◆彭銘

APP個(gè)人數(shù)據(jù)安全指數(shù)計(jì)算模型研究

◆彭銘

（鄭州云智信安安全技術(shù)有限公司 河南 450001）

信息技術(shù)和APP應(yīng)用廣泛普及，并通過(guò)各種互聯(lián)網(wǎng)便利技術(shù)，滿足人們快速獲取信息的搜索、足不出戶的物品采購(gòu)、人與人之間在不同時(shí)間不同地域的信息交流與溝通等方面的需求。由于在安裝應(yīng)用程序時(shí)，APP應(yīng)用會(huì)要求獲取一定的用戶授權(quán)，因此存在個(gè)人信息數(shù)據(jù)泄漏風(fēng)險(xiǎn)。本文提出了關(guān)于APP應(yīng)用涉及個(gè)人信息數(shù)據(jù)安全風(fēng)險(xiǎn)計(jì)算模型，提高網(wǎng)上個(gè)人信息安全與個(gè)人數(shù)據(jù)安全，保證人們自身利益和促進(jìn)社會(huì)的和諧發(fā)展。

信息技術(shù)；APP應(yīng)用；計(jì)算模型；個(gè)人信息安全；個(gè)人數(shù)據(jù)安全

1 前言

我國(guó)對(duì)“智慧城市”、“智能家居”以及“數(shù)字中國(guó)”的大力發(fā)展，涉及科學(xué)技術(shù)快速的提升和推廣，尤其是計(jì)算機(jī)信息技術(shù)和APP應(yīng)用得到了前所未有的快速推廣和普及。計(jì)算機(jī)技術(shù)與互聯(lián)網(wǎng)技術(shù)已經(jīng)融入人們的生活中，通過(guò)各種的互聯(lián)網(wǎng)便利技術(shù)，滿足人們快速獲取信息的搜索、足不出戶的物品采購(gòu)、人與人之間在不同時(shí)間不同地域的信息交流與溝通等方面的需求。但是，便利快捷的背后也隱藏了巨大的個(gè)人信息數(shù)據(jù)安全隱患，在金錢(qián)利益的驅(qū)動(dòng)下，進(jìn)行嚴(yán)重違法犯罪的行為，如非法盜取個(gè)人信息并進(jìn)行販賣、詐騙等違法行為。為了有效杜絕違法行為，提高互聯(lián)網(wǎng)環(huán)境個(gè)人信息數(shù)據(jù)的安全性，本文提出了關(guān)于APP應(yīng)用涉及個(gè)人信息數(shù)據(jù)安全風(fēng)險(xiǎn)計(jì)算模型，提高網(wǎng)上個(gè)人信息數(shù)據(jù)安全性，保證人們自身利益和促進(jìn)社會(huì)和諧發(fā)展。

2 APP應(yīng)用安全指數(shù)計(jì)算模型的設(shè)計(jì)

APP個(gè)人數(shù)據(jù)安全指數(shù)計(jì)算模型的設(shè)計(jì)主要是APP應(yīng)用的使用過(guò)程中，為個(gè)人數(shù)據(jù)安全提供風(fēng)險(xiǎn)評(píng)估，其安全指數(shù)計(jì)算模型設(shè)計(jì)主要分為為個(gè)人數(shù)據(jù)安全提供風(fēng)險(xiǎn)評(píng)估方法設(shè)計(jì)以及為個(gè)人數(shù)據(jù)安全提供風(fēng)險(xiǎn)評(píng)估裝置設(shè)計(jì)。主要依據(jù)對(duì)APP應(yīng)用在使用的過(guò)程中收集個(gè)人數(shù)據(jù)的動(dòng)機(jī)進(jìn)行分析和研判，并結(jié)合智能終端設(shè)備中的存儲(chǔ)器、處理器以及相關(guān)的程序指令等要素，對(duì)個(gè)人數(shù)據(jù)安全的影響程度，作為風(fēng)險(xiǎn)要素并進(jìn)行賦值，同時(shí)利用構(gòu)建好的安全指數(shù)計(jì)算模型進(jìn)行計(jì)算，以得到APP應(yīng)用的總體風(fēng)險(xiǎn)指數(shù)并進(jìn)行反饋用戶，為用戶對(duì)APP應(yīng)用的風(fēng)險(xiǎn)情況提供直觀明了的結(jié)果，實(shí)現(xiàn)對(duì)安裝的APP應(yīng)用程序進(jìn)行風(fēng)險(xiǎn)評(píng)估，從而為用戶選擇低風(fēng)險(xiǎn)的同類APP應(yīng)用進(jìn)行安裝使用，降低用戶個(gè)人信息數(shù)據(jù)泄露的風(fēng)險(xiǎn)，提高個(gè)人數(shù)據(jù)的安全性。

2.1 APP應(yīng)用個(gè)人數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估方法

APP應(yīng)用個(gè)人數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估方法主要是針對(duì)APP應(yīng)用在使用過(guò)程中，對(duì)APP應(yīng)用在對(duì)個(gè)人信息數(shù)據(jù)收集的動(dòng)機(jī)風(fēng)險(xiǎn)進(jìn)行分析和判斷。其風(fēng)險(xiǎn)評(píng)估方法主要有如下幾個(gè)步驟：

（1）通過(guò)獲取智能終端中各APP應(yīng)用的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素；并將對(duì)應(yīng)APP應(yīng)用的所有個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素傳輸至預(yù)先建立的模型風(fēng)險(xiǎn)庫(kù)中，然后進(jìn)行這些個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素的匹配賦值；其中，所述賦值包括為各匹配的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素賦予對(duì)應(yīng)的分值和權(quán)重。

（2）將匹配賦值后的各風(fēng)險(xiǎn)要素送入預(yù)先構(gòu)建的計(jì)算模型中進(jìn)行分別計(jì)算，以得到每一項(xiàng)個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)指數(shù)。

每一項(xiàng)個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)指數(shù)通過(guò)公式（1）進(jìn)行計(jì)算：

其中，約定∈+且≥3，本案中=16。

當(dāng)賦值時(shí)以1-10分值對(duì)各風(fēng)險(xiǎn)要素進(jìn)行賦值，并根據(jù)每個(gè)風(fēng)險(xiǎn)要素對(duì)整體風(fēng)險(xiǎn)影響程度，設(shè)置權(quán)重值，且各權(quán)重值之和為1。

（3）最后，再匯總各項(xiàng)所得的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)并進(jìn)行二次計(jì)算，以得到所對(duì)應(yīng)APP應(yīng)用的總體個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)，并以數(shù)據(jù)量化的直觀方式呈現(xiàn)給用戶。

2.2 APP應(yīng)用個(gè)人數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估裝置

APP應(yīng)用個(gè)人數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估裝置主要由應(yīng)用程序信息提取模塊、信息匹配關(guān)聯(lián)模塊以及風(fēng)險(xiǎn)評(píng)估模塊等三部分組成，結(jié)構(gòu)如圖1所示。

圖1 APP應(yīng)用個(gè)人信息數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估裝置結(jié)構(gòu)圖

該風(fēng)險(xiǎn)評(píng)估裝置的工作流程主要分為如下幾步。

（1）風(fēng)險(xiǎn)評(píng)估裝置。該裝置通過(guò)應(yīng)用程序信息提取模塊信息，獲取智能終端中各APP應(yīng)用的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素?cái)?shù)據(jù)。

（2）將各APP應(yīng)用的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素?cái)?shù)據(jù)傳輸至信息匹配關(guān)聯(lián)模塊中，用于信息匹配；

其中將對(duì)應(yīng)APP應(yīng)用的所有個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素傳送至預(yù)先建立的風(fēng)險(xiǎn)庫(kù)中進(jìn)行匹配賦值；所述賦值包括為各匹配的風(fēng)險(xiǎn)要素賦予對(duì)應(yīng)的分值和權(quán)重；

（3）然后，風(fēng)險(xiǎn)評(píng)估模塊將匹配賦值后的各風(fēng)險(xiǎn)要素送入預(yù)先構(gòu)建的計(jì)算模型中進(jìn)行計(jì)算，以得到每一項(xiàng)風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)指數(shù)。

（4）最后，再匯總各項(xiàng)所得的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)并進(jìn)行二次計(jì)算，以得到所對(duì)應(yīng)APP應(yīng)用的總體個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)并進(jìn)行反饋。

3 模型運(yùn)算方式

3.1 風(fēng)險(xiǎn)評(píng)估方法實(shí)施方式

APP應(yīng)用個(gè)人信息數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估方法的工作流程主要分為四部分，具體流程如圖2所示。

圖2 APP應(yīng)用個(gè)人信息數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估方法工作流程圖

應(yīng)用個(gè)人信息數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估方法工作流程如下：

（1）在S101層，風(fēng)險(xiǎn)評(píng)估方法獲取智能終端中各APP應(yīng)用的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素，例如，存儲(chǔ)、相機(jī)、位置、麥克風(fēng)和通訊錄等。

（2）通過(guò)S102層，將對(duì)應(yīng)APP應(yīng)用的所有個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素傳送至預(yù)先建立的風(fēng)險(xiǎn)庫(kù)中進(jìn)行匹配賦值；其中，所述賦值包括為各匹配的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素賦予對(duì)應(yīng)的分值和權(quán)重。

根據(jù)相關(guān)法律、規(guī)范，對(duì)APP應(yīng)用收集個(gè)人信息的動(dòng)機(jī)進(jìn)行分析和研判，對(duì)比這些因素對(duì)個(gè)人數(shù)據(jù)安全的影響程度，挑選出影響較大且較為直接的因素，作為風(fēng)險(xiǎn)計(jì)算要素，以1-10分值對(duì)各要素進(jìn)行賦值，并根據(jù)每個(gè)要素對(duì)整體風(fēng)險(xiǎn)影響程度，設(shè)置權(quán)重值，且各權(quán)重值之和為1，數(shù)值越大，代表該因素涉?zhèn)€人數(shù)據(jù)風(fēng)險(xiǎn)越高。下面列舉現(xiàn)有智能終端APP應(yīng)用中出現(xiàn)的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)項(xiàng)中的16項(xiàng)風(fēng)險(xiǎn)要素，具體參數(shù)詳見(jiàn)表1。

表1 風(fēng)險(xiǎn)要素表

風(fēng)險(xiǎn)要素分值權(quán)重 隱私政策單獨(dú)成文且為本地文件無(wú)鏈接n1t1 強(qiáng)制索取APP隱私權(quán)限數(shù)量n2t2 安卓版APP的targetSdkVersion小于23n3t3 索取與當(dāng)前業(yè)務(wù)功能無(wú)關(guān)的個(gè)人信息授權(quán)數(shù)n4t4 APP開(kāi)屏推送廣告n5t5 通訊錄訪問(wèn)權(quán)限索取n6t6 短信訪問(wèn)權(quán)限索取n7t7 攝像頭訪問(wèn)權(quán)限索取n8t8 文件操作（或相冊(cè)）訪問(wèn)權(quán)限索取n9t9 錄音訪問(wèn)權(quán)限n10t10 身份證信息n11t11 APP侵犯?jìng)€(gè)人隱私投訴頻度n12t12 APP集成推送類SDK數(shù)量n13t13 APP集成SDK數(shù)量n14t14 自動(dòng)下載升級(jí)包或其他APP安裝包n15t15 網(wǎng)站強(qiáng)推（Web瀏覽強(qiáng)推其APP）n16t16

（3）在S103層，將匹配賦值后的各風(fēng)險(xiǎn)要素送入預(yù)先構(gòu)建的計(jì)算模型中進(jìn)行計(jì)算，以得到每一項(xiàng)風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)指數(shù)。

（4）在S104層，再匯總各項(xiàng)所得的風(fēng)險(xiǎn)指數(shù)并進(jìn)行二次計(jì)算，以得到所對(duì)應(yīng)APP應(yīng)用的總體個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)并進(jìn)行反饋。

該APP應(yīng)用設(shè)定好的總體個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)區(qū)間為1-100，其中設(shè)置風(fēng)險(xiǎn)指數(shù)值越高，說(shuō)明該APP應(yīng)用安全風(fēng)險(xiǎn)隱患越大，當(dāng)出現(xiàn)風(fēng)險(xiǎn)指數(shù)超過(guò)30，小于60的時(shí)候，就會(huì)觸發(fā)預(yù)先設(shè)置好的黃色警示提醒，如表明該APP應(yīng)用安全隱患出現(xiàn)問(wèn)題，讓用戶需要謹(jǐn)慎安裝該APP應(yīng)用。當(dāng)風(fēng)險(xiǎn)指數(shù)超過(guò)60數(shù)值的時(shí)候，就自動(dòng)彈出提前設(shè)置好的最高級(jí)別紅色警示對(duì)話框，提醒用戶該APP應(yīng)用安全隱患較大，盡量不要安裝該APP應(yīng)用，達(dá)到提高APP的個(gè)人數(shù)據(jù)安全性。

隨著信息技術(shù)的不斷發(fā)展，在對(duì)新的APP應(yīng)用進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)，新的APP應(yīng)用程序有可能會(huì)獲取一些不常見(jiàn)或是新的權(quán)限，會(huì)對(duì)后續(xù)的信息匹配產(chǎn)生不小的影響。如果出現(xiàn)個(gè)人數(shù)據(jù)安全指數(shù)計(jì)算模型的風(fēng)險(xiǎn)庫(kù)中不存在相同的匹配項(xiàng)，就需要依據(jù)語(yǔ)義相近的關(guān)系，對(duì)新的權(quán)限進(jìn)行匹配或直接賦予最高的分值和權(quán)重值。這樣就可以有效地提高安全數(shù)據(jù)指數(shù)計(jì)算模型在判斷方面的智能性。當(dāng)信息數(shù)據(jù)匹配出現(xiàn)沒(méi)有相近的情況時(shí)，就可以認(rèn)為其是高風(fēng)險(xiǎn)要素，并及時(shí)提醒用戶注意該風(fēng)險(xiǎn)，從而實(shí)現(xiàn)謹(jǐn)慎使用，降低個(gè)人數(shù)據(jù)信息泄漏的風(fēng)險(xiǎn)。

3.2 風(fēng)險(xiǎn)評(píng)估裝置實(shí)施方式

個(gè)人數(shù)據(jù)安全指數(shù)計(jì)算模型風(fēng)險(xiǎn)評(píng)估裝置實(shí)施的主要步驟如下。

（1）通過(guò)風(fēng)險(xiǎn)評(píng)估裝置對(duì)APP應(yīng)用程序信息進(jìn)行提取，用于獲取APP應(yīng)用涉?zhèn)€人數(shù)據(jù)的風(fēng)險(xiǎn)要素。

（2）對(duì)APP應(yīng)用的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素進(jìn)行信息匹配關(guān)聯(lián)模塊，并將這些APP應(yīng)用的個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)要素傳輸至預(yù)先建立的模型風(fēng)險(xiǎn)庫(kù)中，對(duì)其進(jìn)行匹配賦值，并對(duì)各匹配的風(fēng)險(xiǎn)要素賦予對(duì)應(yīng)的分值和權(quán)重；同時(shí)并根據(jù)每個(gè)風(fēng)險(xiǎn)要素對(duì)整體風(fēng)險(xiǎn)影響程度，對(duì)其進(jìn)行單獨(dú)的設(shè)置權(quán)重值。

（3）對(duì)風(fēng)險(xiǎn)評(píng)估模塊中的數(shù)據(jù)進(jìn)行計(jì)算，將匹配賦值后的各風(fēng)險(xiǎn)要素送入預(yù)先構(gòu)建的計(jì)算模型中進(jìn)行計(jì)算，以得到每一項(xiàng)風(fēng)險(xiǎn)要素的風(fēng)險(xiǎn)指數(shù)；

（4）再匯總各項(xiàng)所得的風(fēng)險(xiǎn)指數(shù)并進(jìn)行二次計(jì)算，以得到所對(duì)應(yīng)APP應(yīng)用的總體個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)指數(shù)并進(jìn)行反饋。

通過(guò)上述的幾個(gè)步驟來(lái)完成個(gè)人數(shù)據(jù)安全指數(shù)模型風(fēng)險(xiǎn)評(píng)估裝置實(shí)施方式，可以為安全指數(shù)計(jì)算模型提高相應(yīng)的智能性。并對(duì)信息匹配關(guān)聯(lián)模塊匹配時(shí)，當(dāng)出現(xiàn)不存在相同的匹配時(shí)，就需要依據(jù)語(yǔ)義相近的關(guān)系進(jìn)行匹配或直接賦予最高的分值和權(quán)重值，達(dá)到個(gè)人數(shù)據(jù)安全指數(shù)模型風(fēng)險(xiǎn)評(píng)估裝置實(shí)施的目的。

4 結(jié)束語(yǔ)

本文通過(guò)對(duì)APP應(yīng)用涉?zhèn)€人數(shù)據(jù)安全風(fēng)險(xiǎn)的研究與分析，提出APP應(yīng)用個(gè)人信息數(shù)據(jù)安全指數(shù)計(jì)算模型的風(fēng)險(xiǎn)評(píng)估方法以及裝置的設(shè)計(jì)理念，對(duì)APP應(yīng)用收集個(gè)人信息數(shù)據(jù)的動(dòng)機(jī)進(jìn)行分析和研判，并根據(jù)這些因素對(duì)個(gè)人數(shù)據(jù)安全的影響程度，挑選出影響較大且較為直接的因素，作為風(fēng)險(xiǎn)要素并進(jìn)行賦值，同時(shí)利用構(gòu)建的計(jì)算模型進(jìn)行計(jì)算，以得到APP應(yīng)用的總體風(fēng)險(xiǎn)指數(shù)并進(jìn)行反饋，從而選擇低風(fēng)險(xiǎn)的同類APP應(yīng)用進(jìn)行安裝使用，降低了個(gè)人信息數(shù)據(jù)泄漏的風(fēng)險(xiǎn)，并提高個(gè)人數(shù)據(jù)的安全性。

[1]《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》.國(guó)信辦秘字〔2019〕191號(hào)，2019.

[2]《中華人民共和國(guó)個(gè)人信息保護(hù)法》.

[3]《中華人民共和國(guó)數(shù)據(jù)安全法》.

[4]《信息安全技術(shù)個(gè)人信息安全規(guī)范》，GB/T35273-2020.