sdk|SDK错在哪里了?
读者朋友提出 , 市面上很多金融APP在过度收集用户信息这一环节其实承担着“冤大头”的角色 。 有时 , 金融APP本身并不完全掌握金融APP的SDK集成情况以及SDK的行为 , 包括SDK调用哪些涉及个人信息的敏感系统权限等 。 金融APP觉得自己十分冤枉 。 对此 , 我们分享如下观点 。
SDK做了些什么?
SDK全称为Software Development Kit , 又称作软件开发工具包 , 是辅助开发某一类应用软件的相关文档、范例和工具的集合 。 金融APP为了提高开发效率 , 通常将某项功能实现交给第三方来处理 , 第三方服务提供商将服务封装为工具包供开发者使用 , 这里的工具包即SDK 。
因SDK的易用性和灵活性 , 植入SDK卡可为金融APP用户提供流畅及定制化的使用体验;大幅度提升使用者的开发效率 , 明显降低开发成本;且SDK可帮助提高金融APP的兼容性 , 扩大用户使用范围 。 因此 , 市面中大量金融APP内部均植入有SDK包 。
可以上灵活性、便捷性带来的是个人信息泄露的风险 。 为了便利 , SDK在发挥效用的同时 , 于用户不知情的情况下 , 获取用户设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录和应用安装列表等大量信息 , 从而为诸多用户带来风险隐患 。
本文插图
金融APP知晓SDK全部能力时
当金融APP知道自身存在SDK的信息收集行为 , 出于投机心理 , 不向公众披露 , 未经用户授权 , 即获取用户信息的 , 这时金融APP运营方的风险可就大了 。
我国《网络安全法》第四十一条第一款规定 , 网络运营者收集、使用个人信息 , 应当遵循合法、正当、必要的原则 , 公开收集、使用规则 , 明示收集、使用信息的目的、方式和范围 , 并经被收集者同意 。
如此 , 默默支持SDK不经用户同意就利用其运营金融APP收集用户信息 , 且有以下情节的 , 涉嫌刑事犯罪就不容置喙了:
(一)出售或者提供行踪轨迹信息 , 被他人用于犯罪的;
(二)知道或者应当知道他人利用公民个人信息实施犯罪 , 向其出售或者提供的;
(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;
(六)数量未达到第三项至第五项规定标准 , 但是按相应比例合计达到有关数量标准的;
(七)违法所得五千元以上的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人 , 数量或者数额达到第三项至第七项规定标准一半以上的 。
本文插图
金融APP不知SDK的全部能力时
我们也了解到 , 普通金融APP用户其实很难感知到SDK收集了哪些个人信息 , 而相当一部分金融APP运营者将某项开发权限委托给第三方 , 当第三方故意向金融APP中植入不明SDK时 , 运营者有时是无从知晓的 。
对此 , 有人提出 , 即使金融APP不知道不明SDK的信息收集行为 , 但以上行为就像“容留他人吸毒罪”一样 , 金融APP作为“宿主”提供的作案场所 , 被容留之人不涉及刑事处罚 , 但提供屋子之人责任就严重了 。
果真如此吗?
我们认为 , 如此类比其实还是有欠妥当的 。 容留他人吸毒罪中 , 提供场所之人是故意明知的状态 。 可当金融APP确实不知SDK被非法植入时 , 这时法不强人所难 , 如金融APP运营方能够证明自身已尽到合理的审慎注意义务 , 已利用现有技术手段完成所有检测、测试与风险防控等 , 并未查找到相关插件时 , 此时金融APP的刑事责任风险能够得到相应缓释 。 这时 , 真正的责任人应当是SDK植入主体 。
推荐阅读
- 星火环球移民教育|《三十而已》大热,“完美女性”顾佳的生活精致在哪里?
- 咖啡可乐2021年在美国上架|咖啡可乐2021年在美国上架 现在哪里有卖的?
- 新民晚报|失主你在哪里?珍贵的3枚勋章在等你
- 体坛曾说过|35岁状态火爆,C罗下赛季在哪里?庆祝宣言表明了目的地
- 财经作者陈琦|为何经济没有快速发展,所面临的困难在哪里?,东北振兴多年
- 海峡网|脱口秀大会3免费完整版视频观看 脱口秀大会第三季在哪里看
- OPPO手机OPPO R17 Pro 强大在哪里?
- 南京女大学生和男友吵架后失联|南京女大学生和男友吵架后失联 失联22天 你在哪里?
- 湖人|湖人输给猛龙引热议,究竟输在哪里?沃格尔赛后实话实说,一针见血!
- 女儿|南京女大学生和男友吵架后失联,失联22天 你在哪里?