的APP也无法从技术上保证100%安全。SD?K对用户来说,犹如一颗隐藏在暗处的“定时炸弹”,危险性不言而喻。
SDK提供商泄露和滥用用户信息的事件很多,有的甚至成为了黑灰产的源头。但对用户来说,没法直接了解SDK收集个人信息的方式,只能信任APP。
北京大学互联网发展研究中心专家研究员洪延青认为,如果SDK只是纯粹辅助APP分析用户数据,所有法律责任应由APP承担;如果SDK把收集到的APP用户信息用作其他用途,比如买卖、交换,APP和SDK就处于共同数据处理者的位置。由于SDK无法起到告知作用,APP必须详细告知用户这一行为,否则APP依然将承担所有法律责任。
中国信息安全研究院副院长左晓栋也告诉南都记者,目前对SDK没有监管,也缺乏监管依据,因为无论SDK的功能是什么,被使用后都会成为APP的一部分,“APP开发商要为其行为负责,不能以‘第三方’为理由搪塞”。“打个比方,对车主来说,如果发动机有问题,他不会关心发动机厂商是谁,只会找整车厂商,这是同一个道理”,左晓栋说。
值得庆幸的是,目前应用商店对APP的审核越来越严格,一旦发现不合规,会立即下架。这也促使APP选择正规的SDK提供商,合规地获取数据,在一定程度上也对SDK起到了规范效果。