一、问题描述

该款移动金融App对引用的某第三方SDK进行了升级，该SDK收集使用个人信息内容发生了变化，但App隐私政策中未同步更新相关内容。

二、违规认定

认定依据：《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）中明确整治任务包括“违规收集个人信息”。重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）同样规定：未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等”可被认定为“未公开收集使用规则。

三、合规建议

金融机构应全面梳理移动金融App各业务功能及第三方SDK（包括嵌套的第三方SDK）收集个人信息目的、方式、范围等，明确告知用户并取得用户明示同意。当版本升级或引入新的第三方SDK时，应及时更新隐私政策等收集使用规则。

（供稿单位：重庆国家金融科技认证中心有限责任公司）