×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评|SDK个人信息保护的法律与合规指南

汉盛法评|SDK个人信息保护的法律与合规指南

2022-07-18   金震华律师团队

概述

历经20年的快速发展,我国移动互联网市场已形成庞大的产业规模,创造出极为可观的经济效益。信息技术与实体经济持续深度融合,逐步渗透、改造传统行业的服务模式,不断催生传统产业服务新业态。APP作为移动互联网生态的重要一环,发挥着不可替代的入口作用。SDK与APP联系紧密、相生相依。从APP的开发过程来看,APP开发时嵌入第三方封装的软件开发工具包(SDK),即可获得第三方提供的广告、支付、统计、推送、社交网络、地图、定位等功能,以满足相互协作、能力共享、信息互通的需求,不用“重复制造轮子”,大幅提高开发效率,降低开发成本,因此,使用第三方 SDK 也已成为移动生态的重要组成部分。2022年3月,数据分析机构Newzoo的最新数据显示,中国市场拥有超过9.5亿智能手机用户,远超其他国家。庞大的智能手机用户群体托起了我国繁荣的移动应用软件(APP)市场,以及为App提供信息推送、广告分发、数据分析、地图导航等功能的第三方SDK服务市场。

然而,APP、SDK在深度参与广大用户生产生活的同时,也滋生了超范围收集用户信息、不合理索取用户权限、为用户账号注销设置障碍、欺骗误导用户等问题。自2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合开展APP违法违规收集使用个人信息专项治理,重拳出击,整治乱象。随着监管的深入,第三方软件开发包(SDK)收集个人信息问题也进入了各方视野。SDK作为第三方主体,通过APP掌握了收集、使用大量用户信息的渠道,多样化的应用场景使得其数据流向更加复杂,其间的潜在风险同样不容小觑。在APP专项治理中,就曾发现第三方SDK存在收集个人信息不明、自身存在安全漏洞等诸多问题。此外,2020年3月疫情期间爆出的Zoom接入SDK问题,2020年7月“3.15”晚会曝光私自收集个人信息的SDK未经用户许可窃取个人信息问题,都成为社会各界关注的焦点。由此观之,SDK自身的安全性,以及其收集使用个人信息行为,已然是移动生态中个人信息保护的风险点。就目前的执法趋势来看,通过APP专项治理、相关SDK安全标准的制定推广等工作,SDK提供商纷纷开始制定隐私政策、APP也对嵌入第三方SDK的名称、目的、个人信息类型进行告知,意味着整个SDK生态的“隐蔽性”特征开始转变。

随着立法完善,APP、SDK的监管要求势必不断趋严,治理内容还将进一步精细化。过去的一年,可谓数据立法之“大年”,我国在网络安全和数据保护领域的立法高歌猛进,数据法律框架的“三驾马车”逐一到位。四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》也于2021年5月1日正式施行。面对如此丰硕的立法成果,企业的压力在于如何尽快认知、识别风险和确保合规落地。“工欲善其事,必先利其器”,在数字经济快速发展的背景下,我们须深刻认识到数据合规建设之重要意义,不仅在法律层面注重“体用”合一,更应在技术层面重点布局、敢于创新。

本团队编著《SDK个人信息保护的法律与合规指南》(以下简称《指南》),立足SDK运行机理分析合规风险,基于法律文本与执法案例把握监管要求,结合业务场景提出分析意见,以供企业或者机构的数据合规建设参考和借鉴。《指南》共有六章,前三章贯穿立法与执法,融会不同法域的治理实践,后三章聚焦实务场景提出可操作、可落地的方略要点。

以下对各章节内容作概述:

第一章SDK的概念及基本应用类型:“知己知彼,百战不殆”,分析风险之初,必先了解SDK的本质,实现技术语言到法律语言的转换。本章梳理了SDK的相关背景知识,主要从概念、基本法律关系、相关术语解释、类型及应用场景等方面展开。

第二章 SDK应用中存在的主要风险及分析:“知其然,知其所以然”,欲在应对风险时有的放矢,须得分析其风险之来源与成因。本章结合实际案例分析第三方SDK存在的主要安全问题,主要围绕安全漏洞、恶意行为、收集个人信息的安全问题、未足够的监督等问题展开。

第三章 关于SDK个人信息保护的法律与监管实践:“融会中西,兼备体用”,了解立法意旨、把握监管逻辑,方能符合监管要求。本章通过调研欧盟(GDPR)、美国(CCPA)的相关经验做法,从法律法规、企业责任、技术标准、行业自律等方面结合我国监管实情提出了有针对性的建议。

第四章 关于APP-SDK提供者之间的法律关系及相应义务:“以始为终,行必所至”,精准定位法律关系与义务,是形成行为准则的前提条件。本章核心在于结合《个人信息保护法》第二十条、第二十一条、第二十二条、第二十三条,明晰三种法律关系的区分标准与合规事项。

第五章 SDK个人信息保护须遵循的原则、履行的义务及合规路径:“积微成大,陟遐自迩”,严格落实法定原则和合规路径,是应对监管的关键之举。本章主要介绍了SDK个人信息保护须遵循的原则,并在此基础上从APP和SDK两个角度提出可操作的合规路径。

第六章 关于SDK的合规评估与审计:“流水不腐,户枢不蠹”,一个完整的合规体系离不开动态的合规评估与审计。只有具备完整的合规评估与审计措施,方能确保合规策略及制度的落地,赋予合规真正的生命力。本章主要立足现行监管政策、标准与指引,归纳出合规评估、审计工作中可供参考的项目清单。


获取全篇合规指南请点击以下链接阅读下载

https://www.kdocs.cn/l/cfuBHQqWkivK

相关研究