标准应用｜软件开发工具包（SDK）个人信息保护合规要点与实践（下）

前文（）所述法律法规和标准分别从顶层框架到行业落地、再到具体实施对SDK提出了全面的约束和要求，本文通过梳理、对比和提炼，从个人信息保护的角度总结SDK的相关合规要点。

SDK个人信息处理常见安全问题

4.1 APP与SDK角色关系

目前标准文件中，对于APP和SDK的责任主体称谓不尽相同，为方便描述，本文将APP提供者和APP运营者统称为APP提供方，SDK开发者和SDK运营者统称为SDK提供方。APP提供方与SDK提供方一般是两个不同的主体，SDK提供方将实现特定功能的代码进行封装，并提供简单的调用接口，以便APP调用。APP提供方与SDK提供方之间多为合同关系，通过签订协议明确双方的权利和义务。通过梳理相关标准，总结APP与SDK之间的角色关系如下：

4.2 SDK个人信息处理安全问题

若SDK在处理个人信息方面存在安全问题，APP使用SDK也将会对APP用户的个人信息权益造成不利影响，SDK处理个人信息过程中常见的安全风险主要有以下几点：

SDK处理个人信息过程中常见安全风险
1.超范围收集个人信息	1）收集与提供服务无关的个人信息
	2）强制申请非必要的权限
	3）自动收集个人信息的频度和时机不合理
2.未说明收集使用个人信息的目的、类型、方式	1）未向APP告知或完整告知所收集的个人信息
2.未说明收集使用个人信息的目的、类型、方式	2）未向用户明示收集使用规则
3.未经用户同意收集、使用或对外提供个人信息	1）私自调用权限隐蔽收集个人信息
	2）私自通过自启动、关联启动等方式收集个人信息
	3）实际收集的用户个人信息超出公开文档声明
	4）超出用户授权范围使用个人信息
	5）私自向其他应用或服务器发送、共享用户个人信息
4.APP对嵌入SDK的安全管理监督不足	1）开发者服务协议通常缺少针对数据安全的约束条款
4.APP对嵌入SDK的安全管理监督不足	2）APP对SDK收集使用个人信息的行为进行技术检测存在困难

SDK个人信息保护合规实施要点

5.1 个人信息安全责任分配

从APP个人信息安全的角度来看，原则上APP提供者是APP个人信息控制者及保护用户个人信息安全的首要责任人，SDK提供者按照APP使用SDK的不同方式承担相应的个人信息安全责任：

具体而言：

a）当APP嵌入开源SDK，或APP提供方与SDK提供方是同一方时，由APP提供方承担保护个人信息安全责任；

b）当APP提供方委托SDK提供方处理个人信息，或SDK提供方按照APP提供方的指导或要求，代表APP提供方方处理个人信息的， APP提供方承担个人信息安全责任、SDK提供方需配合APP提供方履行相关责任；

c）如果APP提供方和SDK提供方均是以单独身份向APP用户提供服务，且均自行决定处理数据的目的与方式时，SDK提供方承担个人信息控制者责任，APP提供方承担个人信息控制者和接入第三方管理的责任。

d）如果APP提供方和SDK提供方共同决定数据的处理目的与方式时，APP提供方和SDK提供方是个人信息共同控制者，需通过合同等形式约定各自承担的责任。如存在侵害个人信息权益，应承担连带责任。

5.2 SDK个人信息处理安全要求

相关标准对SDK的个人信息处理情况从收集、存储、使用、加工、传输、对外提供、公开、删除和跨境等各个环节提出要求，针对各环节梳理重要合规要点如下：

5.2.1收集

SDK收集使用个人信息和申请敏感权限应遵循合理、最小、必要原则。作为个人信息共同控制者或独立控制者收集使用用户个人信息的SDK时，应单独向用户告知收集使用个人信息的行为并征得用户同意。

除应遵循与APP个人信息收集环节相关的基本要求外，SDK提供方还应特别注意需制定SDK合规指引，并提供直观、便捷、清晰的展示位置及查询方式。相关标准中对于SDK合规指引的重点要求如下：

SDK合规指引
1.内容要求	1）涉及个人信息权限使用，应公开声明功能必要性以及缺少该权限所导致的功能限制；
	2）涉及个人信息处理并存在合规功能，应详细告知其功能适配说明。
2.直观、便捷、清晰的展示位置及查询方式	1）以文档、链接等形式在官网、代码发布平台等位置公开
	2）通过合同、集成文档或其他约定形式告知SDK使用者

5.2.2存储要求

在保障安全的前提下，SDK应优先在本地存储个人信息，对个人敏感信息内容进行加密，不应留存不可变更的设备唯一标识符。对在服务端存储的个人信息，应采取数据存储区域隔离、访问控制和异常访问行为监控等措施。

5.2.3使用要求

SDK提供方对个人信息的使用和加工方式应与隐私政策等声明的内容保持一致，变更使用目的应重新告知用户并征得用户同意。

SDK提供方使用用户个人信息进行自动化决策，向用户进行信息推送或商业营销的，应提供有效的功能说明、个性化推送的开关方式；作出对个人权益有重大影响的决定，SDK应提供相关说明，并及时响应用户拒绝或申诉。

5.2.4加工要求

SDK加工个人信息的，应严格落实“告知-同意”原则，且应优先在本地加工个人信息。

5.2.5传输要求

SDK在进行数据传输时，应使用 HTTPS 安全信道、双向证书校验、证书绑定等安全机制，避免因中间人攻击导致传输数据泄露或被篡改；传输用户个人敏感信息的，在传输前应对个人敏感信息内容进行加密。

5.2.6对外提供要求

SDK提供方向APP提供方之外的其他机构或个人提供其处理的个人信息，应向用户告知接收方的基本信息及处理目的、处理方式和个人信息的种类，并需要获得最终用户的单独同意；同时应与数据接收方通过合同等形式明确双方的责任和义务。

5.2.7公开要求

SDK提供方不应公开披露个人信息，若需公开个人信息应取得个人信息主体的单独同意。

5.2.8删除要求

在完成其使用业务功能及目的或者超出个人信息存储期限后，SDK提供方应对个人信息进行删除或匿名化处理；法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，SDK提供方应当停止除存储和采取必要的安全保护措施之外的处理。

有下列情形之一的，SDK提供方应当主动删除个人信息：

■处理目的已实现、无法实现或为实现处理目的不再必要；

■SDK提供者停止提供产品或服务，或者保存期限已届满；

■个人撤回同意；

■合作协议约定的情形；

■SDK提供者违反法律、行政法规或违反约定处理个人信息；

■法律、行政法规规定的其他情形。

5.2.9跨境要求

未经个人信息主体明示同意，SDK产品不得将个人信息转移到中华人民共和国境外（包含港澳台地区）；确需向境外转移的，应符合法律、行政法规和行业主管部门规定的关于个人信息出境的相关要求。

5.3 SDK用户个人信息权利保障要求

根据《个人信息保护法》相关规定，个人信息主体享有查阅、复制、更正、补充、删除等个人信息权利，SDK作为个人信息处理者，应当保障用户个人信息权利的行使，《软件开发包（SDK）个人信息处理规范》中对SDK用户个人信息权利保障提出了3条具体要求：

5.4 SDK运营者与APP运营者联动要求

《信息安全技术移动互联网应用程序（APP）SDK安全指南》标准中将 APP集成使用SDK划分为SDK接入期、SDK运营期和SDK退出期三个阶段，在三个阶段分别对SDK运营者和APP运营者提出了个人信息保护的相关要求，具体要求内容如下：

	SDK运营者	APP运营者
接入期	1.应准确告知处理的个人信息类型、申请权限相关情况； 2.应提供SDK安全相关检测报告（自查或他查均可）； 3.若为私有化部署，应提供部署资源（包括但不限于服务器、存储、带宽等）要求以及详细部署方案（包含网络和数据安全相关内容）。	1.应以结构化清单列举所使用的有个人信息收集行为的SDK； 2.应对集成的SDK进行来源确认和完整性校验； 3.应以合同等形式约定各自应承担的责任和义务，及时、准确进行信息披露。
运营期	1.应及时告知监测到SDK崩溃率上升等风险并配合修复； 2.应及时告知发现的安全漏洞并配合修复； 3.应建立响应最终用户请求和投诉机制，配合App向最终用户提供易于操作的实现机制； 4.应主动提示APP运营者及时改进个人信息处理规则未告知或不符合要求等行为。	1.宜对集成后的SDK进行持续安全监测或定期进行安全评估； 2.对于已经发现安全漏洞的SDK，应要求SDK运营者及时修复安全漏洞； 3.对于已经发现存在恶意行为的SDK，应停止使用。
退出期	1.停运后，应退出授权，删除个人信息或做匿名化处理。	1.应督促通过本APP收集个人信息的SDK运营者退出授权，删除个人信息或做匿名化处理； 2.SDK收集的个人信息如传输给APP运营者，APP运营者应退出授权，删除个人信息或做匿名化处理。

结语

SDK的使用大大提升了APP的研发与应用效率。作为移动互联网生态的重要一环，SDK与APP紧密关联、相生相依，成为移动互联网生态的重要组成部分。相信随着立法的不断完善，从APP到SDK的个人信息保护监管将进一步落地与细化。不论SDK的开发者、提供者还是使用者，都应严格遵照相关合规要求，加强个人信息保护领域的合规工作，在提升研发效率、改善用户功能体验的同时做好个人信息保护，更好地保障用户个人信息权益。

（本文作者：北京快手科技有限公司王昕、李超然、落红卫）