标准应用 | GB/T 41391中“App嵌入第三方SDK”相关条款测试技术解析
一、何为第三方SDK?
二、GB41391中嵌入SDK的合规要求
(一)App运营者在接入第三方SDK前,需要满足以下要求:
-
- 遵循最小必要原则,仅嵌入实现业务功能所必需的SDK;
- 评估SDK是否存在违法违规收集使用个人信息行为;
- 评估SDK是否存在违法违规个人信息出境行为;
- 与第三方SDK明确双方的个人信息处理规则和保护责任;
- 对SDK申请使用权限进行审核,确保其申请的权限具有明确、合理的使用目的。
(二)App运营者在接入第三方SDK后,需要注意以下几点:
-
- App仅向第三方SDK提供实现处理目的所必要的最小范围的个人信息;
- 向用户明示嵌入第三方SDK收集使用个人信息的目的、方式和范围;
- 向用户明示嵌入第三方SDK申请的系统权限和申请目的;
- 持续监督嵌入第三方SDK是否存在违规收集个人信息、调用权限、个人信息出境行为;
- 要求存在热更新机制的第三方SDK在热更新推送前向App运营者告知;
(三)当App运营者停止使用某SDK时,应及时从代码中移除该SDK的相关代码。
三、由SDK导致App违规的常见问题项
1 未征得用户同意,第三方SDK存在收集个人信息的行为
图1:同意隐私政策前
三方SDK收集个人信息违规示例
对于该类违规行为,App运营者要注意SDK初始化的时机,移至用户点击“同意”隐私政策后再进行初始化及收集行为。
2 App隐私政策未逐一列出第三方SDK收集个人信息或调用的可收集个人信息权限的目的、方式、范围
用户使用App业务功能过程中,嵌入的某些SDK可能会产生较多的收集行为,一般是代码层面的接口调用,因此对于收集行为用户大多是无法感知的。而App运营者需要在隐私政策中将第三方SDK的收集行为逐一列举,向用户明示SDK收集的目的、方式、范围,甚至频次。
图3:第三方SDK存在收集行为
但未在隐私政策中明示列出的示例
那么,对于该类违规行为,App运营者应该如何进行整改呢?
App运营方可自行梳理嵌入的第三方SDK收集个人信息的业务场景是否合理,遵循最小必要原则,对于不合理或非必要的SDK应尽量避免接入;对于有合理业务需求的第三方SDK,需在隐私政策中进一步详细列举其收集的个人信息及调用敏感权限的目的、方式、范围等。
3 第三方SDK超范围收集个人信息
在用户将App置于手机后台后,若不存在合理的后台业务场景,App嵌入的三方SDK存在后台收集个人信息或调用权限行为,App隐私政策也未对该SDK采集行为做必要说明,这种情况就属于App嵌入的第三方SDK超范围收集个人信息。
图4:某SDK后台运行期间定频读取ip的示例
相较于在用户使用过程中的个人信息采集行为,App在后台运行时的采集行为会尤为敏感。当然,并不是说App在后台运行时完全不允许采集个人信息。对于一些业务场景而言,后台运行期间的采集行为是合理的,比如:我们平时使用的地图导航类App,开启导航后即使将App置于手机后台,App仍会通过语音提示我们是左转还是直行,故而App采集用户定位的行为是存在合理且必要的业务目的的。
四、SDK存在合规问题,App来负全责?
我们常收到来自App开发者/运营者的疑问:“很多SDK收集的个人信息并未在他们的隐私政策列全,甚至有的SDK都没有隐私政策。我们技术手段有限,也不知道他们会收集什么。由SDK引起的合规问题,难道锅只能由我们App来背?”
其实SDK的合规早已进入监管的关注范围,目前已有部分监管对SDK的违规行为进行了通报。并且针对SDK制定的标准也在陆续发布,相信不久,SDK行为整改规范后,App运营者的合规压力会小很多。
图:GB/T 43435-2023《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》
2023年11月27日发布
图:GB/T 43435-2023中
关于SDK收集个人信息的要求
图:SDK违规通报示例
五、总 结
“根之茂者其实遂,膏之沃者其光晔”。目前App仍对嵌入的第三方SDK负主要的安全管理责任,故而App运营者一定要重视起来,在选择SDK前及接入SDK后均应进行隐私合规方面的审核,尽量避免由SDK引起的违规行为,减少企业因SDK而被监管通报的风险。
(文章来源:CCIA数据安全工作委员会)