SDK涉竊隱私工信部責成“地毯式”排查

羅克研

SDK是軟件開發工具的英文縮寫。

2019年11月，上海市消費者權益保護委員會委托第三方公司對50多款手機軟件中的SDK插件進行了專門的測試，包括國美易卡、遙控器、最強手電、全能遙控器、91極速購、天天回收、閃到、蘿卜商城、紫金普惠等50多款手機軟件。

監測人員發現這些App中有上海氪信信息技術有限公司和北京招彩旺旺信息技術有限公司兩家公司的SDK插件。這兩個插件，都在用戶不知情的情況下，偷偷竊取用戶隱私，涉及到用戶設備的IMEI、IMSI、運營商信息、電話號碼、短信記錄、通訊錄、應用安裝列表和傳感器信息。

這些SDK獲得用戶隱私信息后，還會悄悄地將數據傳送到指定的服務器存儲起來。北京招彩旺旺信息技術有限公司的SDK，甚至涉嫌通過菜譜、家長幫、動態壁紙等多款軟件，竊取用戶更加隱私的信息。

此外，監測人員還發現一些知名手機APP也有收集用戶隱私。

隨著央視“3.15”晚會的曝光，7月17日，氪信科技發布公告稱就這一問題的影響已經成立調查小組，內部啟動調查。

工信部隨后也啟動應用商店聯動處置機制，責成阿里、騰訊、百度、華為、小米、OPPO、VIVO、360等國內企業應用商店，第一時間對類似問題進行“地毯式”排查，對發現問題一律立即下架，同時要求各企業應用商店及時通知APP運營開發者自查自糾，及時發現、處理違規收集用戶個人信息的SDK。

據悉，SDK非常的常見，現在的所有APP軟件當中，基本上都會使用SDK來完成各種功能，比如，APP廣告、支付、在線聊天、拍照美顏美圖等都會帶有SDK。

比如QQ快捷登錄，那就是QQ提供sdk服務，微信登錄就是微信SDK服務，微博就是微博SDK……，也就是為了簡化注冊流程，讓大家可以不用注冊就直接登錄。

雖然SDK只是一個看似普通的插件，但是因為它對所有的手機APP具有通用性，很多手機軟件可能都嵌入了同一個SDK，因此一旦某個SDK竊取用戶個人隱私，將會涉及眾多手機軟件。在此次檢測當中除了內嵌SDK插件以外，工作人員還發現一些知名手機APP也有收集用戶隱私的現象，涉及酷音鈴聲、手機鈴聲、鈴聲大全等多款軟件。

此外，SDK“隱蔽”收集個人信息的問題逐漸顯現，它包括兩種情況，一是APP知道SDK在收集信息，而用戶不知道;另一方面，APP和用戶都不知道SDK在收集信息。

根據《APP違法違規收集使用個人信息行為認定方法》，APP若未逐一列出有關收集使用規則，或者內容晦澀難懂、冗長繁瑣，用戶難以理解，如使用大量專業術語等，仍然會被認為是“私自收集信息”。

這意味著，APP若在隱私保護協議中簡明扼要的寫明其集成了哪些SDK，就可以增加用戶對APP內置SDK的信任。

資料顯示，早在2018年起，上海市消保委對消費者使用度最高的62款頭部APP開展了三期評測。

2018年3月-7月，上海市消保委開展第一期地圖類手機APP涉及個人信息權限評測，反映出申請的敏感權限與實際功能不完全對應的問題。5款頭部應用相關企業積極回應，并提交情況說明及整改報告，通過取消獲取、功能優化、版本更新等形式進行改進，相關問題得到解決。

2018年8月-11月，上海市消保委又開展第二期針對瀏覽器、輸入法、綜合視頻等手機APP涉及個人信息權限評測，再次引起社會廣泛關注。問題主要集中在部分應用所申請的敏感權限存在無實際對應功能以及部分應用所采用的Android目標API版本過低方面。18家頭部應用相關企業積極跟進問題，在敏感權限的申請、使用方面均做到了合理申請、自主授權，充分保證了用戶的知情權、選擇權。

2019年，上海市消保委又推出了第三期39款手機APP的個人信息權限評測，主要涉及網購平臺、旅游出行、生活服務等類別。通過與企業的技術溝通和督促，所涉應用全部整改，在敏感權限申請及使用方面實現合理申請、自主授權。

現今，收集用戶隱私問題成了日益關注的普遍性問題。在歷年315晚會中可以看到，不少企業都因收集用戶隱私被曝光。

像去年曝光的聲牙科技有限公司研發的一款探針盒子，通過無線局域網，收集手機的MAC地址，并與公司掌握的6億個人信息配對，就可以查到手機號。薩摩耶互聯網金融服務有限公司將這款探針盒子，放置在很多便利店里，偷偷收集周邊用戶手機號碼。

今年7月初，工業和信息化部信息通信管理局公布《關于侵害用戶權益行為的App通報（2020年第二批）》。

記者梳理該局今年通報的前兩批31款App同樣發現，其中涉及“私自收集個人信息”的App有23款，如果算上“過度索取權限”等問題，比例則更高。

此外，國家計算機病毒應急處理中心上半年通報下架的違法有害移動App達638款，其中，涉及隱私違規的有531款，占八成以上。上半年，直播、社交、外賣、醫療、在線教育等App涉嫌侵犯個人隱私占到很大比重。

互聯網及大數據時代背景下，個人信息泄露的途徑變得更加多樣化。

專家認為，要針對互聯網企業的體量加大經濟處罰力度。鑒于一些重要App與網民生活息息相關，已經成為手機的“基礎設施”，下架有一定難度，監管部門可以大幅提高罰款金額，既讓企業有痛感，又不會影響網民生活。同時，監管機構要細化裁量基準，做出相應處罰。

針對個人信息保護，消費者自身應養成良好的習慣，對于手機上的一些APP權限要謹慎授權。

監管查處典型案件

防疫物資產品質量和市場秩序專項整治在行動整理/本刊記者李穎

記者從國家市場監管總局獲悉，全國防疫物資產品質量和市場秩序專項整治行動開展以來，市場監管總局深入貫徹落實習近平總書記重要指示批示精神，按照黨中央、國務院決策部署，要求各地市場監管部門全面排查防疫物資產品質量和市場秩序存在的隱患，全面整治生產、流通、消費中存在的突出問題。各地市場監管部門迅速行動，持續加大監管力度，依法從嚴從重從快查處了一批違法案件，切實維護了防疫物資市場秩序。現公開曝光一批相關典型案例。

1

北京市延慶區市場監管局查處未經許可從事第三類醫療器械經營活動和經營未依法注冊醫療器械案。

5月18日，北京市延慶區市場監管局依法對北京美正生物科技有限公司未經許可銷售冠狀病毒核酸檢測試劑盒行為實施行政處罰。經查，當事人未取得《醫療器械經營許可證》，銷售及捐贈“冠狀病毒核酸檢測試劑盒”和“七種冠狀病毒核酸檢測試劑盒”共計95盒，貨值共計93322.42元，違反了《醫療器械監督管理條例》第三十一條第一款和第四十條的規定。鑒于當事人及時召回“冠狀病毒核酸檢測試劑盒”65盒，召回比例較大，依法對當事人罰沒合計1408476.30元。

2

浙江省臺州路橋區市場監管局查處某工藝公司哄抬價格案。4月28日，臺州市路橋區市場監管局根據線索，依法對臺州市路橋某工藝公司進行執法檢查。經查，疫情期間口罩需求量大，生產口罩用無紡布比較緊俏，當事人為獲取更大利潤，從今年4月份起開始提價銷售不同批次購進的生產口罩用無紡布，其中4月7日以48000元/噸的價格銷售給口罩生產廠家，進銷差率160.97%，4月12日以80000元/噸的價格銷售，進銷差率189.19%，4月17日以110000元/噸的價格銷售，進銷差率366.47%，以上銷售額共計335000元。

當事人的上述行為，違反了《價格法》第十四條第（三）項的規定，構成哄抬價格的違法行為，6月8日對當事人處以罰款250000元。

3

安徽省滁州市市場監管局查處楊某非法生產加工熔噴布案。4月30日，滁州市市場監管局聯合公安機關，查處一非法生產加工熔噴布窩點。

經查，2020年4月，該窩點負責人楊某租用南譙區烏衣鎮某公司生產廠房，從江蘇丹陽購進二手機器設備，并購進原材料聚丙烯生產熔噴布。執法人員現場查扣熔噴布3噸，原材料聚丙烯（包裝）1.3噸、聚丙烯（散裝）1噸，熔噴布生產設備4臺（套），案值200余萬元。該生產商生產現場無廠家標識，未辦理營業執照。原材料無采購憑證、檢驗報告，成品無產品標識，無廠名廠址、合格證。執法人員現場查封了生產機器設備，將成品熔噴布及“三無”原料予以異地扣押，并對該窩點生產的成品熔噴布進行抽樣，經檢測結果為不合格。目前此案正在進一步查辦中。

4

廣東省惠州市市場監管局查處曹某無照生產隔離衣案。4月28日，惠州市市場監管局聯合公安機關對曹某無照生產隔離衣行為開展檢查。經查，當事人曹某在未取得相關營業執照，未按規定向藥品監督管理部門備案情況下，受惠州市新俊達塑料制品有限公司的委托代生產加工隔離衣，由惠州市新俊達塑料制品有限公司提供原材料。從4月26日開始生產到4月28日被查處為止，生產加工活動共持續3天。依據（（醫療器械監督管理條例》第六十五條和《無證無照經營查處辦法》第十三條，責令其改正違法行為，并對當事人處以罰款5000元。

5

四川省大竹縣市場監管局查處福建雙力紡織有限責任公司涉嫌銷售不合格熔噴布案。4月27日，大竹縣市場監管局接獲轄區某口罩制造公司舉報，對其采購的熔噴布進行了現場檢查，發現該批熔噴布無廠名、廠址、生產日期、檢驗合格證等標識，數量共24件，合計706.70千克。該公司提供了該批產品的“采購訂單”，產品由福建雙力紡織有限責任公司供應，聯系人為黃某某，質量約定BFE≥90%，單價為288.15元/千克，貨值金額合計為203635.61元。

執法人員現場對該批產品進行了監督抽樣，經送法定檢驗機構檢驗，結論為細菌過濾效率、顆粒過濾效率不符合YY 0461-2011標準要求，BFE達不到約定質量要求。大竹市場監管局將該案涉嫌犯罪線索移送大竹縣公安局。