【刚跟朋友说完，打开手机就看到相关广告，怎么回事？】数字ID“设备标识符”成高频共享的个人信息
个人信息共享网络中 ， 手机是“定位”用户、量化用户行为的重要媒介 。 个体的点击、搜索、购买、行走轨迹等等都将化身数据 ， 被输入到算法系统中 。
这已是互联网企业的常见做法 。 中国信息通信研究院杨正军等人在《互联网广告标识问题研究与应对建议》中提到 ， 互联网广告产业链涉及多个实体 ， 从App、智能电视 ， 到第三方监测平台、数据平台、自动化交易平台 。

文章图片

当前 ， 上述清单仅仅勾勒出一个模糊、庞大的共享体系 ， 部分企业实际上并没有罗列出与其共享个人信息的完整第三方名单 ， 比如钉钉的第三方个人信息共享清单仅提到 ， 第三方合作方是上海似颜科技有限公司等百余家入驻的第三方服务商 ， 世纪佳缘则罗列出其所有线下直营店和授权的线下联营店 。
“企业共享个人信息的第三方数量大 ， 涉及个人信息类型多 ， 如果前期没有系统梳理的话 ， 工作量较大 ， 而且双方的合作协议往往没有清晰规定信息共享的具体规则 ， ”孟洁如是解释了企业公布完整第三方名单的难点 ， 她认为用户规模大、个人信息处理量大的企业也应根据工信部规定的要求精神 ， 尽快落实、建设“双清单” ， 在操作方法上可以思考更加科学、有效的模式 。

文章图片

图为世纪佳缘App第三方共享清单公布的部分联营店 。
隐藏在App后的SDK
如果说手机是媒介、设备标识符是锚点 ， 那连接两者的重要“绳索”就是第三方SDK（软件开发包） 。
不同的第三方SDK能帮助App调用各种功能 ， 涵盖消息推送、移动支付、第三方登录、地图定位等 。 打比方说 ， 想在快手上购物时使用支付宝支付 ， 就需要调用支付宝SDK；想要在钉钉上发送或共享位置、考勤打卡时使用高德地图 ， 就需要调用高德地图SDK 。 为了实现这些功能 ， 支付宝SDK会收集用户的设备标识符、支付金额等 ， 高德地图SDK会收集用户的设备标识符、位置信息等 。
它们广泛存在于所有App中 ， 却不为大众所知 。 以喜马拉雅公布的第三方共享清单为例 ， 其公布的广告类SDK共享了30余条用户信息 ， 这意味着当用户使用喜马拉雅App时 ， 其设备标识符和地理位置等部分个人信息将共享给广点通、穿山甲等广告营销类平台 。

文章图片

在落实建设“双清单”的同时 ， 企业的第三方SDK合规之路仍不平坦：如何确定第三方SDK收集个人信息是否遵守“最小必要”原则？第三方SDK的个人信息收集数量、场景、频率是否与共享清单中描述的相符？如何明确App和SDK的关系 ， 落实主体责任？
近日 ， 工业和信息化部信息通信管理局通报了侵害用户权益行为的App(SDK)名单 ， 有13款第三方SDK因违规收集个人信息被纳入该名单 。
何延哲认为 ， 想要界定第三方SDK收集个人信息是否符合“最小必要”原则 ， 仍需有更加清晰明确的相关规定 ， 此外 ， 赋予用户控制权或是一种解决思路 ， 即用户同意第三方SDK共享其个人信息后 ， 拥有自主选择撤回同意的权利 。
“App研发企业目前只能通过隐私政策的方式对SDK进行了解 ， 企业没有对应的技术手段、检测思路以及动力对集成的第三方SDK进行检测 ， 来发现SDK实际的个人信息收集行为是否与隐私政策中描述的一致 。 ”北京汉华飞天信安科技有限公司总经理彭根曾撰文写道 。