汉盛法评|SDK个人信息保护的法律与合规指南
概述
历经20年的快速发展,我国移动互联网市场已形成庞大的产业规模,创造出极为可观的经济效益。信息技术与实体经济持续深度融合,逐步渗透、改造传统行业的服务模式,不断催生传统产业服务新业态。APP作为移动互联网生态的重要一环,发挥着不可替代的入口作用。SDK与APP联系紧密、相生相依。从APP的开发过程来看,APP开发时嵌入第三方封装的软件开发工具包(SDK),即可获得第三方提供的广告、支付、统计、推送、社交网络、地图、定位等功能,以满足相互协作、能力共享、信息互通的需求,不用“重复制造轮子”,大幅提高开发效率,降低开发成本,因此,使用第三方 SDK 也已成为移动生态的重要组成部分。2022年3月,数据分析机构Newzoo的最新数据显示,中国市场拥有超过9.5亿智能手机用户,远超其他国家。庞大的智能手机用户群体托起了我国繁荣的移动应用软件(APP)市场,以及为App提供信息推送、广告分发、数据分析、地图导航等功能的第三方SDK服务市场。 然而,APP、SDK在深度参与广大用户生产生活的同时,也滋生了超范围收集用户信息、不合理索取用户权限、为用户账号注销设置障碍、欺骗误导用户等问题。自2019年1月,中央网信办、工信部、公安部、市场监管总局四部门联合开展APP违法违规收集使用个人信息专项治理,重拳出击,整治乱象。随着监管的深入,第三方软件开发包(SDK)收集个人信息问题也进入了各方视野。SDK作为第三方主体,通过APP掌握了收集、使用大量用户信息的渠道,多样化的应用场景使得其数据流向更加复杂,其间的潜在风险同样不容小觑。在APP专项治理中,就曾发现第三方SDK存在收集个人信息不明、自身存在安全漏洞等诸多问题。此外,2020年3月疫情期间爆出的Zoom接入SDK问题,2020年7月“3.15”晚会曝光私自收集个人信息的SDK未经用户许可窃取个人信息问题,都成为社会各界关注的焦点。由此观之,SDK自身的安全性,以及其收集使用个人信息行为,已然是移动生态中个人信息保护的风险点。就目前的执法趋势来看,通过APP专项治理、相关SDK安全标准的制定推广等工作,SDK提供商纷纷开始制定隐私政策、APP也对嵌入第三方SDK的名称、目的、个人信息类型进行告知,意味着整个SDK生态的“隐蔽性”特征开始转变。 随着立法完善,APP、SDK的监管要求势必不断趋严,治理内容还将进一步精细化。过去的一年,可谓数据立法之“大年”,我国在网络安全和数据保护领域的立法高歌猛进,数据法律框架的“三驾马车”逐一到位。四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》也于2021年5月1日正式施行。面对如此丰硕的立法成果,企业的压力在于如何尽快认知、识别风险和确保合规落地。“工欲善其事,必先利其器”,在数字经济快速发展的背景下,我们须深刻认识到数据合规建设之重要意义,不仅在法律层面注重“体用”合一,更应在技术层面重点布局、敢于创新。 本团队编著《SDK个人信息保护的法律与合规指南》(以下简称《指南》),立足SDK运行机理分析合规风险,基于法律文本与执法案例把握监管要求,结合业务场景提出分析意见,以供企业或者机构的数据合规建设参考和借鉴。《指南》共有六章,前三章贯穿立法与执法,融会不同法域的治理实践,后三章聚焦实务场景提出可操作、可落地的方略要点。 以下对各章节内容作概述: 第一章SDK的概念及基本应用类型:“知己知彼,百战不殆”,分析风险之初,必先了解SDK的本质,实现技术语言到法律语言的转换。本章梳理了SDK的相关背景知识,主要从概念、基本法律关系、相关术语解释、类型及应用场景等方面展开。 第二章 SDK应用中存在的主要风险及分析:“知其然,知其所以然”,欲在应对风险时有的放矢,须得分析其风险之来源与成因。本章结合实际案例分析第三方SDK存在的主要安全问题,主要围绕安全漏洞、恶意行为、收集个人信息的安全问题、未足够的监督等问题展开。 第三章 关于SDK个人信息保护的法律与监管实践:“融会中西,兼备体用”,了解立法意旨、把握监管逻辑,方能符合监管要求。本章通过调研欧盟(GDPR)、美国(CCPA)的相关经验做法,从法律法规、企业责任、技术标准、行业自律等方面结合我国监管实情提出了有针对性的建议。 第四章 关于APP-SDK提供者之间的法律关系及相应义务:“以始为终,行必所至”,精准定位法律关系与义务,是形成行为准则的前提条件。本章核心在于结合《个人信息保护法》第二十条、第二十一条、第二十二条、第二十三条,明晰三种法律关系的区分标准与合规事项。 第五章 SDK个人信息保护须遵循的原则、履行的义务及合规路径:“积微成大,陟遐自迩”,严格落实法定原则和合规路径,是应对监管的关键之举。本章主要介绍了SDK个人信息保护须遵循的原则,并在此基础上从APP和SDK两个角度提出可操作的合规路径。 第六章 关于SDK的合规评估与审计:“流水不腐,户枢不蠹”,一个完整的合规体系离不开动态的合规评估与审计。只有具备完整的合规评估与审计措施,方能确保合规策略及制度的落地,赋予合规真正的生命力。本章主要立足现行监管政策、标准与指引,归纳出合规评估、审计工作中可供参考的项目清单。
获取全篇合规指南请点击以下链接阅读下载。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。