第三方SDK合规浅析

近日，工信部通报了22款APP、SDK存在侵害用户权益行为。通报超半数的原因违反了《个保法》最小化收集的原则，包括超范围收集个人信息，APP强制、频繁、过度索取权限。

​此次通报没有说明违规细节，这里拿两个国外典型案例做参考：

2020 年 4 月 Zoom App 被披露存在数据泄露事故。此次事件是由于 Zoom App 内嵌的 Facebook SDK 在用户不知情的情况下向 Facebook 传输用户的手机型号、城市、广告唯一标识符、IP 地址等用户个人信息，Zoom App 在隐私政策内容中并未明确向用户描述这一操作，仅提及“当用户使用脸书帐号登录时，将会收集用户脸书帐号的个人资料”，这个案例属于比较典型的违规收集个人信息，违背了公开透明原则，隐私政策中未逐一列出第三方SDK收集使用个人信息的目的、方式、范围等内容；

2019年9月，英国的倡导组织隐私国际发现，女性生理期跟踪应用（如MIA Fem和Maya）等，直接向Facebook发送诸如女性避孕药的使用、月经周期和其他女性生理症状等信息。这些应用的数据通过Facebook的软件开发组件（SDK）与Facebook共享，甚至在用户同意应用程序的隐私政策之前就开始分享。这个案例也属于比较典型的的违规收集个人信息，Privacy International针对经期记录类APP提出了建议：（1）在设计应用程序时考虑用户及其可能遇到的潜在危害，进行深入的隐私和风险影响评估；（2）限制收集数据，许多月经应用程序似乎要求了多余的数据，包括使用敏感的个人数据来构建其用户的个人资料，因此，这类APP只应收集应用程序状态所需的数据；（3）将数据共享仅限于提供服务所必需的内容。

为何违规收集会成为SDK违规的重灾区呢？这里举两个例子，在安全反作弊、反欺诈场景，通常会采集Android_id、IDFA、IMEI、IMSI、MAC等设备信息、除此之外还会采集电池容量、衰减率、浏览器信息、陀螺仪、应用列表等等信息，采集的信息越多对于设备指纹的唯一性和稳定性越好，在反作弊、反欺诈领域的效果就越好，这里就存在安全和个人信息保护的平衡问题。同样在广告场景，采集的信息越多对于用户的刻画也就更精确，比如应用列表这个信息，在安全领域他可以来刻画用户是否安装了群控软件来识别作