信通院陈湉:若第三方SDK成为数据控制者则需承担更多合规责任

近日,小米2019开发者大会在北京举行。此次大会,小米在物联网安全峰会中开设专门探讨个人信息保护、数据合规的分论坛。

与会的专家结合自身工作,畅谈了国内个人信息保护发生的变化、趋势等。中国信通院安全研究所数据安全研究部副主任陈湉就第三方SDK收集、使用个人信息的合规问题给出建议。

····

当前,人们的生活已经离不开App。随着5G的发展,社会生产将离不开互联网,进而也离不开App。

据工信部统计,2018年我国市场上监测到的App总量达到449万款。这些App在服务用户的同时,因数据泄露、大数据杀熟等问题,引发人们、监管部门对个人信息保护的关注。

陈湉举例说,今年8月底,一款现象级换脸App上线,与其他“现象级”App不一样的是,该App“刚开始呈现爆发式流行就被监管部门约谈”。陈湉透露说,之所以被约谈,最重要的一个原因是该App在个人信息、特别是敏感信息收集上存在问题,“还不论深度伪造技术带来的问题。”

随着政府对企业收集、使用个人信息监管的趋严,使得企业也越来越重视合规问题。

曾任职360集团、国内第一位隐私保护官、北京赛博英杰科技有限公司懂事长谭晓生透露说,2018年5月25日,GDPR生效当天,360停止了中国大陆以外所有的摄像头服务,经过几个月的合规工作如数据本地化存储等,才重新开启服务。他还表示,未来,个人信息保护的监管会越来越严。

····

2019年年初,中央网信办、工信部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,随后国内开展了一系列App治理活动;近日,工信部宣布开展信息通信领域App侵害用户权益专项整治行动。

在持续、系列的监管活动中,不仅App本身收集、使用个人信息的合规问题受到监督,“隐藏”在App中的SDK的合规问题也引起重视。

所谓SDK,即第三方开发工具包,它们可以帮助App高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。

陈湉表示,目前,SDK自身安全性不容乐观,不仅如此,如果SDK存在问题,则凡是嵌入SDK的App都存在问题;她还强调,SDK“隐蔽”收集个人信息的问题逐渐显现。

关于“隐蔽性”,陈湉解释说,它包括两种情况,一是App知道SDK在收集信息,而用户不知道;另一方面,App和用户都不知道SDK在收集信息。

针对不同的情况,对于SDK的合规问题,陈湉建议说,可根据SDK、App承担的角色进行分析。

当SDK作为数据处理者时,App应告知用户SDK收集、使用了哪些信息;此外,App和SDK之间应当有委托处理的授权。值得注意的是,陈湉强调说,目前绝大多数App的隐私政策中并未列出SDK,更不用提明示授权的操作。

如果SDK和App共同作为数据控制者(相比于处理者,控制者拥有的处理信息的权限更多)时,陈湉表示,这意味着SDK需要承担更多的合规责任。当SDK能直接接触到用户的时候,则需要满足“三方授权”的原则,即用户授权App、App到SDK的授权、用户最终授权给SDK。当SDK不能接触用户时,不仅需要App帮助完成三方授权,还需要App反馈用户的修改、查询等需求。

文/南都个人信息保护研究中心研究员 尤一炜

打开APP阅读更多精彩内容