近日，国家互联网信息办公室发布《互联网应用程序个人信息收集使用规定（征求意见稿）》（以下简称《征求意见稿》）。南都·隐私护卫队梳理发现，从治理思路看，该文件一大亮点是打破了以往聚焦互联网应用程序运营者单一主体责任的传统模式，建立了App运营者、SDK运营者、分发平台、智能终端“四位一体”的责任链条。

“四位一体”责任链条。制图：樊文扬

具体来看，App运营者对嵌入的SDK负有审核义务，前者需对嵌入SDK个人信息收集使用行为进行审核，确保其实际行为与使用规则中声明的一致。分发平台应当加强App上架审核，对被省级以上履行个人信息保护职责的部门通报或行政处罚的App，在分发、下载页面发布个人信息安全风险提示。

《征求意见稿》首先在总则中提出了“四方协同”治理机制的核心架构：互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成损害的，依法承担相应责任。

据了解，实际业务场景中，一款应用程序通常嵌入多个软件开发工具包（SDK），用以实现统计分析、用户登录、广告推送、消息通知等核心功能。SDK功能强大，但作为应用程序生态中的一种“内置组件”，其行为具有较强的隐蔽性。为此，《征求意见稿》进一步将软件开发工具包全方位纳入监管视野。

针对软件开发工具包，《征求意见稿》拟规定，不得超出收集使用规则声明的范围收集使用个人信息，不得超出实现业务功能的最小范围收集使用个人信息，不得超出实现业务功能的最低频度调用权限。

软件开发工具包应当提供基于功能的个人信息配置选项，允许互联网应用程序按照不同功能需要对软件开发工具包个人信息收集行为进行管理配置。通过自动化决策方式向用户进行信息推送、商业营销的，应当向互联网应用程序提供个性化推荐关闭选项，在关闭后停止将用户相关个人信息用于个性化推荐目的。

此外，软件开发工具包应当建立有效方式和途径，直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求，相关方式和途径应当在个人信息收集使用规则中予以列明。

为了实现“全链路监管”，《征求意见稿》设定了严密的审核逻辑，一大体现就是App运营者对嵌入的SDK负有审核义务。

《征求意见稿》提出，互联网应用程序应当与嵌入的软件开发工具包约定收集使用个人信息的目的、方式、种类和安全保护责任及违约责任，并采取有效的技术措施对嵌入的软件开发工具包个人信息收集使用行为进行审核，确保软件开发工具包实际个人信息收集和权限调用行为与互联网应用程序个人信息收集使用规则中声明的软件开发工具包相关内容保持一致。

在实践中，应用程序与SDK的合作有哪些形式？App能“管住”SDK吗？

北京大成（杭州）律师事务所律师孙鹏程向南都·隐私护卫队分析，互联网应用程序与SDK的合作方式大概分为三种。一是共同处理模式，即App与SDK共同决定个人信息的处理目的、方式，两者共担法律责任。二是受托处理模式，SDK受App运营者委托，遵照与后者的约定处理个人信息。三是各自独立处理模式，当App运营者无法对SDK处理个人信息的行为进行限制时，SDK自行决定处理目的、方式。后两种模式下，App与SDK各自承担责任。

孙鹏程认为，上述规定并不意味着SDK的合规责任将更多落到App身上。“从实践中看，应用程序可以提前进行审核，但并不能完全掌握SDK收集处理个人信息的具体情况，整体逻辑依然是‘谁的责任谁负’。如果在审核过程中发现问题，通常做法是App令SDK整改，或者直接不使用这款SDK。”不过，App拥有与用户进行交互的界面和便利条件，需要承担更多告知同意方面的职责。

一位长期关注数据合规领域的从业人员、“数据何规”公众号运营者表示，这一规定的落实或存在障碍。除了App付费使用SDK的情况，很多SDK可以被免费使用，此种情况下根本无法与SDK签署协议明确权利义务，甚至联系上都有困难，更何谈要求SDK整改。“有时候必须使用一些SDK的基础功能，普通开发者与头部SDK之间的议价能力极为有限。”

在他看来，尽管应用程序对SDK负有审核义务，但要“确保”其行为与声明完全一致较为困难，是监管责任深度前置的体现，此举或很大程度上增加前者的合规压力。为此，他建议监管部门将SDK直接纳入监管范畴，而不是由应用程序代为承担审核责任，减少合规成本。

“全链路监管”的另一大体现是，分发平台对互联网应用程序进行上架前审核，《征求意见稿》还提出了审核标准。

具体而言，分发平台应当加强互联网应用程序上架审核，建立互联网应用程序收集使用个人信息规范性档案，在受理互联网应用程序发布及版本更新上架申请时，登记并核验互联网应用程序运营者的真实身份、联系方式等信息，记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。对未提供相关信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予上架。

分发平台在上架审核中应根据互联网应用程序运营者获得个人信息保护认证和互联网应用程序安全认证的结果，予以优先展示推荐。

值得注意的是，《征求意见稿》拟提出，对因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的互联网应用程序，应当自通报或处罚之日起6个月内，在分发、下载页面发布个人信息安全风险提示。

如何看待这一规定？汉华飞天信安科技有限公司总经理彭根向南都·隐私护卫队表示，这种做法可以理解为一种“末位淘汰制”，很有必要。“被通报的应用一定是确实存在问题的，在应用商店上直接将个人信息保护做得不到位的曝光出来，既能倒逼企业在安全合规上进一步下功夫，还有利于提高用户对隐私的重视程度，我认为这是一个正向循环的过程。”

立方律师事务所律师肖莆羚令分析，应用程序开发者通常不会主动告知分发平台其被通报或处罚的相关情况，分发平台要落实该规定，大约有两种思路：一是在开发者服务协议中进行约定，如果应用程序开发者不主动告知就涉嫌违约；二是分发平台随时关注各省级及以上的通报和行政处罚公示文件。

“如果思路一能够被本规定所认可，这样分发平台的法定义务就会转化为消极合同义务，落地相对简单。但如果思路一并不能豁免开发者拒绝告知的情形，那么分发平台就必须拨出一定的资源来单独跟踪这一情况，压力很大。”他说。

前述数据合规从业人员认为，既然应用被通报后已经完成整改，保持上架状态，即不再对用户权益产生影响，持续在应用商店发布风险提示对企业造成的负面影响极大，建议限缩发布风险提示的对象范围，仅在分发、下载页面公示被行政处罚的互联网应用程序，被通报的不包括在内。

他还提出另一个建议思路，考虑到各省级监管部门通报App的尺度和频率不尽相同，比如各地监管部门每年通报应用程序数量差异很大，建议仅针对被国家级部委通报过的应用程序发布风险提示。

采写：南都N视频记者 樊文扬

编辑：李玲