第三方共享清单最直接的作用是保障用户权利 ， 用户能更直接、便捷地了解其个人信息是如何被企业使用、共享的 ， 同时也便于公众、监管机构对互联网产品的监督和管理 。
数字ID“设备标识符”成高频共享的个人信息
个人信息共享网络中 ， 手机是“定位”用户、量化用户行为的重要媒介 。个体的点击、搜索、购买、行走轨迹等等都将化身数据 ， 被输入到算法系统中 。
想要利用这些数据进行精准广告推送 ， 识别用户身份是关键 。每台手机都有的唯一设备标识符发挥着重要作用 ， 设备标识符家族包括IMEI、Android ID、IDFA、Mac地址等 ， 代表用户的“数字ID” 。此次测评中 ， 设备标识符属于高频共享的个人信息 ， 企业收集和共享了设备标识符、使用行为等个人信息 ， 算法系统借此“算出”用户的生活习惯和消费行为等特征 ， 构建出用户个人画像 。
这已是互联网企业的常见做法 。中国信息通信研究院杨正军等人在《互联网广告标识问题研究与应对建议》中提到 ， 互联网广告产业链涉及多个实体 ， 从App、智能电视 ， 到第三方监测平台、数据平台、自动化交易平台 。

文章图片

文章图片

当前 ， 上述清单仅仅勾勒出一个模糊、庞大的共享体系 ， 部分企业实际上并没有罗列出与其共享个人信息的完整第三方名单 ， 比如钉钉的第三方个人信息共享清单仅提到 ， 第三方合作方是上海似颜科技有限公司等百余家入驻的第三方服务商 ， 世纪佳缘则罗列出其所有线下直营店和授权的线下联营店 。
“企业共享个人信息的第三方数量大 ， 涉及个人信息类型多 ， 如果前期没有系统梳理的话 ， 工作量较大 ， 而且双方的合作协议往往没有清晰规定信息共享的具体规则 ， ”孟洁如是解释了企业公布完整第三方名单的难点 ， 她认为用户规模大、个人信息处理量大的企业也应根据工信部规定的要求精神 ， 尽快落实、建设“双清单” ， 在操作方法上可以思考更加科学、有效的模式 。

文章图片

文章图片

图为世纪佳缘App第三方共享清单公布的部分联营店 。
隐藏在App后的SDK
如果说手机是媒介、设备标识符是锚点 ， 那连接两者的重要“绳索”就是第三方SDK（软件开发包） 。
不同的第三方SDK能帮助App调用各种功能 ， 涵盖消息推送、移动支付、第三方登录、地图定位等 。打比方说 ， 想在快手上购物时使用支付宝支付 ， 就需要调用支付宝SDK；想要在钉钉上发送或共享位置、考勤打卡时使用高德地图 ， 就需要调用高德地图SDK 。为了实现这些功能 ， 支付宝SDK会收集用户的设备标识符、支付金额等 ， 高德地图SDK会收集用户的设备标识符、位置信息等 。
它们广泛存在于所有App中 ， 却不为大众所知 。以喜马拉雅公布的第三方共享清单为例 ， 其公布的广告类SDK共享了30余条用户信息 ， 这意味着当用户使用喜马拉雅App时 ， 其设备标识符和地理位置等部分个人信息将共享给广点通、穿山甲等广告营销类平台 。

文章图片

文章图片

在落实建设“双清单”的同时 ， 企业的第三方SDK合规之路仍不平坦：如何确定第三方SDK收集个人信息是否遵守“最小必要”原则？第三方SDK的个人信息收集数量、场景、频率是否与共享清单中描述的相符？如何明确App和SDK的关系 ， 落实主体责任？

• 上海历史博物馆数字孪生系统升级，实现室内便民设施精准导航
• 精准提效快速落地——线下指标体系构建
• 数字赋能、精准预警、闭环管理！两大“神器”助力普陀长寿当好靠谱“店小二”
• 微软推送windows11build22563程序崩溃bug
• 精准防控！香坊“重点人群核酸检测监管系统”上线
• 图解报告｜临沂五年发展成就请您检阅
• 秒懂！政府工作报告图解来了
• 三星galaxys10/note10系列已推送基于安卓12的
• 微软windows11推送重大更新，支持运行andorida
• 小米10、redminote10pro推送基于安卓12的mi