一、问题描述

某移动金融App使用的第三方SDK收集用户“设备MAC地址、AndroidID、OAID”等个人信息，但未在App隐私政策中向用户告知上述第三方SDK收集个人信息情况。

二、违规认定

违规认定：违规收集个人信息。

认定依据：

1.《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》（工信部信管函〔2023〕26号）中要求App开发者加强软件开发工具(SDK)使用管理：使用SDK前对其进行个人信息保护能力评估，通过合同等形式明确约定各方权利和义务，确保个人信息处理依法合规；集中展示并及时更新嵌入的SDK名称、功能及其处理个人信息的规则。

2.《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）中明确整治任务包括违规收集个人信息。重点整治App、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。

三、问题根源

该移动金融App在使用第三方SDK前未进行SDK个人信息保护能力评估，对其使用的第三方SDK收集个人信息范围未全面掌握，造成所使用的第三方SDK私自收集个人信息。

四、合规建议

1.全面了解第三方SDK收集个人信息范围，并在APP自身隐私政策中完整向用户告知。

2.全面评估使用的第三方SDK是否存在风险，选择使用合规SDK，并及时更新第三方SDK名称、功能及其处理个人信息的规则。