热点点评 | 关于“预装广告SDK、apk静默安装”案例中技术行为的分析与探讨

昨天，大家都被一则标题为“30人被判：预装 SDK 推送广告、可获取手机系统权限，获利 3000 余万，犯非法控制计算机信息系统罪“的文章刷屏了。法院认为该案的争议焦点有多个，本文仅从”广告SDK及一键达apk的安装、运行构成非法控制计算机信息系统“这一争议焦点入手，从广告SDK、一键达apk的安装和运行方式等角度做简要分析，目的是的进一步厘清广告SDK的预装行为、apk的静默安装等的运行后果与本案的定罪量刑之间的关联度，供参考。

那么，在前述案例中，广告SDK和一键达apk分别在多大程度上实现了对计算机信息系统的非法控制？

首先，在法院审理查明的事实中，可以看到被告人要实现的目的是：

“由北京团队提供广告SDK工具包，手机商将广告SDK工具包预装到智能手机系统（以下简称手机）中，并使广告SDK获取系统权限，北京团队则根据存活率按安装台数或以广告费收入分成的方式向手机商支付费用。

装有广告SDK的手机在用户首次开机联网时，广告SDK即通过互联网与后台服务器连接，在用户不知情的情况下向后台服务器上传imei、imsi等用户信息、自动更新广告SDK版本等，并根据与手机商达成的运营方案通过服务端（即BOSS系统）对推送方式、内容及频率等进行配置，向用户推送商业性电子信息，从而产生广告费收入。“

根据此案描述，被告方为达目的执行了以下几个关键操作，分别是：SDK预装，使广告SDK获取系统权限、上传用户信息、向用户推送广告。

第一个行为：SDK预装。这个行为需借由手机厂商才能完成。因为常规的SDK，须以APP为载体，而APP需要在应用市场通过审核后才能上架；APP上架后，再经由个人用户自主选择后下载到自己的手机中。所以，该预装行为是跳过了应用商店和APP开发者的合规审核、个人用户的主动选择、下载等一系列常规操作，而直接出现在了手机中。而除预装这个情形之外，无论是广告SDK还是任何类型的SDK，也不管其功能多强大，SDK自身都无法实现主动埋入系统中。

第二个行为：广告SDK获取系统权限。之所以要强调这句话是因为常规情况下，SDK必须通过APP才能获取系统权限，SDK自身是无法直接获取系统权限的，并且SDK从APP获取到的系统权限是小于或等于APP的系统权限的，APP没有的系统权限SDK也获取不到。而本案中，是被告经由手机厂商的预装操作才使得其开发的SDK跳过了APP而直接获取了系统权限。

第三个行为：上传用户信息。此处的重点是被告在用户不知情的情况下，向后台上传IMEI、IMSI等，也就是在前面的预装、直接获取系统权限的违规操作，实现了其未获得用户的授权同意而收集了个人信息的行为。

第四个行为：向用户推送广告。这里的重点是，如果被告只完成前述三个动作——即与手机厂商“合谋”实现的：被告开发的广告SDK预装、SDK获取系统权限及上传用户信息，是完全无法实现其推送广告的商业目的的。而推送行为才是被告实现其商业目的的最重要步骤，也是导致本案危害后果的根本原因。对此，需要着重分析。先来看法院审理查明的相关事实描述：

“利用广告SDK的静默安装功能自动下载并安装“一键达apk”，“一键达apk”在用户点击推送的文章或新闻后自动下载公众号二维码图片，利用手机辅助功能模拟用户操作，使用户微信自动识别下载的二维码图片，关注瑞徕公司运营的公众号，并定期自动清理相册中的二维码图片。而一键达apk的目的是为了实现微信公众号粉丝量快速增长，从而利用大量的粉丝资源点击广告谋取利益。”

到这里我们发现，被告这个广告SDK还带有静默安装的功能——即在用户不知情的情况下，自动下载并安装某个apk（也就是本案中名为“一键达“的apk）。被告通过这种“一拖二”的模式，实现被告所运营的微信公众号粉丝快速增长，从而利用粉丝的广告点击行为谋取利益。换句话说，静默安装apk从而实现推送广告才是对计算机信息系统构成非法控制的行为，而静默安装功能并不是必然经由广告SDK才能实现的，而是被告先为了实现静默安装的目的，有意识地选择了广告SDK作为载体，当然被告也可以选择其他载体。因此，广告SDK在本案中并没有参与非法控制计算机信息系统的行为。罪魁祸首是通过静默安装功能“落地”的一键达apk，及其模拟用户关注公众号、删除相册照片的行为，目前，能够被嵌入到APP中的SDK，可以说都是不可能具备静默安装功能的，并且SDK也不可能被允许直接预装到正规手机厂商的手机中，首先，SDK需要通过APP的严格审核及检测，确保其所收集的个人信息与其功能相匹配，并且在其隐私政策中做了详细披露；其次，SDK在通过了APP的审核后，APP也需在其隐私政策中披露SDK的名称、类型、所属公司名称、所收集的个人信息类型、处理目的、处理方式；再次，APP在完成了前述操作后，也需要经过应用市场的上架审核。所以，市面上常规能够运行的SDK是不可能实现预装、静默安装、自动下载安装任何apk的，更不用说本案所涉及的推送广告功能了。

总结一下，要想实现本案中的一系列操作，需要完成：

1、广告SDK预装在手机系统中。这个预装动作很关键，预装为意味着技术上可违规操作空间很大，数据处理上没有获得授权同意。

2、利用“一键达”apk等程序使用户手机执行了一系列操作：获取用户信息，自动上传、下载、删除数据，弹出广告、调用手机辅助功能自动模拟用户操作等等。

综上，实现上述违规操作的前提是：

1、被告将静默安装功能定制开发到广告SDK中（常规的SDK都没有该功能）；

2、被告启动了静默安装功能自动下载了一键达apk；

3、一键达apk在向用户推送广告的方式上具有伪装性，

4、被告利用手机辅助功能模拟用户的操作行为，实现用户关注公众号的行为。

综上，前述的4个行为须层层叠加、一环扣一环才能实现被告的目的，从而构成本案的结论。而这4个行为在现有的法律框架及数据合规监管下，每一个行为都无法独立实现。因此，我们的关注点也应是违法违规的具体行为本身，例如预装、静默安装、模拟用户操作等非法控制行为，以及相应的场景、危害，而非仅从某一个技术名词、技术方法、产业生态去切入，去定性。

（文章来源：CCIA数据安全工作委员会）