美國聯(lián)邦貿(mào)易委員會（FTC）近期起訴了涉嫌通過SDK插件違法收集信息的美國InMarket公司，該公司商業(yè)模式是通過面向消費者的終端獲取數(shù)據(jù)，然后銷售給各個行業(yè)的公司，目前雙方正試圖達成和解。據(jù)不完全統(tǒng)計，F(xiàn)TC去年至今至少起訴了三家低調(diào)通過SDK違法收集個人信息的公司[i]，中國也有不少類似案例，說明該領(lǐng)域已成執(zhí)法焦點。今天就根據(jù)訴狀[ii]聊聊這個案子以及我國相關(guān)的法律規(guī)定。

一、為什么說SDK服務(wù)商低調(diào)？

SDK（Software Development Kit），是集成在應(yīng)用程序（“App”）里的第三方工具包，為什么說SDK服務(wù)商低調(diào)，是因為其不是應(yīng)用程序運營者，只是在應(yīng)用程序中提供了某項功能，如地圖、支付、統(tǒng)計、社交、廣告等，從消費者感知的角度，存在感比較弱。據(jù)統(tǒng)計[iii]，平均每款A(yù)pp會使用19.3個SDK，而微信SDK、騰訊Open SDK、小米推送SDK、華為SDK、支付寶SDK等被超過半數(shù)的App嵌入。

以微信為例[iv]，接入的SDK包括：云閃付、微信支付、微粒貸、小程序/公眾號、微信登錄、廣告服務(wù)。這其中，部分由騰訊提供，部分由第三方，如云閃付由中國銀聯(lián)提供。但正因為其存在感弱，所以其通過服務(wù)獲取個人信息后如果違法處理的，也不容易被察覺，但監(jiān)管機構(gòu)還是發(fā)現(xiàn)了問題。

二、InMarket的SDK服務(wù)有哪些違法行為？

InMarket是一家德克薩斯州的數(shù)字營銷平臺和數(shù)據(jù)聚合商，它通過開發(fā)專業(yè)軟件開發(fā)工具包（“InMarketSDK”）直接從移動設(shè)備收集位置數(shù)據(jù)，并利用移動設(shè)備位置數(shù)據(jù)向消費者的移動設(shè)備定向投放廣告。

收集位置數(shù)據(jù)包括兩種方式，一種是直接整合到其運營兩款移動應(yīng)用程序CheckPoints（完成小任務(wù)即可獲得購物獎勵）和ListEase（幫助消費者創(chuàng)建購物清單）收集移動設(shè)備的位置數(shù)據(jù)，另一種是向300多款的第三方應(yīng)用程序開發(fā)商提供SDK接入服務(wù)進而出售并共享消費者的位置數(shù)據(jù)進行廣告推廣。InMarket收集消費者位置數(shù)據(jù)的做法和違法性可歸納如下：

1、InMarket自運營的兩款應(yīng)用程序的同意屏幕告知消費者其位置將被用于應(yīng)用功能（賺取積分和保存列表），但未披露收集用戶精確位置信息及用途；

違法性：收集行蹤軌跡等敏感個人信息時，未同步告知用戶其目的，或者目的不明確、難以理解；收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)。

2、InMarket的隱私政策雖然披露將把消費者數(shù)據(jù)用于定向廣告，但其同意屏幕未鏈接到隱私政策，也未告知消費者應(yīng)用程序的數(shù)據(jù)收集和使用做法。

違法性：在App首次運行時未通過彈窗等明顯方式提示用戶閱讀App及SDK的隱私政策等個人信息收集使用規(guī)則；且未同步告知用戶其收集個人信息和敏感個人信息的目的。

3、InMarket不要求使用其SDK的第三方應(yīng)用程序獲得消費者的知情同意，與應(yīng)用程序開發(fā)商簽訂的合同對隱私方面沒有更多要求，僅要求開發(fā)商遵守所有適用法律并維護符合法律要求的隱私政策；

違法性：以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶，掩飾收集使用個人信息的真實目的違法收集個人信息；未逐一列出SDK收集使用個人信息的目的、方式、范圍等。

4、InMarket將收集的消費者位置數(shù)據(jù)保留了五年之久；

違法性：未及時刪除個人信息違反最小必要原則。

5、InMarket通過其算法將消費者的位置數(shù)據(jù)與廣告相關(guān)興趣點進行交叉比例，進行用戶畫像，形成廣告產(chǎn)品牟利。

違法性：為“用戶畫像”、“算法推薦”等涉及不當(dāng)自動化決策違反處理敏感個人信息的保護規(guī)則；利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；違反其所聲明的收集使用規(guī)則（涉及部分SDK），收集使用個人信息。

三、我國的監(jiān)管規(guī)定和處罰案例

結(jié)合前述違法行為，假設(shè)InMarket是一家中國企業(yè)，其收集和處理消費者的個人信息的行為涉嫌違反《網(wǎng)絡(luò)安全法》、《個人信息保護法》、《消費者權(quán)益保護法》等有關(guān)個人信息的法律規(guī)定，具體的違法內(nèi)容，前文已經(jīng)分析。同時，對SDK個人信息保護，我國監(jiān)管部門還有非常詳盡的具體規(guī)定。

《App違法違規(guī)收集使用個人信息行為認定辦法》和工信部2023年2月發(fā)布的《關(guān)于進一步提升移動互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》，對App開發(fā)運營者主體、SDK自身、企業(yè)三方分別提出SDK的管理要求，具體包括：

1、App運營者需逐一列明App委托的第三方或嵌入的第三方代碼、插件收集使用個人信息的目的、方式、范圍，否則將被認定為未明示收集使用個人信息的目的、方式和范圍。

2、App運營者使用SDK前對其進行個人信息保護能力評估，通過合同等形式明確約定各方權(quán)利和義務(wù)，確保個人信息處理依法合規(guī)。集中展示并及時更新嵌入的SDK名稱、功能及其處理個人信息的規(guī)則。共同處理用戶個人信息，侵害用戶權(quán)益造成損害的，依法承擔(dān)相應(yīng)責(zé)任。

3、App運營者需公開明示個人信息處理規(guī)則，SDK獨立采集、傳輸、存儲個人信息的，應(yīng)當(dāng)單獨作出說明。

4、SDK開發(fā)者遵循最小必要原則，根據(jù)不同應(yīng)用場景或用途，明確SDK功能和對應(yīng)的個人信息收集范圍，并向App運營者提供功能模塊及個人信息收集的配置選項，不得一攬子過度收集個人信息。

根據(jù)我們的查詢，工信部和各地通管局近年來多次通報了侵害用戶權(quán)益行為的SDK服務(wù)，包括一鍵登錄、移動端應(yīng)用訂閱、AdSet廣告、多酷單機、TalkingData、Adview廣告在內(nèi)的多款SDK被通報。

最后，雖然監(jiān)管機構(gòu)陸續(xù)加強對SDK收集和處理用戶個人信息的監(jiān)督，但如果SDK開發(fā)者或者App運營者能夠根據(jù)監(jiān)管機構(gòu)要求，全面完成整改，那么就有可能減輕或免除相應(yīng)的責(zé)任。相反，若是逾期不整改或整改不到位的，監(jiān)管機構(gòu)會優(yōu)先選擇下架相關(guān)產(chǎn)品或服務(wù)。如果情況嚴(yán)重，監(jiān)管機構(gòu)還會采取包括罰款在內(nèi)行政處罰措施，甚至?xí)肪啃淌仑?zé)任。

本文作者：游云庭，上海大邦律師事務(wù)所高級合伙人，知識產(chǎn)權(quán)律師。汪婷，上海大邦律師事務(wù)所顧問。本文僅代表作者觀點。

[i] 另兩家是移動測量公司 Kochava和數(shù)字健康平臺GoodRx。

[ii] https://www.ftc.gov/news-events/news/press-releases/2024/01/ftc-order-will-ban-inmarket-selling-precise-consumer-location-data

[iii] https://www.cfca.com.cn/upload/cpbg.pdf

[iv] support.weixin.qq.com/cgi-bin/mmsupport-bin/newreadtemplate?t=datalist/shared