【/h/]美国美国联邦贸易委员会（FTC）最近起诉美国InMarket公司涉嫌通过SDK插件非法收集信息。该公司的商业模式是通过面向消费者的终端获取数据，然后将其出售给各行业的公司。目前，双方正在努力达成和解。据不完全统计，去年美国联邦贸易委员会（FTC）至少起诉了三家通过SDK非法收集个人信息的公司，中国也有很多类似的案件，这表明该领域已成为执法的重点【I】。今天，我将根据起诉状【ii】谈谈这个案例和中国的相关法律法规。

1。SDK服务提供商为何保持低调？

【/h/]SDK（软件开发工具包）是集成在应用程序（App）中的第三方工具包。SDK服务商为什么低调，因为它不是应用运营商，只是在应用中提供某种功能，如地图、支付、统计、社交、广告等。，而从消费者感知的角度来看，它的存在感较弱。据统计，平均每个App将使用19.3个SDK，而微信SDK、腾讯开放SDK、小米推送SDK、华为SDK和支付宝SDK被超过一半的App嵌入【iii】。

【/h/]以微信为例，接入的SDK包括:中国银联快通、微信支付、微贷、小程序/微信官方账号、微信登录和广告服务【四】。其中，有些是由腾讯提供的，有些是由第三方提供的，例如中国银联快通是由中国银联提供的。但由于其存在感较弱，如果非法处理通过服务获取的个人信息，不容易被发现，但监管部门还是发现了问题。

【/h/]其次，InMarket的SDK服务有哪些违法行为？

【/h/]in market是德克萨斯州的一家数字营销平台和数据聚合商。它通过开发专业软件开发工具包（InMarket SDK）直接从移动设备收集位置数据，并使用移动设备的位置数据将广告定向到消费者的移动设备。

【/h/]收集位置数据有两种方式。一种方法是通过直接与它运营的两个移动应用程序集成来收集移动设备的位置数据，这两个应用程序是CheckPoints（完成小任务后获得购物奖励）和ListEase（帮助消费者创建购物清单）。另一种方式是向300多家第三方应用开发商提供SDK访问服务，然后出售和共享消费者的位置数据以进行广告推广。InMarket在收集消费者位置数据方面的做法和违法行为可总结如下:

1。InMarket的两个自营应用程序的同意屏幕告知消费者他们的位置将用于应用程序功能（赚取积分和保存列表），但它们没有透露用户的确切位置信息及其用途。

【/h/]违法性:在收集行踪轨迹等敏感个人信息时，未同步告知用户其目的，或目的不明确、难以理解；收集的个人信息类型或开放的收集个人信息权限与现有业务功能无关。

2。InMarket的隐私政策尽管它披露消费者数据将用于定向广告，但其同意屏幕并未链接到隐私政策，也未告知消费者该应用程序的数据收集和使用做法。

【/h/]违法性:App首次运行时未通过弹窗等明显方式提示用户阅读App和SDK的隐私政策及其他个人信息收集和使用规则；并且没有告知用户同步收集个人信息和敏感个人信息的目的。

3。对于使用其SDK的第三方应用程序，InMarket不需要消费者的知情同意，与应用程序开发人员签署的合同也不要求更多的隐私，只要求开发人员遵守所有适用的法律并维护符合法律要求的隐私政策。

【/h/]违法性:通过欺诈、欺骗等不正当手段误导用户非法收集个人信息，掩盖收集、使用个人信息的真实目的；SDK收集和使用个人信息的目的、方式和范围未一一列出。

4。InMarket将收集到的消费者位置数据保存了五年。

【/h/]违法性:未及时删除个人信息违反了最小必要原则。

5。InMarket使用其算法将消费者的位置数据与广告相关的兴趣点进行交叉比例分析，并制作用户画像以形成广告产品来盈利。

【/h/]违法性:违反处理敏感个人信息的保护规则进行“用户画像”“算法推荐”等不当自动化决策；利用用户个人信息和算法定向推送信息，不提供非定向推送信息的选项；违反其声明的收集和使用规则（涉及一些SDK），收集和使用个人信息。

【/h/]第三，中国的监管规定和处罚案例

【/h/]结合上述违法行为，假设InMarket为中国企业，其收集、处理消费者个人信息的行为涉嫌违反《网络安全法》《个人信息保护法》《消费者权益保护法》等与个人信息相关的法律法规。具体的违法内容上面已经分析过了。同时，中国监管部门对SDK个人信息的保护有着非常详细和具体的规定。

【/h/]工信部2023年2月发布的《APP违法收集使用个人信息行为认定办法》和《关于进一步提升移动互联网应用服务能力的通知》分别对App开发运营主体、SDK自身和企业提出了SDK的管理要求，包括:

1。App运营者需要逐一列出第三方或嵌入的第三方代码、插件收集、使用个人信息的目的、方式和范围，否则将视为未明确说明收集、使用个人信息的目的、方式和范围。

2。App运营者在使用SDK前应评估自身个人信息保护能力，并通过合同等形式明确约定各方权利义务，确保个人信息处理符合法律法规。集中显示和及时更新嵌入式SDK的名称、功能和处理个人信息的规则。共同处理用户个人信息，侵害用户权益造成损害的，依法承担相应责任。

3。App运营者需要公开说明个人信息处理规则。SDK独立收集、传输、存储个人信息的，应当单独说明。

4。SDK开发者遵循最小必要性原则，根据不同的应用场景或用途定义SDK的功能和相应的个人信息收集范围，并向App运营者提供个人信息收集的功能模块和配置选项。不应过度收集个人信息。

【/h/]根据我们的查询，工信部和地方管理局近年来多次通报侵犯用户权益的SDK服务，包括一键登录、移动应用订阅、AdSet广告、酷派单机、TalkingData和Adview广告。

【/h/]最后，虽然监管部门逐步加强了对SDK收集和处理用户个人信息的监管力度，但如果SDK开发者或App运营者能够按照监管部门的要求全面完成整改，则有可能减轻或免除相应责任。相反，逾期未整改或整改不到位的，监管部门将优先下架相关产品或服务。如果情况严重，监管部门还将采取包括罚款在内的行政处罚措施，甚至追究刑事责任。

【/h/]备注和信息:

【/h/]【I】另外两家是移动测量公司Kochava和数字健康平台GoodRx。

【/h/]【iv】support . weixin . QQ . com/CGI-bin/mm support-bin/new read template？t =数据列表/共享

【/h/]作者:游（上海大邦律师事务所高级合伙人，知识产权律师。咨询电话:8621-52134900，邮箱:yytbest@gmail.com）、王婷（上海大邦律师事务所顾问）。本文仅代表作者观点。