原标题:SDK商业模式分析:谁在编织APP背后的用户信息网?
21世纪经济报道 记者王俊 南方财经全媒体集团 记者吴立洋 实习生温莹雪 北京报道
近日,工业和信息化部信息通信管理局通报了侵害用户权益行为的APP(SDK)名单,值得注意的是,本次有13款第三方SDK因违规收集个人信息被纳入该名单。
记者梳理本次通报的13款违规SDK发现,其所实现的功能不一,包括第三方登陆分享、广告分发、语音识别等,其完成所需功能而采集的信息也各不相同。在盈利模式方面,部分SDK开发者主要依靠向使用其功能的APP开发商收取服务费进行盈利,也有部分SDK通过采集用户行为习惯和个人信息加工处理卖给广告商实现变现,这也是SDK违规问题的主要来源。
SDK与APP的关系也有待重构,当SDK存在违规行为时,其各的责任需要根据实际信息采集处理情况进行界定。受访专家表示,在合规监管趋严的背景下,具体的合规要求还需通过监管动作和案件来形成行业共识。
功能各异的SDK
SDK(Software Development Kit)即软件开发工具包,多被软件工程师用于为特定软件包、软件框架、硬件平台、作业系统等创建应用软件的开发工具集合。
“如果把开发一个APP比喻为盖楼,那SDK可以视为盖楼所需的砖。”民间非企运营网络安全组织“网络尖刀”安全团队创始人曲子龙向记者解释称,SDK的开发商可以被理解为做砖的公司,打包设计好某一应用功能,供APP开发者方便快捷地直接调用。
在实际应用中,不同的SDK往往对应不同的功能。中国信息通信研究院安全研究所于2020年发布的《软件开发包(SDK)安全与合规报告》中,根据实际功能将常见的SDK分为第三方登录分享类、支付类、推送类、广告类、统计分析类与地图类。
以本次被通告违规的字节跳动穿山甲SDK为例,据其官网信息显示,该SDK致力于“为全球开发者提供用户增长、流量变现、LTV提升等全生命周期的服务和成长方案,目前已帮助超过10万个app在穿山甲平台内飞速成长。”提供开屏广告、视频广告、互动广告等广告接入与流量分析、用户运营等功能。
而另一款被工信部通报的SDK——秒验SDK则主要提供登录验证的功能,据其官网介绍,搭载该SDK可以使免于用户“输入手机号-获取验证码-输入验证码验证”的过程,从而降低用户操作成本,优化使用体验。
由于功能的不同,在实际运行过程中其所需采集的用户信息也各不相同。中国电子技术标准化研究院网络安全研究中心测评实验室副主任何延哲告诉记者,以Android ID、设备MAC地址等可以标识用户常用设备的信息为例,即使是同样的信息,不同SDK对其使用方式也不同,实现推送广告、安全风控等功能都有可能用到。
此外,地图类SDK需要收集用户的地理位置信息,第三方登录分享类需要向另一APP进行分享或获取账号信息因而需要应用列表信息,都是SDK为实现功能合理的信息诉求。
于去年11月正式落地的《个人信息保护法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。”当前,大部分APP主要采用让用户单独勾选第三方SDK列表的方式,告知相关SDK具体的信息采集情况并取得用户授权。
但这并不意味着所有SDK都被从技术渠道上切断了获取授权列表外个人信息的可能,本次工信部通报的12款SDK,其侵害用户权益行为均为违规收集个人信息。其中,8款SDK涉及收集设备Android ID,4款涉及收集设备IMEI号,3款涉及收集设备MAC地址,两款涉及收集设备IMSI号,1款涉及收集设备ICCID号。
值得注意的是,这并不是工信部首次出手整治SDK违规问题,早在2020年7月,央视播出的“3·15”晚会报道了SDK存在的隐私问题,此后工信部发文要求严查涉事SDK企业;去年10月,工信部曾下架96款侵害用户权益APP、通报3款违规SDK,称检测发现字节跳动穿山甲SDK、腾讯优量汇SDK、快手广告SDK问题较多。
信息采集背后的生意
App使用第三方 SDK 已成为普遍现象。根据爱加密发布的 2020 年 Q1《全国移动 App 安全态势研究报告》,截至 2020 年 3 月底, 爱加密大数据中心已收录 Android 应用超过 315 万款,iOS 应用超过 300 万款,其中 29.46%的应用嵌入了SDK。
在实际应用中,由于SDK是第三方开发商为实现特定功能而封装的程序工具包,同一款SDK可以被提供给不同APP提升其开发效率,而SDK开发者则可向这些APP收取一定服务费用。
但依靠服务费生存需要有足够的应用量作为支撑,曲子龙指出,当前能够依靠服务费跑通商业模式的SDK只是少数,尤其是很多SDK还是免费提供的情况下,部分SDK存在着通过采集用户行为习惯和个人信息加工处理,卖给广告商实现变现的情况。一些大公司会自行分析所采集到的数据,改进用户体验和相关推荐功能,而广告商则通过将不同APP、SDK来源处获取的个人信息进行汇总,得出完整的用户画像。
在本次被通报违规的SDK中,除穿山甲SDK外,网易七鱼SDK也提供使用用户信息的智能营销服务,据其官网介绍,该SDK通过移动APP、网页咨询、呼叫中心的全渠道接入,进行访问统计、访问轨迹与访问名片的用户行为洞察,从而建立用户画像,完成关键环节营销。
北京汉华飞天信安科技有限公司总经理彭根表示,本次工信部通报的13款违规SDK中,违规收集的Android ID、IMEI号、设备MAC地址等信息基本属于设备的唯一编码,相关信息的处理者可以根据该信息精准定位到具体的设备和用户。“目前收集这些设备ID信息绝大部分用途还是在精准的广告推送上。”
2021年4月,iOS发布14.5版本更新,新加入“App跟踪透明度”要求引起行业广泛关注,在该隐私新规下,APP如需使用设备的位置、身份ID、图片、浏览习惯等数据,均需取得用户许可,且用户可随时拒绝提供相关信息。在苹果的带动下,谷歌也表示要在Chrome浏览器中逐渐淘汰第三方cookie,让广告商无法追踪用户浏览历史。
两大手机操作系统厂商对隐私监督的收紧引发了广告业的恐慌,Facebook等公司公开对其提出质疑;德国9家不同行业协会称,由于苹果自己也在出售App Store搜索广告,其隐私政策涉嫌垄断,将损害整个广告市场。与此同时,部分大型广告公司也提出了自己的解决方案,例如通过CAID标识符替代IDFA来规避新规;升级算法,通过模糊匹配、概率匹配对某一用户群体而非精准个人进行推送等。
何延哲指出,单纯地去探讨SDK收集的哪些个人信息是否必要,很难界定一条清晰明确的边界,设备MAC地址、IMEI号等唯一标识符因为具有唯一性并可以追踪,被滥用的可能性较高、危害性更大;而对于不唯一标识符,可以降低其敏感程度,赋予用户控制权,即便SDK收集的种类增多,用户也可以通过重置的方法让其失效,或许将成为隐私保护要求与市场需求矛盾的一种解决思路。
APP与SDK关系待重构
随着工信部本次将13款第三方SDK纳入侵害用户权益行为的APP(SDK)名单,对违法违规收集个人信息的治理更实更深,在此背景下,进一步明确APP和SDK开发者之间的关系,落实主体责任成为信息治理的必然要求。
清律律师事务所首席合伙人熊定中告诉记者,APP与SDK之间的关系存在多种可能性,一些SDK主要基于特定需求从APP处获取信息,按照APP开发者要求和目的在APP控制范围内对其进行处理,在此情况下SDK是信息处理和数据处理的受托方,在处理目的和处理方式约束内不独立承担责任,而APP由于拥有数据的实际控制权,其作为数据的委托方承担整个处理过程的全部连带责任。而当SDK是基于自身目的和需求处理信息时,其本身可视为一个独立的信息处理者,因而需要严格执行多重授权的合规要求。
南财记者查询当前主流APP第三方SDK目录发现,许多APP在目录中对不同种类的SDK进行了区分,以某知名短视频APP为例,独立处理信息和数据的SDK对所涉及个人信息、使用目的、使用场景、隐私政策方面的披露更为详细。
2020年11月,全国信息安全标准化技术委员会发布《网络安全标准实践指南——移动互联网应用程序(APP)使用软件开发工具包(SDK)安全指引》,对APP使用SDK的相关方和责任进行了明确。
从APP个人信息安全的角度来看,《安全指引》规定原则上APP提供者是APP个人信息控制者及保护用户个人信息安全的首要责任人,SDK提供者按照APP使用SDK的不同方式承担相应的个人信息安全责任。
具体而言,当APP嵌入开源SDK或与SDK方是同一方时,由APP方担责;当APP方委托SDK方处理个人信息,由APP方担责,SDK方需配合履行相关责任;如双方以单独身份提供服务,且均自行决定处理数据的目的与方式时,SDK方承担个人信息控制者责任,APP方承担个人信息控制者和接入第三方管理的责任;如果双方共同决定数据的处理目的与方式时,则二者均为个人信息共同控制者,需通过合同等形式约定各自承担的责任。如存在侵害个人信息权益,应承担连带责任。
另一方面,APP与SDK之间的信息共享也需要对信息的种类、采集时间、具体用途等规定进一步细化。何延哲指出,无论是用于安全风控还是广告,信息运用都存在着“程度”的问题,以广告推送为例,不同的用户定位精准度往往伴随着信息收集种类等方面的变化。
目前,部分APP在涉及调用个人敏感信息的SDK或独立处理信息的SDK被开启时,采用弹窗的形式提醒用户,但在实际应用中,不同厂商的合规理解和水平仍存在差异。熊定中表示,具体的做法行业仍在摸索,但很多专业人员实际上对采用何种方式进行告知也缺乏清晰的理解,因此需要通过监管动作和案件来形成一定的行业共识。
关键词:
