原標題：SDK商業模式分析：誰在編織APP背後的用戶信息網？

21世紀經濟報道 記者王俊 南方財經全媒體集團 記者吳立洋 實習生溫瑩雪 北京報道

近日，工業和信息化部信息通信管理局通報了侵害用戶權益行爲的APP(SDK)名單，值得注意的是，本次有13款第三方SDK因違規收集個人信息被納入該名單。

記者梳理本次通報的13款違規SDK發現，其所實現的功能不一，包括第三方登陸分享、廣告分發、語音識別等，其完成所需功能而採集的信息也各不相同。在盈利模式方面，部分SDK開發者主要依靠向使用其功能的APP開發商收取服務費進行盈利，也有部分SDK通過採集用戶行爲習慣和個人信息加工處理賣給廣告商實現變現，這也是SDK違規問題的主要來源。

SDK與APP的關係也有待重構，當SDK存在違規行爲時，其各的責任需要根據實際信息採集處理情況進行界定。受訪專家表示，在合規監管趨嚴的背景下，具體的合規要求還需通過監管動作和案件來形成行業共識。

功能各異的SDK

SDK（Software Development Kit）即軟件開發工具包，多被軟件工程師用於爲特定軟件包、軟件框架、硬件平臺、作業系統等創建應用軟件的開發工具集合。

“如果把開發一個APP比喻爲蓋樓，那SDK可以視爲蓋樓所需的磚。”民間非企運營網絡安全組織“網絡尖刀”安全團隊創始人曲子龍向記者解釋稱，SDK的開發商可以被理解爲做磚的公司，打包設計好某一應用功能，供APP開發者方便快捷地直接調用。

在實際應用中，不同的SDK往往對應不同的功能。中國信息通信研究院安全研究所於2020年發佈的《軟件開發包（SDK）安全與合規報告》中，根據實際功能將常見的SDK分爲第三方登錄分享類、支付類、推送類、廣告類、統計分析類與地圖類。

以本次被通告違規的字節跳動穿山甲SDK爲例，據其官網信息顯示，該SDK致力於“爲全球開發者提供用戶增長、流量變現、LTV提升等全生命週期的服務和成長方案，目前已幫助超過10萬個app在穿山甲平臺內飛速成長。”提供開屏廣告、視頻廣告、互動廣告等廣告接入與流量分析、用戶運營等功能。

而另一款被工信部通報的SDK——秒驗SDK則主要提供登錄驗證的功能，據其官網介紹，搭載該SDK可以使免於用戶“輸入手機號-獲取驗證碼-輸入驗證碼驗證”的過程，從而降低用戶操作成本，優化使用體驗。

由於功能的不同，在實際運行過程中其所需採集的用戶信息也各不相同。中國電子技術標準化研究院網絡安全研究中心測評實驗室副主任何延哲告訴記者，以Android ID、設備MAC地址等可以標識用戶常用設備的信息爲例，即使是同樣的信息，不同SDK對其使用方式也不同，實現推送廣告、安全風控等功能都有可能用到。

此外，地圖類SDK需要收集用戶的地理位置信息，第三方登錄分享類需要向另一APP進行分享或獲取賬號信息因而需要應用列表信息，都是SDK爲實現功能合理的信息訴求。

於去年11月正式落地的《個人信息保護法》第二十三條規定：“個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。”當前，大部分APP主要採用讓用戶單獨勾選第三方SDK列表的方式，告知相關SDK具體的信息採集情況並取得用戶授權。

但這並不意味着所有SDK都被從技術渠道上切斷了獲取授權列表外個人信息的可能，本次工信部通報的12款SDK，其侵害用戶權益行爲均爲違規收集個人信息。其中，8款SDK涉及收集設備Android ID，4款涉及收集設備IMEI號，3款涉及收集設備MAC地址，兩款涉及收集設備IMSI號，1款涉及收集設備ICCID號。

值得注意的是，這並不是工信部首次出手整治SDK違規問題，早在2020年7月，央視播出的“3·15”晚會報道了SDK存在的隱私問題，此後工信部發文要求嚴查涉事SDK企業；去年10月，工信部曾下架96款侵害用戶權益APP、通報3款違規SDK，稱檢測發現字節跳動穿山甲SDK、騰訊優量匯SDK、快手廣告SDK問題較多。

信息採集背後的生意

App使用第三方 SDK 已成爲普遍現象。根據愛加密發佈的 2020 年 Q1《全國移動 App 安全態勢研究報告》，截至 2020 年 3 月底， 愛加密大數據中心已收錄 Android 應用超過 315 萬款，iOS 應用超過 300 萬款，其中 29.46%的應用嵌入了SDK。

在實際應用中，由於SDK是第三方開發商爲實現特定功能而封裝的程序工具包，同一款SDK可以被提供給不同APP提升其開發效率，而SDK開發者則可向這些APP收取一定服務費用。

但依靠服務費生存需要有足夠的應用量作爲支撐，曲子龍指出，當前能夠依靠服務費跑通商業模式的SDK只是少數，尤其是很多SDK還是免費提供的情況下，部分SDK存在着通過採集用戶行爲習慣和個人信息加工處理，賣給廣告商實現變現的情況。一些大公司會自行分析所採集到的數據，改進用戶體驗和相關推薦功能，而廣告商則通過將不同APP、SDK來源處獲取的個人信息進行彙總，得出完整的用戶畫像。

在本次被通報違規的SDK中，除穿山甲SDK外，網易七魚SDK也提供使用用戶信息的智能營銷服務，據其官網介紹，該SDK通過移動APP、網頁諮詢、呼叫中心的全渠道接入，進行訪問統計、訪問軌跡與訪問名片的用戶行爲洞察，從而建立用戶畫像，完成關鍵環節營銷。

北京漢華飛天信安科技有限公司總經理彭根表示，本次工信部通報的13款違規SDK中，違規收集的Android ID、IMEI號、設備MAC地址等信息基本屬於設備的唯一編碼，相關信息的處理者可以根據該信息精準定位到具體的設備和用戶。“目前收集這些設備ID信息絕大部分用途還是在精準的廣告推送上。”

2021年4月，iOS發佈14.5版本更新，新加入“App跟蹤透明度”要求引起行業廣泛關注，在該隱私新規下，APP如需使用設備的位置、身份ID、圖片、瀏覽習慣等數據，均需取得用戶許可，且用戶可隨時拒絕提供相關信息。在蘋果的帶動下，谷歌也表示要在Chrome瀏覽器中逐漸淘汰第三方cookie，讓廣告商無法追蹤用戶瀏覽歷史。

兩大手機操作系統廠商對隱私監督的收緊引發了廣告業的恐慌，Facebook等公司公開對其提出質疑；德國9家不同行業協會稱，由於蘋果自己也在出售App Store搜索廣告，其隱私政策涉嫌壟斷，將損害整個廣告市場。與此同時，部分大型廣告公司也提出了自己的解決方案，例如通過CAID標識符替代IDFA來規避新規；升級算法，通過模糊匹配、概率匹配對某一用戶羣體而非精準個人進行推送等。

何延哲指出，單純地去探討SDK收集的哪些個人信息是否必要，很難界定一條清晰明確的邊界，設備MAC地址、IMEI號等唯一標識符因爲具有唯一性並可以追蹤，被濫用的可能性較高、危害性更大；而對於不唯一標識符，可以降低其敏感程度，賦予用戶控制權，即便SDK收集的種類增多，用戶也可以通過重置的方法讓其失效，或許將成爲隱私保護要求與市場需求矛盾的一種解決思路。

APP與SDK關係待重構

隨着工信部本次將13款第三方SDK納入侵害用戶權益行爲的APP(SDK)名單，對違法違規收集個人信息的治理更實更深，在此背景下，進一步明確APP和SDK開發者之間的關係，落實主體責任成爲信息治理的必然要求。

清律律師事務所首席合夥人熊定中告訴記者，APP與SDK之間的關係存在多種可能性，一些SDK主要基於特定需求從APP處獲取信息，按照APP開發者要求和目的在APP控制範圍內對其進行處理，在此情況下SDK是信息處理和數據處理的受託方，在處理目的和處理方式約束內不獨立承擔責任，而APP由於擁有數據的實際控制權，其作爲數據的委託方承擔整個處理過程的全部連帶責任。而當SDK是基於自身目的和需求處理信息時，其本身可視爲一個獨立的信息處理者，因而需要嚴格執行多重授權的合規要求。

南財記者查詢當前主流APP第三方SDK目錄發現，許多APP在目錄中對不同種類的SDK進行了區分，以某知名短視頻APP爲例，獨立處理信息和數據的SDK對所涉及個人信息、使用目的、使用場景、隱私政策方面的披露更爲詳細。

2020年11月，全國信息安全標準化技術委員會發布《網絡安全標準實踐指南——移動互聯網應用程序（APP）使用軟件開發工具包（SDK）安全指引》，對APP使用SDK的相關方和責任進行了明確。

從APP個人信息安全的角度來看，《安全指引》規定原則上APP提供者是APP個人信息控制者及保護用戶個人信息安全的首要責任人，SDK提供者按照APP使用SDK的不同方式承擔相應的個人信息安全責任。

具體而言，當APP嵌入開源SDK或與SDK方是同一方時，由APP方擔責；當APP方委託SDK方處理個人信息，由APP方擔責，SDK方需配合履行相關責任；如雙方以單獨身份提供服務，且均自行決定處理數據的目的與方式時，SDK方承擔個人信息控制者責任，APP方承擔個人信息控制者和接入第三方管理的責任；如果雙方共同決定數據的處理目的與方式時，則二者均爲個人信息共同控制者，需通過合同等形式約定各自承擔的責任。如存在侵害個人信息權益，應承擔連帶責任。

另一方面，APP與SDK之間的信息共享也需要對信息的種類、採集時間、具體用途等規定進一步細化。何延哲指出，無論是用於安全風控還是廣告，信息運用都存在着“程度”的問題，以廣告推送爲例，不同的用戶定位精準度往往伴隨着信息收集種類等方面的變化。

目前，部分APP在涉及調用個人敏感信息的SDK或獨立處理信息的SDK被開啓時，採用彈窗的形式提醒用戶，但在實際應用中，不同廠商的合規理解和水平仍存在差異。熊定中表示，具體的做法行業仍在摸索，但很多專業人員實際上對採用何種方式進行告知也缺乏清晰的理解，因此需要通過監管動作和案件來形成一定的行業共識。