从手机SDK非法控制计算机信息系统罪谈SDK合规

什么是SDK

软件开发工具包，简称SDK（Software Development Kit）。与大家熟知的APP（应用程序）不同，SDK是指实现软件产品某项功能的工具包，一般由第三方服务商方独立的开发完成并提供服务支持，APP开发者只要按照文档完成配置，用一行代码即可调用“用户隐私授权”服务，两行代码实现SDK的功能（诸如登录、分享、支付、录屏等）。

SDK工作原理

SDK与App既独立，又共生，APP开发者无需再对项目的每一个功能进行开发，选择合适稳定的SDK 服务只需花费很少的精力就可以在项目中集成某项功能，因此手机系统中常常会预装一些常用SDK以实现某些基础功能。以下是SDK的常见分类：

本文将从手机SDK非法控制计算机信息系统罪的典型案例谈谈SDK的安全风险和合规。

基本案情

案由：

非法获取计算机信息系统数据、非法控制计算机信息系统

案号：

刑事一审：平湖市人民法院 （2018）浙0482刑初574号2019-01-25 判决

刑事二审： 浙江省嘉兴市中级人民法院 （2019）浙04刑终71号2019-07-11 维持

刑罚与执行变更： 浙江省湖州市中级人民法院 （2021）浙05刑更392号2021-03-31 裁定假释

案情概要：

瑞徕公司团队各被告人利用广告SDK的静默安装功能自动下载并安装“一键达apk”，“一键达apk”在用户点击推送的文章或新闻后自动下载公众号二维码图片，利用手机辅助功能模拟用户操作，使用户微信自动识别下载的二维码图片，关注瑞徕公司运营的公众号，并定期自动清理相册中的二维码图片。而一键达apk的目的是为了实现微信公众号粉丝量快速增长，从而利用大量的粉丝资源点击广告谋取利益。

法院认为，瑞徕公司团队利用预装SDK获取手机系统权限对用户手机进行控制获利3000余万的行为构成犯罪，各被告共30人犯非法控制计算机信息系统罪，被判处十个月到四年六个月不等的有期徒刑，并处一万到三十万元不等的罚金。

广远谈案

本案中，被告构成非法控制计算机信息系统罪的主要行为有：

1.被告将静默安装功能定制开发到广告SDK中（合规的SDK不允许存在静默安装）；

2.被告启动了静默安装功能自动下载了一键达apk；

3.一键达apk在向用户推送广告的方式上具有伪装性：获取用户信息，自动上传、下载、删除数据，弹出广告、调用手机辅助功能自动模拟用户操作等；

4.被告利用手机辅助功能模拟用户的操作行为，在用户不知情的情况下关注特定公众号从而以此获得广告收入。

案件启示：

本案中，共30余名被告分别被判处十个月到四年六个月不等的有期徒刑，并处一万到三十万元不等的罚金，可见在一些刑事案件中，SDK不仅可以成为犯罪工具，基于SDK自身存在安全漏洞，因此也可能被恶意利用，成为犯罪对象。随着APP个人信息保护治理工作的深入推进，与APP存在密切联系的第三方软件开发包（SDK）收集个人信息问题也逐渐进入各方视野。本案也给SDK开发者、APP运营者敲响警钟，作为开发者应当对SDK合规化引起足够的重视。

在刑事案件方面，2019年后，涉SDK刑事案件数量激增，数量的增长趋势也与国家自2019年以来加强对App及SDK的监管力度密切有关。

在行政案件方面，工信部公布的关于侵害用户权益行为的APP通报，及检索威科先行的行政处罚案例库，2022年1-8月SDK相关的行政处罚案件为2批。

在国家监管方面，2019年起，中央网信办、工信部、公安部、市场监管总局四部门联合开展 APP违法违规收集使用个人信息专项治理。2021年6月以来，中国信息通信研究院大数据应用与安全创新实验室紧跟技术发展趋势与行业热点，发起“SDK安全专项行动”，2022年3月已公布第四期第一批结果，SDK合规问题的重要性日渐凸显。

SDK安全风险和合规风险

SDK在给App提供方带来便捷性、效率提升的同时，也给App提供方及其最终用户带来了一定的风险。SDK向App屏蔽了特定功能的实现细节，简化了App开发和运营，但也正因为如此，SDK自身的行为具有较强的隐蔽性，其所造成的安全问题不易被察觉。此外，一款SDK可能会被多款App集成，因此一旦该SDK出现安全问题，就会影响多款App及其用户。

App使用SDK可能面临以下三类常见安全问题：

a)SDK自身安全漏洞。SDK在开发时聚焦于功能实现而忽视了安全性，可能导致SDK本身存在安全漏洞。这些漏洞可被恶意攻击者利用，对嵌入该SDK的大量App及其最终用户的数据及隐私安全造成损害；

b)SDK恶意行为。SDK恶意行为是指嵌入App中的SDK自身产生的恶意行为，这种恶意行为会破坏使用SDK的App的安全性，对最终用户权益、数据安全等方面造成损害。SDK典型恶意行为有广告刷量、隐私窃取、远程控制等；

c)SDK收集使用个人信息安全问题。SDK在收集使用个人信息方面存在安全问题，

导致App使用SDK时对最终用户的个人信息安全造成损害，主要体现在：

1)SDK超范围收集个人信息。

2)App未说明嵌入的SDK收集使用个人信息的目的、类型、方式等。

3)SDK未经最终用户同意收集使用或对外提供个人信息。

4)App对SDK的个人信息安全管理监督不足。

SDK如何合规

SDK是实现APP功能的重要环节，APP开发者以及SDK开发者都应从自身立场出发，对SDK严格进行合规审查。全国信息安全标准化技术委员会发布的《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》、《信息安全技术 移动互联网应用程序（APP）SDK安全指南》，为APP开发者及SDK开发者提供了非常明确可行的建议，我们从APP运营者与SDK服务商两个角度出发，提出以下SDK合规建议：

一、APP运营者应当：

1.使用SDK前签订协议。在选择SDK服务商之前，详细评估SDK服务商的来源安全性、代码安全性、行为安全性后，与SDK服务商签订协议，全面约定服务内容和权利义务，包括明确处理个人信息的目的、期限、处理方式、个人信息的种类、保护措施以及权利和义务等内容，尤其注意对双方的个人信息处理规则和保护责任进行约定。对于构成委托处理的SDK，APP运营者应落实《个人信息保护法》第二十一条对委托方义务要求。

2.上架前按规范提交SDK信息。进入应用商店前按要求充分提交SDK相关信息，对SDK的名称、相关业务功能/使用目的、收集的个人信息类型和使用的系统权限等信息进行提交并公布。

3.运营中对SDK持续定期监测。除了通过协议约束第三方和向用户告知有关接入情况外，还应定期对其个人信息处理情况进行监督，及时修复漏洞、持续、定期、动态地监测SDK恶意行为。APP运营者应及时利用市场成熟的技术工具，在接入前或接入后定期对SDK进行技术检测，以判断其收集的个人信息、调取的设备权限是否与协议约定一致，是否具备热更新、关联启动等高风险功能，或存在向境外提供数据的情形，做好充分的安全评估和记录。

4.及时对SDK违规行为进行处理。在停止使用第三方SDK之后及时移除相关代码，并要求第三方SDK按照双方协议要求删除或匿名化处理其收集和处理的个人信息。APP运营者还可关注监管对SDK的行政处罚动态，对如发现违规情况，应尽快停止其接入。

5.做好相关风险应急预案。由于从技术角度，只有在更新App的情况下才能将SDK相关代码移除，因此，除了日常管理外，还建议APP运营者提前做好移除SDK版本APP的风险应急预案，以最快的速度移除具有安全风险的SDK并更新恢复APP上架，尽可能降低客户和自身损失。

二、SDK开发者应当：

1.提供完整全面的用户协议。SDK服务商应提前准备好具有针对性的用户协议，从法律专业的角度保障用户协议的完整性和全面性，保证软件服务的顺利履行，降低违约风险。协议中约定在防止恶意行为、安全漏洞响应、数据安全防护、个人信息安全保护方面各自应承担的责任和义务，明确收集使用的个人信息类型、使用目的、保存期限、超期处理方式等，做到信息披露及时、准确，保障个人在个人信息处理活动中的各项权利，强化个人信息处理者的义务，明确个人信息保护的监管职责，并设置严格的法律责任。

2.向所嵌入程序提供者履行告知义务。SDK服务商应遵循“告知-同意”为核心的个人信息处理规则，明示SDK热更新机制相关信息、 SDK相关信息。在SDK相关信息方面，提供SDK提供者基本信息、沟通反映渠道、SDK基本功能、版本号、隐私政策链接地址、申请的敏感权限和申请的目的、收集的个人信息类型和收集目的、个人信息回传服务器所在地域、热更新机制及其开启关闭方式、是否存在单独收集用户个人信息的界面等。

3.遵循最小必要原则。收集使用个人信息应遵循合理、最小、必要原则。收集个人信息的范围和频率应是实现自身业务功能所必需的最小范围和最低频率。

4.保障用户个人信息权益。建立Opt-out选择退出机制，当用户拒绝使用SDK提供的服务时，可Opt-out退出。当SDK作为个人信息共同控制者或独立控制者收集使用用户个人信息时，应单独向用户告知收集使用个人信息的行为并获得用户的同意。

5.进行上线前安全评估和上线后定期监测，防范安全漏洞和恶意行为。在SDK发布上线前，进行安全评估，包括：恶意代码检测、安全漏洞检测、权限申请和调用频率检测、后台自启动和关联启动并收集个人信息的行为检测。SDK上线后，持续、定期、动态地及时更新SDK版本、及时修复漏洞、阻止SDK恶意行为，并及时告知App提供者。

6.进行安全存储和处理。优先本地存储和处理个人信息。在本地存储和处理个人敏感信息，对个人敏感信息内容进行加密。不留存不可变更的设备唯一标识符。SDK在停止接入后，及时删除共享或收集到的个人信息或做匿名化处理。非经主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

后记

从本案应该吸取的经验教训来看，APP运营者与SDK服务商如果未对SDK的安全与合规风险进行严格审查，可能会对App运营者与SDK服务商的商业信誉造成损害，令用户产生信赖危机，进而引起用户的弃用及流失，最终损害各方的商业利益；如果App运营者、SDK开发者未对SDK合规尽到审查义务，也可能导致其在SDK违法案件中承担相应的行政、民事、刑事责任。

就在2022年8月26日，工信部组织第三方检测机构对群众关注的酒店餐饮类、未成年人应用类等APP及SDK进行检查，发现存在侵害用户权益行为的共227款APP和SDK提出整改要求。依据相关法律法规，工信部对神州专车、虎扑、吉野家等47款侵害用户权益的移动互联网应用程序（APP）和第三方软件开发工具包（SDK）进行通报，要求这47款APP及SDK在9月5日前完成整改落实工作。逾期不整改的，工信部将依法依规组织开展相关处置工作。

可见，国家相关部门将持续对APP和SDK进行严格而全面的监管，各APP运营者与SDK服务商应重视SDK合规的重要性，提前预防法律风险。

技术规范

与SDK安全与合规相关的主要标准、规范如下：

《GB/T 35273-2020 信息安全技术个人信息安全规范》

《JR/T 0171-2020 个人金融信息保护技术规范》

《网络安全标准实践指南—移 动互联网应用程序(App)收集使用个人信息自评估指南》

《移动应用软件SDK安全技术要求和测试方法》

《移动应用SDK安全指南》

《网络安全标准实践指南移动互联网应用程序(App)中的第三方软件开发工具包(SDK) 安全指引》

《常见类型移动互联网应用程序必要个人信息范围规定》

《信息安全技术　移动互联网应用程序(App)SDK安全指南》

《移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》

作者：韦宇

编辑：韦宇

审核：农美霞