移動互聯網時代，一件被反復質疑的事情是，App是否在竊聽用戶。

多個社交平臺上，網友們經歷了相似的故事，剛跟朋友說完某個產品，打開手機，購物App或社交軟件就出現相關廣告。

事實上，想要實現精準推送，往往是利用大數據和推送算法而非竊聽。App使用記錄、地理位置、好友關系等個人信息在App共享網絡中穿梭，企業借助這些信息、利用特定算法，構建出龐大的用戶畫像體系。中國電子技術標準化研究院網安中心測評實驗室副主任何延哲認為，App竊聽的成本高、法律風險大，而企業精準推送的能力其實來源于App間共享的用戶個人信息。

這些個人信息關乎用戶隱私，相關法律法規陸續出臺。2022年3月1日，國家網信辦等四部門聯合發布的《互聯網信息服務算法推薦管理規定》正式施行，劍指算法亂象——“大數據殺熟”、誘導用戶沉迷網絡、操縱榜單等。去年11月1日，個人信息保護法生效，同日，工信部發布通知提出39家互聯網企業應建立個人信息保護“雙清單”，即“已收集個人信息清單”和“與第三方共享個人信息清單”，后者要求騰訊、阿里巴巴等39家企業52款App在App二級菜單中列出與第三方共享的用戶個人信息基本情況。

我們梳理了這些App在安卓系統上的第三方共享個人信息清單，試圖勾勒出這一復雜的共享網絡。

個人信息共享網絡：39家企業 V.S. 超200家企業

“我懷疑手機在偷看我們的聊天記錄。”網友小周信誓旦旦地說。她剛跟朋友在社交軟件上聊完某款沐浴露，社交軟件就給她推送了相應的廣告。不過，一條更可能的精準推送路徑是，此前小周的朋友在購物平臺上搜索過這款沐浴露，她們的搜索記錄、好友關系、設備標識符等個人信息在社交軟件和購物平臺的共享網絡中流動、匹配，最終算法告訴企業，小周也很可能對這款沐浴露感興趣。

“雙清單”的推動下，個人信息共享網絡逐漸展現在大眾眼前。多數被測App在界面二級菜單中就有“與第三方個人信息共享清單”的入口，該清單告知用戶的個人信息共享基本情況，包括與第三方共享的個人信息種類、使用目的等。企業會在隱私政策、注冊頁面等取得用戶同意，其中部分企業會將共享信息進行加密處理、去標識化，有的企業則讓第三方自行處理共享信息。

就當前52款App公布的第三方共享個人信息清單而言，用戶個人信息的流向紛繁復雜，涉及每個現代人在移動互聯網時代生活的方方面面——App、手機廠商和運營商。超過200家企業成為52款App的第三方，包括騰訊、阿里巴巴等互聯網企業，其次是小米、OPPO等手機廠商，友盟、穿山甲等廣告營銷和數據統計類企業。

需要指出的是，不同App公布的第三方共享清單的詳細程度不同，多數被測App沒有公布廣告主及其代理商、關聯公司、授權合作伙伴等的完整名單。

過于精準的廣告推送讓用戶擔心個人隱私泄露，“雙清單”、算法推薦管理規定等法規的施行則有助于破除“算法黑箱”。何延哲表示，建設“雙清單”讓個人信息收集和共享行為更加透明化。環球律師事務所合伙人孟潔進一步稱，第三方共享清單最直接的作用是保障用戶權利，用戶能更直接、便捷地了解其個人信息是如何被企業使用、共享的，同時也便于公眾、監管機構對互聯網產品的監督和管理。

數字ID“設備標識符”成高頻共享的個人信息

個人信息共享網絡中，手機是“定位”用戶、量化用戶行為的重要媒介。個體的點擊、搜索、購買、行走軌跡等等都將化身數據，被輸入到算法系統中。

想要利用這些數據進行精準廣告推送，識別用戶身份是關鍵。每臺手機都有的唯一設備標識符發揮著重要作用，設備標識符家族包括IMEI、Android ID、IDFA、Mac地址等，代表用戶的“數字ID”。此次測評中，設備標識符屬于高頻共享的個人信息，企業收集和共享了設備標識符、使用行為等個人信息，算法系統借此“算出”用戶的生活習慣和消費行為等特征，構建出用戶個人畫像。

這已是互聯網企業的常見做法。中國信息通信研究院楊正軍等人在《互聯網廣告標識問題研究與應對建議》中提到，互聯網廣告產業鏈涉及多個實體，從App、智能電視，到第三方監測平臺、數據平臺、自動化交易平臺。

當前，上述清單僅僅勾勒出一個模糊、龐大的共享體系，部分企業實際上并沒有羅列出與其共享個人信息的完整第三方名單，比如釘釘的第三方個人信息共享清單僅提到，第三方合作方是上海似顏科技有限公司等百余家入駐的第三方服務商，世紀佳緣則羅列出其所有線下直營店和授權的線下聯營店。

“企業共享個人信息的第三方數量大，涉及個人信息類型多，如果前期沒有系統梳理的話，工作量較大，而且雙方的合作協議往往沒有清晰規定信息共享的具體規則，”孟潔如是解釋了企業公布完整第三方名單的難點，她認為用戶規模大、個人信息處理量大的企業也應根據工信部規定的要求精神，盡快落實、建設“雙清單”，在操作方法上可以思考更加科學、有效的模式。

圖為世紀佳緣App第三方共享清單公布的部分聯營店。

隱藏在App后的SDK

如果說手機是媒介、設備標識符是錨點，那連接兩者的重要“繩索”就是第三方SDK（軟件開發包）。

不同的第三方SDK能幫助App調用各種功能，涵蓋消息推送、移動支付、第三方登錄、地圖定位等。打比方說，想在快手上購物時使用支付寶支付，就需要調用支付寶SDK；想要在釘釘上發送或共享位置、考勤打卡時使用高德地圖，就需要調用高德地圖SDK。為了實現這些功能，支付寶SDK會收集用戶的設備標識符、支付金額等，高德地圖SDK會收集用戶的設備標識符、位置信息等。

它們廣泛存在于所有App中，卻不為大眾所知。以喜馬拉雅公布的第三方共享清單為例，其公布的廣告類SDK共享了30余條用戶信息，這意味著當用戶使用喜馬拉雅App時，其設備標識符和地理位置等部分個人信息將共享給廣點通、穿山甲等廣告營銷類平臺。

在落實建設“雙清單”的同時，企業的第三方SDK合規之路仍不平坦：如何確定第三方SDK收集個人信息是否遵守“最小必要”原則？第三方SDK的個人信息收集數量、場景、頻率是否與共享清單中描述的相符？如何明確App和SDK的關系，落實主體責任？

近日，工業和信息化部信息通信管理局通報了侵害用戶權益行為的App(SDK)名單，有13款第三方SDK因違規收集個人信息被納入該名單。

何延哲認為，想要界定第三方SDK收集個人信息是否符合“最小必要”原則，仍需有更加清晰明確的相關規定，此外，賦予用戶控制權或是一種解決思路，即用戶同意第三方SDK共享其個人信息后，擁有自主選擇撤回同意的權利。

“App研發企業目前只能通過隱私政策的方式對SDK進行了解，企業沒有對應的技術手段、檢測思路以及動力對集成的第三方SDK進行檢測，來發現SDK實際的個人信息收集行為是否與隱私政策中描述的一致。”北京漢華飛天信安科技有限公司總經理彭根曾撰文寫道。