“3·15”晚會曝光了手機裡的竊賊外掛SDK, 據央視報道, 上海氪信資訊科技有限公司和北京招彩旺旺資訊科技有限公司兩家公司的SDK外掛,都存在在使用者不知情的情況下,偷偷竊取使用者隱私的嫌疑,然而在檢測的軟體中就有紫金普惠等50多款App使用上述外掛。App在與以SDK為代表的第三方合作時應當警惕哪些風險?承擔哪些責任?
一、資訊共享風險預警
大資料時代,移動應用程式(App)顯現蓬勃生機,成為個人資訊彙集的中心,App運營商(以下簡稱App)與第三方的合作日漸密切與多元。第三方主體包括各類產品或服務供應商,如智慧裝置、服務平臺、系統服務、軟體服務提供商,具體包括移動運營商、第三方支付機構、廣告、諮詢、調研、分析、客服、回訪、身份驗證、安全監測等服務提供商。App中的小程式、第三方應用、第三方程式碼、外掛(如軟體開發工具包sdk,sdk詳情建議參考《Zoom危機:警惕潛伏在APP後面的SDK大盜》)皆為第三方的縮影。它們通過客戶端直接收集資訊,或者先將資料傳輸至App後臺伺服器,再向第三方提供,主要通過這兩種方式實現資訊共享。
網際網路非法外之地,與第三方共享個人資訊,同樣以告知使用者並徵得使用者同意為前提。自"App違法違規收集使用個人資訊專項治理行動"開展以來,因資訊"私自共享第三方"受到監管部門懲處的App不在少數,耳熟能詳的,如閃送(版本5.2.20)、36氦(版本8.6.7)、QQ閱讀(版本7.1.1.888)、人人視訊(版本4.2.9)、一點資訊(版本5.2.1.0)等。
同時,App需警惕與第三方合作的安全性。第三方由App引入,對於終端使用者而言,App在明,第三方在暗,App需為第三方行為擔責。近年來,第三方違規引發的資訊保安事件並不鮮見。倘若第三方惡意操作(如惡意推送資訊的"寄生推")、隱蔽收集使用者個人資訊,或因安全漏洞引發資訊洩露,App事前未進行責任切割,未盡到告知、監督義務,就難辭其咎,為第三方所累。
二、安身法則——"告知"與"監督"
使用者資訊保安不容忽視,法律規範接踵而至,與第三方合作已成定局,App怎樣才能守住合規底線?《網路安全法》明確,網路運營者收集、使用個人資訊,應當遵循知情同意、必要性原則,App與第三方共享資訊屬於"使用",因此受上述原則約束。關於App與第三方,目前尚未有法律法規作出具體規定,散見於《App違法違規收集使用個人資訊行為認定方法》、《App違法規收集使用個人資訊自評估指南》、《個人資訊保安規範》GB/T 35273—2020、《資料安全管理辦法(徵求意見稿)》、《移動網際網路應用程式(App)收集使用個人資訊自評估指南(徵求意見稿)》、《移動網際網路應用程式(App)個人資訊安全防範指引(徵求意見稿)》等檔案。
通過梳理上述規範性檔案,App共享第三方合規準則有二,第一:對使用者充分告知;第二,對第三方盡到必要的監督責任。不難理解,終端使用者為個人資訊主體,App對資訊的使用受制於權利人的授權,故資訊共享需告知並取得權利主體同意,"明明是三個人的電影,請告知他姓名";在App、終端使用者與第三方關係圖中(如圖1所示),App為連結三方的關鍵所在,處於對第三方風險披露的最佳位置。同時,收益永遠與風險並存,為提高效率、享受便利引入第三方,則監督第三方為應有之責,失責的風險如影相隨。
(圖1終端使用者、App與第三方關係)
鑑於尚未有法律法規對App與第三方的權利義務關係作出系統性規定,"告知"與"監督"的具體內容需要從第三方型別、App與第三方的法律關係兩個維度展開。
首先,App中第三方包括嵌入的第三方程式碼、外掛、小程式、第三方應用等,App與第三方共享使用者個人資訊,應當告知使用者以下內容,徵得使用者同意:(1)逐一列出第三方收集使用個人資訊的目的、方式、範圍等;(2)資料接收方的型別以及可能產生的後果;(3)共享個人敏感資訊,還應告知涉及的個人敏感資訊型別、資料接收方的身份和資料安全能力,並事先徵得個人資訊主體的明示同意;(4)人生物識別資訊原則上不應共享。因業務需要,確需共享,應單獨向個人資訊主體告知目的、涉及的個人生物識別資訊型別、資料接收方的具體身份和資料安全能力等,並徵得個人資訊主體的明示同意。
(圖2:個人敏感資訊與個人生物識別資訊,源於《個人資訊保安規範》(GB/T 35273—2020))
其次,App與第三方除了具有共享關係外,還可能成立委託處理、共同控制、第三方管理三種關係(如圖3所示)。通俗的說,委託處理即App將收集的個人資訊委託第三方處理;共同控制是指App通過合同等形式與第三方達成合意,共同對使用者個人資訊進行控制。值得注意的是,App如果部署了收集個人資訊的第三方外掛,例如軟體開發工具包sdk,且該第三方未單獨向用戶告知並徵得同意,則預設App與第三方sdk屬於共同控制關係;如果App未委託第三方也未與第三方約定共同控制,只是接入了客觀上具備收集個人資訊功能的第三方,就屬於第三方接入管理。
(圖3,源於《個人資訊保安規範》(GB/T 35273—2020))
合規要求總體包括釐清權責、告知使用者、監督第三方(如審計、技術檢測、記錄留痕等),因法律關係不同,各有側重。例如,委託處理側重於對第三方進行監督;共同控制側重於向用戶告知第三方身份以及各自責任,否則將承擔因第三方引起的個人資訊保安責任;對接入的第三方如若管理不慎,極可能引發資訊洩露,因此既要求App向用戶明確說明產品或服務由第三方提供,又要求對第三方加強監督。需要關注的是,《資料安全管理辦法(徵求意見稿)》第30條規定,如果第三方應用發生資料安全事件對使用者造成損失,除非網路運營者能證明自己無過錯,否則應當承擔部分或全部責任。
三、落地困境與探尋
為保障使用者個人資訊保安,實現終端使用者、App與第三方之間良性互動,合規的資訊共享流程應當是:App篩選第三方合作伙伴→App向用戶告知並獲得授權→App監督第三方。落實該流程在實踐中舉步維艱,至少存在以下幾方面的問題:
第一,專業人員配備。篩選合作伙伴是否需要配備專業人員?當前篩選第三方合作伙伴,例如軟體開發工具包sdk通常由技術人員進行,因涉及法律問題,是否需要法務人員提前介入,或安排專人與第三方對接?
第二,App篩選合作物件的判斷標準。如何判斷第三方合作伙伴是否可靠,在安全性、個人資訊保護程度方面有哪些指標?如何獲知第三方可能存在的違法違規行為或安全隱患?
第三,App與第三方權責不對等。篩選、告知、監督的行使,都以App知悉第三方收集、使用個人資訊的情況為前提。然而,現行法律規範僅聚焦於App,尚未溯及上游第三方。若第三方不明確收集、使用個人資訊的目的、方式、範圍,App該如何向用戶告知?
第四,告知方式。第三方合作伙伴數量龐大,如何有效告知?
第五,App與第三方地位不對等。App與第三方sdk的合作,通常是第三方sdk提供服務開放平臺,線上簽署開發者服務協議。面對此類第三方,App何嘗不是使用者。在監管缺位的情況下,App難以與第三方博弈,對第三方監督。
毋庸置疑,在資訊共享流程中,任一環節監管的缺失必將導致個人資訊保護流於形式。可以預見,監管的觸角必將延伸至第三方,在此之前,App該如何作為?建議如下。
1.篩選合作伙伴。應當重視第三方的資訊保安合規意識和安全措施,包括背景調查、了解隱私政策(關注是否明確收集資訊的目的、方式、範圍;共享資訊;是否轉委託;是否收集敏感資訊以及採取的安全措施等),有條件的可對第三方收集資訊進行技術驗證、安全評估。另外,儘可能在合作協議明確雙方權責。若能對第三方擬收集的資訊進行協商,建議對第三方資料請求的必要性進行評估,拒絕不必要的個人資訊收集請求。
值得一提的是,部分第三方sdk具有較強的合規意識,例如極光sdk,制定了一系列合規檔案,包括《極光合規指南》、《極光合規指南之極光開發者服務——安全與合規政策解讀》、《極光SDK隱私政策合規落地指引》,將其收集、使用App終端使用者個人資訊的相關情況繪製成表,涵蓋sdk產品名稱、App產品所應用系統、場景描述、收集方式、個人資訊型別、個人資訊欄位、用途或目的、是否為必要資訊、資訊處理方式(替換、匿名化處理),並要求APP在隱私政策中列明。
2.告知使用者。如前所述,告知內容至少包含第三方型別與身份、收集使用個人資訊的目的、方式、範圍,可以採用隱私政策、彈窗提示、文字備註、文字連結等告知方式,已有部分App做出了大膽嘗試,例如,曾因"私自共享第三方"被要求整改的綠城生活與人人視訊,在最新的隱私政策中採用直接列明的方式(如圖4所示);度小滿(有錢花)在隱私政策"如何共享個人資訊"第三方合作機構處附上超連結,超連結內列明第三方sdk嵌入情況(如圖5所示);抖音採用在隱私政策中附上超連結,超連結內附上接入第三方sdk名稱、使用目的以及官網連結(如圖6所示)。
(圖4,綠城生活和人人視訊隱私政策)
(圖5,度小滿(有錢花)隱私政策)
(圖6,抖音隱私政策)
3.監督第三方。監督方式包括但不限於:通過合同明確對第三方的資料安全、資訊保護的要求和責任、對第三方進行審計、合作過程中技術檢測、記錄和儲存第三方收集、使用個人資訊的情況,通過留存證據證明已對第三方盡到必要的注意義務。
中信銀行事件揭示公眾個人資訊保護意識覺醒,以及對資訊保安的焦慮。在這場個人資訊保衛戰中,App是中堅力量,守住使用者個人資訊的安全線,是對當下"守信"最好的詮釋。