移動APP個人信息安全合規(guī)測試

◆張悅

行業(yè)與應(yīng)用安全

移動APP個人信息安全合規(guī)測試

◆張悅

（湖北省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)院 湖北 430061）

當(dāng)前移動應(yīng)用程序（APP）收集使用個人信息存在個人信息泄露等安全風(fēng)險，相關(guān)部門和機(jī)構(gòu)針對這一問題制定了一系列政策、法規(guī)和國家標(biāo)準(zhǔn)。本文分析總結(jié)了其中移動APP個人信息安全相關(guān)的主要要求，列舉了合規(guī)測試的主要內(nèi)容，并提出了一套適用于第三方測評機(jī)構(gòu)實(shí)施的測試方案。

APP；個人信息安全；軟件測試

1 引言

近年來，隨著移動通信技術(shù)與移動互聯(lián)網(wǎng)的快速發(fā)展，以智能手機(jī)為代表的各類智能終端迅速普及，可穿戴智能設(shè)備、智能家居等IOT設(shè)備也逐漸形成生態(tài)。移動智能終端依靠其豐富的感知能力，滲透到人們生活工作的各個方面，而安裝在移動智能終端上種類繁多的應(yīng)用程序（APP）正是提供各類服務(wù)的主要渠道。一方面，APP依靠智能終端收集到的各類信息作為向用戶提供服務(wù)的依據(jù)，APP開發(fā)商也能通過信息采集改進(jìn)技術(shù)從而提高服務(wù)質(zhì)量、降低成本；另一方面，各類信息的違規(guī)采集將可能造成用戶個人信息的濫用及泄露，而泄露的信息往往被用于商業(yè)推廣甚至被犯罪分子用于網(wǎng)絡(luò)詐騙，這已成為廣大個人用戶信息安全、合法權(quán)益和社會公共利益的嚴(yán)重威脅。

工業(yè)和信息化部信息通信管理局已提出工作要求：開展檢測檢查，組織第三方檢測機(jī)構(gòu)對APP、SDK進(jìn)行技術(shù)檢測，對應(yīng)用分發(fā)平臺的主體責(zé)任落實(shí)情況進(jìn)行監(jiān)督檢查[1]。本文探討了國內(nèi)政策、法規(guī)、標(biāo)準(zhǔn)中與APP個人信息保護(hù)相關(guān)的主要要求，并提出了適用于第三方測評機(jī)構(gòu)實(shí)施的移動APP個人信息安全合規(guī)測試方案。

2 現(xiàn)狀與要求

因移動APP行業(yè)仍在高速發(fā)展階段，因此個人信息安全問題也仍在逐步暴露，政策、法規(guī)及國家標(biāo)準(zhǔn)等規(guī)范規(guī)定還在不斷細(xì)化完善的過程中[2]，文獻(xiàn)3較為詳細(xì)地列舉了截至2019年6月的相關(guān)文件，其中部分當(dāng)時尚未執(zhí)行的文件現(xiàn)已發(fā)行實(shí)施或更新，如《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》已于當(dāng)年11月印發(fā)[4]，GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》也于2020年3月發(fā)布2020版本，該版本將于2020年10月1日實(shí)施[5]。

當(dāng)前，APP個人信息安全方面直接相關(guān)的特別法為《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱為《網(wǎng)絡(luò)安全法》，其第4章規(guī)范了網(wǎng)絡(luò)運(yùn)營者對個人信息的收集與使用，也要求任何個人與組織提供的應(yīng)用軟件不得設(shè)置惡意程序，顯然也適用于移動APP。

該領(lǐng)域的國家標(biāo)準(zhǔn)即GB/T 35273《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱為《個人信息安全規(guī)范》），其規(guī)定了開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個人信息處理活動應(yīng)遵循的原則和安全要求。因其適用范圍基本涵蓋了個人信息控制者的各項(xiàng)活動，而移動APP通常只是個人信息主體與個人信息控制者的媒介，因此《個人信息安全規(guī)范》中與移動APP關(guān)聯(lián)最密切的部分是個人信息的收集、個人敏感信息的傳輸、個人信息主體的權(quán)利、個人信息的委托處理、共享、轉(zhuǎn)讓等內(nèi)容。此外，其附錄提供的示例與模板，可用于判斷移動APP的個人信息保護(hù)政策是否滿足該標(biāo)準(zhǔn)的要求。

《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》則明確了移動APP的部分違法違規(guī)行為，對部分描述性表達(dá)進(jìn)行了量化，因此具有較強(qiáng)的可操作性。

以上述文件為主要依據(jù)，可列舉移動APP個人信息安全合規(guī)測試的主要內(nèi)容和要求，如表1所示。

表1 移動APP個人信息安全合規(guī)測試主要內(nèi)容

3 測試步驟與方法

第三方測評機(jī)構(gòu)往往只能應(yīng)用黑盒測試對APP的安裝包進(jìn)行合規(guī)測試，因此難以驗(yàn)證APP對個人信息收集之后的處理、存儲、傳輸，更無法直接驗(yàn)證服務(wù)器端對個人信息的使用[6]。但是，只要充分限制了APP對個人信息的不合規(guī)收集，就能在極大程度上避免其后續(xù)使用中的風(fēng)險。不同于當(dāng)前對市場現(xiàn)有的APP作統(tǒng)計性研究[7，8]，我們以APP對個人信息的收集為重點(diǎn)，結(jié)合測試操作邏輯，設(shè)計了移動APP個人信息安全合規(guī)測試的步驟：

（1）安裝APP并判斷其是否通過合規(guī)的方式提供了個人信息保護(hù)政策（隱私政策）；

（2）閱讀該隱私政策，判斷其自述的獲取使用個人信息相關(guān)行為是否合規(guī)并記錄其中對個人信息的收集和使用方法；

（3）使用軟件測試方法驗(yàn)證APP對個人信息的收集行為是否與隱私政策相一致；

（4）其他安全性驗(yàn)證。

未特別注明時，下列步驟均可通過在智能手機(jī)真機(jī)或者虛擬機(jī)中的模擬測試環(huán)境中安裝被測APP并人工測試完成。

3.1 隱私政策的提供

《個人信息安全規(guī)范》規(guī)定，個人信息控制者應(yīng)通過個人信息保護(hù)政策，明確其向個人信息主體收集、使用個人信息的目的、方式和范圍等規(guī)則，將該政策告知個人信息主體，并獲得其授權(quán)。移動APP中，該政策通常被命名為“隱私政策”。因此，首先應(yīng)確認(rèn)APP按要求提供了隱私政策。對隱私政策展示方法的要求包括：

（1）APP首次運(yùn)行時，應(yīng)通過彈窗等明顯方式提示用戶閱讀隱私政策；

（2）APP主界面中，應(yīng)能在不多于4次點(diǎn)擊操作訪問到隱私政策；

（3）隱私政策的字體、顏色應(yīng)易于辨識；

（4）應(yīng)提供簡體中文版隱私政策。

3.2 隱私政策的合規(guī)性判斷

在判讀隱私政策時，首先應(yīng)判斷其內(nèi)容的完整性，然后分析其內(nèi)容是否滿足第2節(jié)所述文件中提出的各項(xiàng)原則與基本要求。

隱私政策應(yīng)完整包含《個人信息安全規(guī)范》所要求的內(nèi)容，如下：

（1）個人信息控制者的主體身份、聯(lián)系方式等基本信息；

（2）APP基本業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能的劃分；

（3）各業(yè)務(wù)收集的個人信息類型及使用方法，對個人信息的委托處理、共享、轉(zhuǎn)讓公開披露的說明。其中個人敏感信息應(yīng)突出顯示；

（4）個人信息控制者對個人信息的安全的保護(hù)措施及安全風(fēng)險提示；

（5）個人信息主體對其個人信息的權(quán)利說明，如對其個人信息的訪問、修改、刪除、變更授權(quán)、注銷賬戶等等；

（6）若可能存在未成年人用戶，則應(yīng)包含《個人信息安全規(guī)范》5.4節(jié)中對未成年人的特殊條款；

（7）個人信息主體詢問、投訴、舉報的方式與機(jī)制。

判斷隱私政策的內(nèi)容是否合規(guī)，則應(yīng)遵照目的明確、選擇同意、最小必要、公開透明等基本原則，實(shí)際測試中，主要關(guān)注以下方面：

（1）不應(yīng)存以欺詐、誘騙、誤導(dǎo)性描述獲取授權(quán)；

（2）收集的個人信息類型應(yīng)與業(yè)務(wù)功能直接關(guān)聯(lián)，即缺乏相關(guān)個人信息時該功能無法實(shí)現(xiàn)；

（3）基礎(chǔ)業(yè)務(wù)功能與擴(kuò)展業(yè)務(wù)功能劃分合理，不存在捆綁；

（4）不應(yīng)僅以改善服務(wù)指梁、提升使用體驗(yàn)、研發(fā)新產(chǎn)品、增強(qiáng)安全性等為由強(qiáng)制要求個人信息主體同意收集個人信息。

3.3 個人信息收集測試

若APP的隱私協(xié)議合規(guī)，則應(yīng)進(jìn)一步驗(yàn)證APP收集個人信息的行為是否與其隱私協(xié)議描述相一致且符合要求。在移動智能設(shè)備中，個人信息一般通過用戶輸入、設(shè)備系統(tǒng)信息、傳感器信號等方式輸入設(shè)備，因此，可通過分析被測APP向操作系統(tǒng)申請權(quán)限及訪問系統(tǒng)權(quán)限的過程，來判斷其對個人信息的收集是否與隱私政策一致。具體來說，可通過模擬正常用戶使用，并比對操作系統(tǒng)提供的權(quán)限訪問記錄中記載的被測APP的權(quán)限訪問過程，判斷其對個人信息的收集是否符合以下要求：

（1）不存在隱私協(xié)議中未注明的個人信息收集；

（2）收集個人信息時，明確告知用戶其目的，并獲得個人信息主體的明示同意；

（3）在個人信息主體明示同意前或拒絕后，不收集相關(guān)個人信息；

（4）收集的個人信息不超出個人信息主體授權(quán)范圍；

（5）收集個人信息的頻率不高于業(yè)務(wù)功能需要；

（6）拒絕某一授權(quán)后，48小時內(nèi)不再重復(fù)征求授權(quán)；

（7）提供了個人信息的訪問、修改、刪除、變更授權(quán)、注銷賬戶等操作的路徑，且操作過程中沒有不合理的額外個人信息收集或條件限制。

3.4 其他安全測試

（1）個人敏感信息的存儲與傳輸。因存儲與傳輸過程易受到外部攻擊造成個人信息泄露，《個人信息安全規(guī)范》要求個人敏感信息在傳輸和存儲時應(yīng)采用加密等安全措施。當(dāng)被測APP需存儲或傳輸個人敏感信息時，可通過網(wǎng)絡(luò)數(shù)據(jù)包分析工具對其通信流量進(jìn)行分析，判斷其中是否包含明文傳輸?shù)膫€人敏感信息。

（2）個人信息的委托處理與共享。移動APP側(cè)的個人信息委托處理與共享一般通過第三方軟件開發(fā)包（SDK）實(shí)現(xiàn)。當(dāng)被測APP使用了第三方SDK時，可通過安全分析工具對其安全性進(jìn)行檢測。

4 風(fēng)險與問題

如上一章節(jié)所述，本文所涉及的個人信息安全測試是針對單一被測APP的黑盒測試，這一測試方法難以分辨通過破壞性手段非法獲取個人信息的惡意軟件，也難以保證其他惡意軟件對被測APP合法獲取的個人信息的竊取。實(shí)踐中，這類安全問題往往需要通過操作系統(tǒng)級的安全工具來保障。另一方面，雖然移動APP是整個移動互聯(lián)網(wǎng)產(chǎn)品或服務(wù)的一個重要環(huán)節(jié)，但個人信息安全問題同樣涉及通信鏈路和服務(wù)端。因此，個人信息安全問題是一個系統(tǒng)問題，需要全產(chǎn)業(yè)鏈的監(jiān)督與管理。

5 結(jié)束語

在當(dāng)今這個互聯(lián)網(wǎng)時代，隨著大數(shù)據(jù)挖掘與分析技術(shù)不斷發(fā)展，用戶個人信息的價值進(jìn)一步凸顯，擁有一個安全合規(guī)的使用環(huán)境成為每個移動APP用戶的共同訴求。本文提出的測試方法能夠有效促進(jìn)移動APP收集使用個人信息的規(guī)范化，推動個人信息安全健康發(fā)展。

[1]工業(yè)和信息化部.工業(yè)和信息化部關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動的通知[EB/OL]．http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c8027149/content.html，2020.

[2]樊華，張曉梅.App違法違規(guī)收集使用個人信息評估工作及發(fā)現(xiàn)典型問題分析[J]．保密科學(xué)技術(shù)，2019（10）：34-39.

[3]魏昂，李東格，呂堯.基于APP的個人隱私安全保護(hù)研究[J]．網(wǎng)絡(luò)空間安全，2019，10（8）：31-35．

[4]國家互聯(lián)網(wǎng)信息辦公室秘書局、工業(yè)和信息化部辦公廳、公安部辦公廳、國家市場監(jiān)督管理總局辦公廳.關(guān)于印發(fā)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》的通知[EB/OL]．http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm，2019.

[5]國家市場監(jiān)督管理總局.GB/T 35273-2020，信息安全技術(shù)個人信息安全規(guī)范[S].北京：國家標(biāo)準(zhǔn)化管理委員會，2020.

[6]顏慧穎，潘璠，安慶杰等.網(wǎng)絡(luò)安全技術(shù)專題講座（二）第4講 Android APP隱私泄露檢測技術(shù)研究進(jìn)展[J]．軍事通信技術(shù)，2017，38（1）：97-104.

[7]李延舜.我國移動應(yīng)用軟件隱私政策的合規(guī)審查及完善—基于49例隱私政策的文本考察[J]．法商研究，2019（5）：26-39.

[8]李澤睿，田宇琛，張偉哲, 等.中國移動應(yīng)用隱私政策研究[J]．網(wǎng)絡(luò)空間安全，2020，11（6）：57-68.

湖北省市場監(jiān)督管理局科技計劃項(xiàng)目（項(xiàng)目編號：Hbscjg-kj201917）