◆張悅

行業(yè)與應(yīng)用安全

移動(dòng)APP個(gè)人信息安全合規(guī)測(cè)試

◆張悅

（湖北省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)院 湖北 430061）

當(dāng)前移動(dòng)應(yīng)用程序（APP）收集使用個(gè)人信息存在個(gè)人信息泄露等安全風(fēng)險(xiǎn)，相關(guān)部門(mén)和機(jī)構(gòu)針對(duì)這一問(wèn)題制定了一系列政策、法規(guī)和國(guó)家標(biāo)準(zhǔn)。本文分析總結(jié)了其中移動(dòng)APP個(gè)人信息安全相關(guān)的主要要求，列舉了合規(guī)測(cè)試的主要內(nèi)容，并提出了一套適用于第三方測(cè)評(píng)機(jī)構(gòu)實(shí)施的測(cè)試方案。

APP；個(gè)人信息安全；軟件測(cè)試

1 引言

近年來(lái)，隨著移動(dòng)通信技術(shù)與移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，以智能手機(jī)為代表的各類智能終端迅速普及，可穿戴智能設(shè)備、智能家居等IOT設(shè)備也逐漸形成生態(tài)。移動(dòng)智能終端依靠其豐富的感知能力，滲透到人們生活工作的各個(gè)方面，而安裝在移動(dòng)智能終端上種類繁多的應(yīng)用程序（APP）正是提供各類服務(wù)的主要渠道。一方面，APP依靠智能終端收集到的各類信息作為向用戶提供服務(wù)的依據(jù)，APP開(kāi)發(fā)商也能通過(guò)信息采集改進(jìn)技術(shù)從而提高服務(wù)質(zhì)量、降低成本；另一方面，各類信息的違規(guī)采集將可能造成用戶個(gè)人信息的濫用及泄露，而泄露的信息往往被用于商業(yè)推廣甚至被犯罪分子用于網(wǎng)絡(luò)詐騙，這已成為廣大個(gè)人用戶信息安全、合法權(quán)益和社會(huì)公共利益的嚴(yán)重威脅。

工業(yè)和信息化部信息通信管理局已提出工作要求：開(kāi)展檢測(cè)檢查，組織第三方檢測(cè)機(jī)構(gòu)對(duì)APP、SDK進(jìn)行技術(shù)檢測(cè)，對(duì)應(yīng)用分發(fā)平臺(tái)的主體責(zé)任落實(shí)情況進(jìn)行監(jiān)督檢查[1]。本文探討了國(guó)內(nèi)政策、法規(guī)、標(biāo)準(zhǔn)中與APP個(gè)人信息保護(hù)相關(guān)的主要要求，并提出了適用于第三方測(cè)評(píng)機(jī)構(gòu)實(shí)施的移動(dòng)APP個(gè)人信息安全合規(guī)測(cè)試方案。

2 現(xiàn)狀與要求

因移動(dòng)APP行業(yè)仍在高速發(fā)展階段，因此個(gè)人信息安全問(wèn)題也仍在逐步暴露，政策、法規(guī)及國(guó)家標(biāo)準(zhǔn)等規(guī)范規(guī)定還在不斷細(xì)化完善的過(guò)程中[2]，文獻(xiàn)3較為詳細(xì)地列舉了截至2019年6月的相關(guān)文件，其中部分當(dāng)時(shí)尚未執(zhí)行的文件現(xiàn)已發(fā)行實(shí)施或更新，如《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》已于當(dāng)年11月印發(fā)[4]，GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》也于2020年3月發(fā)布2020版本，該版本將于2020年10月1日實(shí)施[5]。

當(dāng)前，APP個(gè)人信息安全方面直接相關(guān)的特別法為《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱為《網(wǎng)絡(luò)安全法》，其第4章規(guī)范了網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)個(gè)人信息的收集與使用，也要求任何個(gè)人與組織提供的應(yīng)用軟件不得設(shè)置惡意程序，顯然也適用于移動(dòng)APP。

該領(lǐng)域的國(guó)家標(biāo)準(zhǔn)即GB/T 35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱為《個(gè)人信息安全規(guī)范》），其規(guī)定了開(kāi)展收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開(kāi)披露、刪除等個(gè)人信息處理活動(dòng)應(yīng)遵循的原則和安全要求。因其適用范圍基本涵蓋了個(gè)人信息控制者的各項(xiàng)活動(dòng)，而移動(dòng)APP通常只是個(gè)人信息主體與個(gè)人信息控制者的媒介，因此《個(gè)人信息安全規(guī)范》中與移動(dòng)APP關(guān)聯(lián)最密切的部分是個(gè)人信息的收集、個(gè)人敏感信息的傳輸、個(gè)人信息主體的權(quán)利、個(gè)人信息的委托處理、共享、轉(zhuǎn)讓等內(nèi)容。此外，其附錄提供的示例與模板，可用于判斷移動(dòng)APP的個(gè)人信息保護(hù)政策是否滿足該標(biāo)準(zhǔn)的要求。

《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》則明確了移動(dòng)APP的部分違法違規(guī)行為，對(duì)部分描述性表達(dá)進(jìn)行了量化，因此具有較強(qiáng)的可操作性。

以上述文件為主要依據(jù)，可列舉移動(dòng)APP個(gè)人信息安全合規(guī)測(cè)試的主要內(nèi)容和要求，如表1所示。

表1 移動(dòng)APP個(gè)人信息安全合規(guī)測(cè)試主要內(nèi)容

3 測(cè)試步驟與方法

第三方測(cè)評(píng)機(jī)構(gòu)往往只能應(yīng)用黑盒測(cè)試對(duì)APP的安裝包進(jìn)行合規(guī)測(cè)試，因此難以驗(yàn)證APP對(duì)個(gè)人信息收集之后的處理、存儲(chǔ)、傳輸，更無(wú)法直接驗(yàn)證服務(wù)器端對(duì)個(gè)人信息的使用[6]。但是，只要充分限制了APP對(duì)個(gè)人信息的不合規(guī)收集，就能在極大程度上避免其后續(xù)使用中的風(fēng)險(xiǎn)。不同于當(dāng)前對(duì)市場(chǎng)現(xiàn)有的APP作統(tǒng)計(jì)性研究[7，8]，我們以APP對(duì)個(gè)人信息的收集為重點(diǎn)，結(jié)合測(cè)試操作邏輯，設(shè)計(jì)了移動(dòng)APP個(gè)人信息安全合規(guī)測(cè)試的步驟：

（1）安裝APP并判斷其是否通過(guò)合規(guī)的方式提供了個(gè)人信息保護(hù)政策（隱私政策）；

（2）閱讀該隱私政策，判斷其自述的獲取使用個(gè)人信息相關(guān)行為是否合規(guī)并記錄其中對(duì)個(gè)人信息的收集和使用方法；

（3）使用軟件測(cè)試方法驗(yàn)證APP對(duì)個(gè)人信息的收集行為是否與隱私政策相一致；

（4）其他安全性驗(yàn)證。

未特別注明時(shí)，下列步驟均可通過(guò)在智能手機(jī)真機(jī)或者虛擬機(jī)中的模擬測(cè)試環(huán)境中安裝被測(cè)APP并人工測(cè)試完成。

3.1 隱私政策的提供

《個(gè)人信息安全規(guī)范》規(guī)定，個(gè)人信息控制者應(yīng)通過(guò)個(gè)人信息保護(hù)政策，明確其向個(gè)人信息主體收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則，將該政策告知個(gè)人信息主體，并獲得其授權(quán)。移動(dòng)APP中，該政策通常被命名為“隱私政策”。因此，首先應(yīng)確認(rèn)APP按要求提供了隱私政策。對(duì)隱私政策展示方法的要求包括：

（1）APP首次運(yùn)行時(shí)，應(yīng)通過(guò)彈窗等明顯方式提示用戶閱讀隱私政策；

（2）APP主界面中，應(yīng)能在不多于4次點(diǎn)擊操作訪問(wèn)到隱私政策；

（3）隱私政策的字體、顏色應(yīng)易于辨識(shí)；

（4）應(yīng)提供簡(jiǎn)體中文版隱私政策。

3.2 隱私政策的合規(guī)性判斷

在判讀隱私政策時(shí)，首先應(yīng)判斷其內(nèi)容的完整性，然后分析其內(nèi)容是否滿足第2節(jié)所述文件中提出的各項(xiàng)原則與基本要求。

隱私政策應(yīng)完整包含《個(gè)人信息安全規(guī)范》所要求的內(nèi)容，如下：

（1）個(gè)人信息控制者的主體身份、聯(lián)系方式等基本信息；

（2）APP基本業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能的劃分；

（3）各業(yè)務(wù)收集的個(gè)人信息類型及使用方法，對(duì)個(gè)人信息的委托處理、共享、轉(zhuǎn)讓公開(kāi)披露的說(shuō)明。其中個(gè)人敏感信息應(yīng)突出顯示；

（4）個(gè)人信息控制者對(duì)個(gè)人信息的安全的保護(hù)措施及安全風(fēng)險(xiǎn)提示；

（5）個(gè)人信息主體對(duì)其個(gè)人信息的權(quán)利說(shuō)明，如對(duì)其個(gè)人信息的訪問(wèn)、修改、刪除、變更授權(quán)、注銷賬戶等等；

（6）若可能存在未成年人用戶，則應(yīng)包含《個(gè)人信息安全規(guī)范》5.4節(jié)中對(duì)未成年人的特殊條款；

（7）個(gè)人信息主體詢問(wèn)、投訴、舉報(bào)的方式與機(jī)制。

判斷隱私政策的內(nèi)容是否合規(guī)，則應(yīng)遵照目的明確、選擇同意、最小必要、公開(kāi)透明等基本原則，實(shí)際測(cè)試中，主要關(guān)注以下方面：

（1）不應(yīng)存以欺詐、誘騙、誤導(dǎo)性描述獲取授權(quán)；

（2）收集的個(gè)人信息類型應(yīng)與業(yè)務(wù)功能直接關(guān)聯(lián)，即缺乏相關(guān)個(gè)人信息時(shí)該功能無(wú)法實(shí)現(xiàn)；

（3）基礎(chǔ)業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能劃分合理，不存在捆綁；

（4）不應(yīng)僅以改善服務(wù)指梁、提升使用體驗(yàn)、研發(fā)新產(chǎn)品、增強(qiáng)安全性等為由強(qiáng)制要求個(gè)人信息主體同意收集個(gè)人信息。

3.3 個(gè)人信息收集測(cè)試

若APP的隱私協(xié)議合規(guī)，則應(yīng)進(jìn)一步驗(yàn)證APP收集個(gè)人信息的行為是否與其隱私協(xié)議描述相一致且符合要求。在移動(dòng)智能設(shè)備中，個(gè)人信息一般通過(guò)用戶輸入、設(shè)備系統(tǒng)信息、傳感器信號(hào)等方式輸入設(shè)備，因此，可通過(guò)分析被測(cè)APP向操作系統(tǒng)申請(qǐng)權(quán)限及訪問(wèn)系統(tǒng)權(quán)限的過(guò)程，來(lái)判斷其對(duì)個(gè)人信息的收集是否與隱私政策一致。具體來(lái)說(shuō)，可通過(guò)模擬正常用戶使用，并比對(duì)操作系統(tǒng)提供的權(quán)限訪問(wèn)記錄中記載的被測(cè)APP的權(quán)限訪問(wèn)過(guò)程，判斷其對(duì)個(gè)人信息的收集是否符合以下要求：

（1）不存在隱私協(xié)議中未注明的個(gè)人信息收集；

（2）收集個(gè)人信息時(shí)，明確告知用戶其目的，并獲得個(gè)人信息主體的明示同意；

（3）在個(gè)人信息主體明示同意前或拒絕后，不收集相關(guān)個(gè)人信息；

（4）收集的個(gè)人信息不超出個(gè)人信息主體授權(quán)范圍；

（5）收集個(gè)人信息的頻率不高于業(yè)務(wù)功能需要；

（6）拒絕某一授權(quán)后，48小時(shí)內(nèi)不再重復(fù)征求授權(quán)；

（7）提供了個(gè)人信息的訪問(wèn)、修改、刪除、變更授權(quán)、注銷賬戶等操作的路徑，且操作過(guò)程中沒(méi)有不合理的額外個(gè)人信息收集或條件限制。

3.4 其他安全測(cè)試

（1）個(gè)人敏感信息的存儲(chǔ)與傳輸。因存儲(chǔ)與傳輸過(guò)程易受到外部攻擊造成個(gè)人信息泄露，《個(gè)人信息安全規(guī)范》要求個(gè)人敏感信息在傳輸和存儲(chǔ)時(shí)應(yīng)采用加密等安全措施。當(dāng)被測(cè)APP需存儲(chǔ)或傳輸個(gè)人敏感信息時(shí)，可通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包分析工具對(duì)其通信流量進(jìn)行分析，判斷其中是否包含明文傳輸?shù)膫€(gè)人敏感信息。

（2）個(gè)人信息的委托處理與共享。移動(dòng)APP側(cè)的個(gè)人信息委托處理與共享一般通過(guò)第三方軟件開(kāi)發(fā)包（SDK）實(shí)現(xiàn)。當(dāng)被測(cè)APP使用了第三方SDK時(shí)，可通過(guò)安全分析工具對(duì)其安全性進(jìn)行檢測(cè)。

4 風(fēng)險(xiǎn)與問(wèn)題

如上一章節(jié)所述，本文所涉及的個(gè)人信息安全測(cè)試是針對(duì)單一被測(cè)APP的黑盒測(cè)試，這一測(cè)試方法難以分辨通過(guò)破壞性手段非法獲取個(gè)人信息的惡意軟件，也難以保證其他惡意軟件對(duì)被測(cè)APP合法獲取的個(gè)人信息的竊取。實(shí)踐中，這類安全問(wèn)題往往需要通過(guò)操作系統(tǒng)級(jí)的安全工具來(lái)保障。另一方面，雖然移動(dòng)APP是整個(gè)移動(dòng)互聯(lián)網(wǎng)產(chǎn)品或服務(wù)的一個(gè)重要環(huán)節(jié)，但個(gè)人信息安全問(wèn)題同樣涉及通信鏈路和服務(wù)端。因此，個(gè)人信息安全問(wèn)題是一個(gè)系統(tǒng)問(wèn)題，需要全產(chǎn)業(yè)鏈的監(jiān)督與管理。

5 結(jié)束語(yǔ)

在當(dāng)今這個(gè)互聯(lián)網(wǎng)時(shí)代，隨著大數(shù)據(jù)挖掘與分析技術(shù)不斷發(fā)展，用戶個(gè)人信息的價(jià)值進(jìn)一步凸顯，擁有一個(gè)安全合規(guī)的使用環(huán)境成為每個(gè)移動(dòng)APP用戶的共同訴求。本文提出的測(cè)試方法能夠有效促進(jìn)移動(dòng)APP收集使用個(gè)人信息的規(guī)范化，推動(dòng)個(gè)人信息安全健康發(fā)展。

[1]工業(yè)和信息化部.工業(yè)和信息化部關(guān)于開(kāi)展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知[EB/OL]．http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c8027149/content.html，2020.

[2]樊華，張曉梅.App違法違規(guī)收集使用個(gè)人信息評(píng)估工作及發(fā)現(xiàn)典型問(wèn)題分析[J]．保密科學(xué)技術(shù)，2019（10）：34-39.

[3]魏昂，李東格，呂堯.基于APP的個(gè)人隱私安全保護(hù)研究[J]．網(wǎng)絡(luò)空間安全，2019，10（8）：31-35．

[4]國(guó)家互聯(lián)網(wǎng)信息辦公室秘書(shū)局、工業(yè)和信息化部辦公廳、公安部辦公廳、國(guó)家市場(chǎng)監(jiān)督管理總局辦公廳.關(guān)于印發(fā)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》的通知[EB/OL]．http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm，2019.

[5]國(guó)家市場(chǎng)監(jiān)督管理總局.GB/T 35273-2020，信息安全技術(shù)個(gè)人信息安全規(guī)范[S].北京：國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，2020.

[6]顏慧穎，潘璠，安慶杰等.網(wǎng)絡(luò)安全技術(shù)專題講座（二）第4講 Android APP隱私泄露檢測(cè)技術(shù)研究進(jìn)展[J]．軍事通信技術(shù)，2017，38（1）：97-104.

[7]李延舜.我國(guó)移動(dòng)應(yīng)用軟件隱私政策的合規(guī)審查及完善—基于49例隱私政策的文本考察[J]．法商研究，2019（5）：26-39.

[8]李澤睿，田宇琛，張偉哲, 等.中國(guó)移動(dòng)應(yīng)用隱私政策研究[J]．網(wǎng)絡(luò)空間安全，2020，11（6）：57-68.

湖北省市場(chǎng)監(jiān)督管理局科技計(jì)劃項(xiàng)目（項(xiàng)目編號(hào)：Hbscjg-kj201917）