在App背后，侵犯个人信息的SDK正成为执法焦点-雷竞技app官网网址

图片来源：匡达/界面新闻

文丨游云庭（上海大邦律师事务所高级合伙人，后侵知识产权律师。人信）

美国联邦贸易委员会（FTC）近期起诉了涉嫌通过SDK插件违法收集信息的正执法美国InMarket公司，该公司商业模式是焦点通过面向消费者的终端获取数据，然后销售给各个行业的后侵公司，目前双方正试图达成和解。人信据不完全统计，正执法FTC去年至今至少起诉了三家低调通过SDK违法收集个人信息的焦点公司，中国也有不少类似案例，后侵说明该领域已成执法焦点。人信今天就根据诉状聊聊这个案子以及我国相关的正执法法律规定。

一、焦点为什么说SDK服务商低调？

SDK（Software Development Kit），后侵是人信集成在应用程序（“App”）里的第三方工具包，为什么说SDK服务商低调，正执法是因为其不是应用程序运营者，只是在应用程序中提供了某项功能，如地图、支付、统计、社交、广告等，从消费者感知的角度，存在感比较弱。据统计，平均每款App会使用19.3个SDK，而微信SDK、腾讯Open SDK、小米推送SDK、华为SDK、支付宝SDK等被超过半数的App嵌入。

以微信为例，接入的SDK包括：云闪付、微信支付、微粒贷、小程序/公众号、微信登录、广告服务。这其中，部分由腾讯提供，部分由第三方，如云闪付由中国银联提供。但正因为其存在感弱，所以其通过服务获取个人信息后如果违法处理的，也不容易被察觉，但监管机构还是发现了问题。

二、InMarket的SDK服务有哪些违法行为？

InMarket是一家德克萨斯州的数字营销平台和数据聚合商，它通过开发专业软件开发工具包（“InMarket SDK”）直接从移动设备收集位置数据，并利用移动设备位置数据向消费者的移动设备定向投放广告。

收集位置数据包括两种方式，一种是直接整合到其运营两款移动应用程序CheckPoints（完成小任务即可获得购物奖励）和ListEase（帮助消费者创建购物清单）收集移动设备的位置数据，另一种是向300多款的第三方应用程序开发商提供SDK接入服务进而出售并共享消费者的位置数据进行广告推广。InMarket收集消费者位置数据的做法和违法性可归纳如下：

1.InMarket自运营的两款应用程序的同意屏幕告知消费者其位置将被用于应用功能（赚取积分和保存列表），但未披露收集用户精确位置信息及用途；

违法性：收集行踪轨迹等敏感个人信息时，未同步告知用户其目的，或者目的不明确、难以理解；收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关。

2.InMarket的隐私政策虽然披露将把消费者数据用于定向广告，但其同意屏幕未链接到隐私政策，也未告知消费者应用程序的数据收集和使用做法；

违法性：在App首次运行时未通过弹窗等明显方式提示用户阅读App及SDK的隐私政策等个人信息收集使用规则；且未同步告知用户其收集个人信息和敏感个人信息的目的。

3.InMarket不要求使用其SDK的第三方应用程序获得消费者的知情同意，与应用程序开发商签订的合同对隐私方面没有更多要求，仅要求开发商遵守所有适用法律并维护符合法律要求的隐私政策；

违法性：以欺诈、诱骗等不正当方式误导用户，掩饰收集使用个人信息的真实目的违法收集个人信息；未逐一列出SDK收集使用个人信息的目的、方式、范围等。

4.InMarket将收集的消费者位置数据保留了五年之久；

违法性：未及时删除个人信息违反最小必要原则。

5.InMarket通过其算法将消费者的位置数据与广告相关兴趣点进行交叉比例，进行用户画像，形成广告产品牟利。

违法性：为“用户画像”、“算法推荐”等涉及不当自动化决策违反处理敏感个人信息的保护规则；利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；违反其所声明的收集使用规则（涉及部分SDK），收集使用个人信息。