查看你的APP到底使用哪些第三方SDK收集信息

广告技术 Haran 4年前 (2021-03-10) 3202次浏览 0个评论

2020 年央视 “315 晚会” (实际播放时间为7月16日晚)播出。本次 “315 晚会” 中曝光了某些手机软件中暗藏 “窃贼”:某些第三方公司开发的 SDK 插件存在未经用户许可,窃取用户手机中短信、通讯录和设备信息等个人隐私信息。

此事一经报道,就引起轩然大波。

随后中央网信办、工业和信息化部、公安部、 国家市场监管总局四部门启动 2020 年 App 违法违规收集使用个人信息治理工作,SDK 的合规性已经成为监管的重点,现在已经常规化。

其实,早在2019年,国内就有法规规范第三方SDK收集信息的,但由于只是规范,没有惩罚措施,所以成了一纸空文。

  • 2019 年 3 月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局(以下简称“四部委”)成立的App违法违规收集使用个人信息专项治理工作组发布的《App 违法 违规收集使用个人信息自评估指南》中第 21 条则较为明确地点明“当使用 Cookie 等同类技术(包括脚本、Clickstream、Web 信标、Flash Cookie、内嵌 Web 链接、SDK 等)收集个人信息时,应向用户明示所 收集个人信息的目的、类型”
  • 2019 年 11 月 App 违法违规收集使用个人信息专项治理工作组发布的《App违法违规收集使用个人信息行为认定方法》同样规定,以下行为可被认定为“未经同意向他人提供个人信息”:“
    • 1. 既未经用户同意,也未做匿名化处理,App 客户端直接向第三方提供个人信息,包括通过客户端嵌入的第三方代码、插件等方式向第三方提供 个人信息;
    • 2.既未经用户同意,也未做匿名化处理,数据传输至 App 后台服务器后,向第三方提供其收集的个人信息;
    • 3. App 接入第三 方应用,未经用户同意,向第三方应用提供个人信息”。

由此通过要求App 逐一列出并明示所嵌入的第三方代码收集用户个人信息的目的、方式和范围并要求获得用户同意,更好地落实和规范 授权原则。

而实际上,2019年的这些法规基本难以落地,有要求,没惩罚,所以这些法规被绝大部分的公司忽略了。

直到2020的苹果隐私政策新规,自2020年12月8日起,新App和App更新需向App Store Connect提交App隐私信息,没有的,可能就不能更新了。

其实就是需要在APP的隐私政策页面列明使用的第三方SDK有哪些,收集哪些数据,用途是什么……

在app 的下载页面上,用户能了解到该 app 可能收集的某些数据类型,以及该数据是否会关联到他们或对其进行跟踪,如果您的 app 中整合了第三方合作伙伴的代码,还需要说明其如何使用用户的隐私信息。

很多公司都更新了,但仍有部分是没有更新。如果你的竞争对手没有更新,可以去向苹果/工信部投诉的,它可能就不能更新版本,甚至会被下架。

你可以在APP Store的应用下载页面里找到,或应用内的《隐私政策》里找到第三方SDK目录,里面需要告诉用户,这个应用里布署了哪些第三方SDK,收集了什么数据,而且在使用之前获得用户的授权的,目前第三方SDK是首次授权的方式,这种方式还是有争议的,要么就全部授权,要么就全部不授权,不能使用APP,你不能将某个第三方SDK的授权关闭,已经有建议要想web那样实现每个SDK的单独授权:

查看你的APP到底使用哪些第三方SDK收集信息

这样用户可以随意关闭一些认为会需要关闭的SDK,用户有更大的自主和选择性。

 

第三方SDK目录如下:

查看你的APP到底使用哪些第三方SDK收集信息

你可以通过这个去分析,你手机里的应用,或获取主流的应用,它们使用的分析工具,崩溃监测工具是什么。

这个第三方SDK目录是必须要有的,如果没有。

苹果可能不给你更新应用。

工信部抽查到的话,会约谈企业负责人,点名责令整改,上大字报。

如果还不改,工信部会将该APP下架:

查看你的APP到底使用哪些第三方SDK收集信息

工信部和各地通信管理局的检查已经是常态化的,早做早安心吧。

 

参考

  • 软件开发包(SDK)安全与 合规报告 (2020)

如有疑问,可以在文章底部留言或邮件(haran.huang@ichdata.com) 我~
喜欢 (6)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址