【专栏】SDK错在哪里?
肖飒 · 零壹财经 2020-07-24 17:47:58 阅读:1027
为解答新老客户关于个人信息安全问题的疑问,我们曾写作《3.15|金融App泄漏你的信息?!》一文,以回应关切。
之后,读者朋友再次提出,市面上很多金融APP在过度收集用户信息这一环节其实承担着“冤大头”的角色。有时,金融APP本身并不完全掌握金融APP的SDK集成情况以及SDK的行为,包括SDK调用哪些涉及个人信息的敏感系统权限等。金融APP觉得自己十分冤枉。对此,我们分享如下观点。
SDK做了些什么?
SDK全称为Software Development Kit,又称作软件开发工具包,是辅助开发某一类应用软件的相关文档、范例和工具的集合。金融APP为了提高开发效率,通常将某项功能实现交给第三方来处理,第三方服务提供商将服务封装为工具包供开发者使用,这里的工具包即SDK。
因SDK的易用性和灵活性,植入SDK卡可为金融APP用户提供流畅及定制化的使用体验;大幅度提升使用者的开发效率,明显降低开发成本;且SDK可帮助提高金融APP的兼容性,扩大用户使用范围。因此,市面中大量金融APP内部均植入有SDK包。
可以上灵活性、便捷性带来的是个人信息泄露的风险。为了便利,SDK在发挥效用的同时,于用户不知情的情况下,获取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等大量信息,从而为诸多用户带来风险隐患。
金融APP知晓SDK全部能力时
当金融APP知道自身存在SDK的信息收集行为,出于投机心理,不向公众披露,未经用户授权,即获取用户信息的,这时金融APP运营方的风险可就大了。
我国《网络安全法》第四十一条第一款规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
如此,默默支持SDK不经用户同意就利用其运营金融APP收集用户信息,且有以下情节的,涉嫌刑事犯罪就不容置喙了:
(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的。
金融APP不知SDK的全部能力时
我们也了解到,普通金融APP用户其实很难感知到SDK收集了哪些个人信息,而相当一部分金融APP运营者将某项开发权限委托给第三方,当第三方故意向金融APP中植入不明SDK时,运营者有时是无从知晓的。
对此,有人提出,即使金融APP不知道不明SDK的信息收集行为,但以上行为就像“容留他人吸毒罪”一样,金融APP作为“宿主”提供的作案场所,被容留之人不涉及刑事处罚,但提供屋子之人责任就严重了。
果真如此吗?
我们认为,如此类比其实还是有欠妥当的。容留他人吸毒罪中,提供场所之人是故意明知的状态。可当金融APP确实不知SDK被非法植入时,这时法不强人所难,如金融APP运营方能够证明自身已尽到合理的审慎注意义务,已利用现有技术手段完成所有检测、测试与风险防控等,并未查找到相关插件时,此时金融APP的刑事责任风险能够得到相应缓释。这时,真正的责任人应当是SDK植入主体。
但金融APP何以证明自身已履行合理的审慎注意义务呢?这时相应的制度文本设计以及技术追踪手段就需要跟上并留痕了,包括但不限于金融APP委托第三方进行开发设计时的合作协议列明免责条款与一旦侵权事实发生后的追索权利,开发成果交付时设计严格的审验程序等。
结语
SDK技术本身并无过错,只是SDK的合规需成为每一个金融APP运营方的关注焦点。对此,我们建议金融APP运营方接下来,应着重应关注的问题包括但不限于:
问题清单
1. 自家金融APP是否植入SDK?
2. SDK是否收集用户信息?
3. SDK如何收集用户信息?
4. SDK收集用户信息是否满足最小必要原则?
5. 金融APP对SDK的信息收集行为是否可单独控制?
6. 金融APP对SDK的信息收集行为是否可共同控制?
7. 金融APP是否完成对SDK信息收集行为的全体检?
8. 金融APP是否完成对SDK信息收集行为是否予以充分披露?
9. 用户是否同意金融APP内置SDK的信息收集?
10. 用户如何同意金融APP内置SDK的信息收集?
……
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约