移动APP个人信息安全合规测试

◆张悦

行业与应用安全

移动APP个人信息安全合规测试

◆张悦

（湖北省电子信息产品质量监督检验院 湖北 430061）

当前移动应用程序（APP）收集使用个人信息存在个人信息泄露等安全风险，相关部门和机构针对这一问题制定了一系列政策、法规和国家标准。本文分析总结了其中移动APP个人信息安全相关的主要要求，列举了合规测试的主要内容，并提出了一套适用于第三方测评机构实施的测试方案。

APP；个人信息安全；软件测试

1 引言

近年来，随着移动通信技术与移动互联网的快速发展，以智能手机为代表的各类智能终端迅速普及，可穿戴智能设备、智能家居等IOT设备也逐渐形成生态。移动智能终端依靠其丰富的感知能力，渗透到人们生活工作的各个方面，而安装在移动智能终端上种类繁多的应用程序（APP）正是提供各类服务的主要渠道。一方面，APP依靠智能终端收集到的各类信息作为向用户提供服务的依据，APP开发商也能通过信息采集改进技术从而提高服务质量、降低成本；另一方面，各类信息的违规采集将可能造成用户个人信息的滥用及泄露，而泄露的信息往往被用于商业推广甚至被犯罪分子用于网络诈骗，这已成为广大个人用户信息安全、合法权益和社会公共利益的严重威胁。

工业和信息化部信息通信管理局已提出工作要求：开展检测检查，组织第三方检测机构对APP、SDK进行技术检测，对应用分发平台的主体责任落实情况进行监督检查[1]。本文探讨了国内政策、法规、标准中与APP个人信息保护相关的主要要求，并提出了适用于第三方测评机构实施的移动APP个人信息安全合规测试方案。

2 现状与要求

因移动APP行业仍在高速发展阶段，因此个人信息安全问题也仍在逐步暴露，政策、法规及国家标准等规范规定还在不断细化完善的过程中[2]，文献3较为详细地列举了截至2019年6月的相关文件，其中部分当时尚未执行的文件现已发行实施或更新，如《APP违法违规收集使用个人信息行为认定方法》已于当年11月印发[4]，GB/T 35273《信息安全技术个人信息安全规范》也于2020年3月发布2020版本，该版本将于2020年10月1日实施[5]。

当前，APP个人信息安全方面直接相关的特别法为《中华人民共和国网络安全法》（以下简称为《网络安全法》，其第4章规范了网络运营者对个人信息的收集与使用，也要求任何个人与组织提供的应用软件不得设置恶意程序，显然也适用于移动APP。

该领域的国家标准即GB/T 35273《信息安全技术个人信息安全规范》（以下简称为《个人信息安全规范》），其规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。因其适用范围基本涵盖了个人信息控制者的各项活动，而移动APP通常只是个人信息主体与个人信息控制者的媒介，因此《个人信息安全规范》中与移动APP关联最密切的部分是个人信息的收集、个人敏感信息的传输、个人信息主体的权利、个人信息的委托处理、共享、转让等内容。此外，其附录提供的示例与模板，可用于判断移动APP的个人信息保护政策是否满足该标准的要求。

《APP违法违规收集使用个人信息行为认定方法》则明确了移动APP的部分违法违规行为，对部分描述性表达进行了量化，因此具有较强的可操作性。

以上述文件为主要依据，可列举移动APP个人信息安全合规测试的主要内容和要求，如表1所示。

表1 移动APP个人信息安全合规测试主要内容

3 测试步骤与方法

第三方测评机构往往只能应用黑盒测试对APP的安装包进行合规测试，因此难以验证APP对个人信息收集之后的处理、存储、传输，更无法直接验证服务器端对个人信息的使用[6]。但是，只要充分限制了APP对个人信息的不合规收集，就能在极大程度上避免其后续使用中的风险。不同于当前对市场现有的APP作统计性研究[7，8]，我们以APP对个人信息的收集为重点，结合测试操作逻辑，设计了移动APP个人信息安全合规测试的步骤：

（1）安装APP并判断其是否通过合规的方式提供了个人信息保护政策（隐私政策）；

（2）阅读该隐私政策，判断其自述的获取使用个人信息相关行为是否合规并记录其中对个人信息的收集和使用方法；

（3）使用软件测试方法验证APP对个人信息的收集行为是否与隐私政策相一致；

（4）其他安全性验证。

未特别注明时，下列步骤均可通过在智能手机真机或者虚拟机中的模拟测试环境中安装被测APP并人工测试完成。

3.1 隐私政策的提供

《个人信息安全规范》规定，个人信息控制者应通过个人信息保护政策，明确其向个人信息主体收集、使用个人信息的目的、方式和范围等规则，将该政策告知个人信息主体，并获得其授权。移动APP中，该政策通常被命名为“隐私政策”。因此，首先应确认APP按要求提供了隐私政策。对隐私政策展示方法的要求包括：

（1）APP首次运行时，应通过弹窗等明显方式提示用户阅读隐私政策；

（2）APP主界面中，应能在不多于4次点击操作访问到隐私政策；

（3）隐私政策的字体、颜色应易于辨识；

（4）应提供简体中文版隐私政策。

3.2 隐私政策的合规性判断

在判读隐私政策时，首先应判断其内容的完整性，然后分析其内容是否满足第2节所述文件中提出的各项原则与基本要求。

隐私政策应完整包含《个人信息安全规范》所要求的内容，如下：

（1）个人信息控制者的主体身份、联系方式等基本信息；

（2）APP基本业务功能与扩展业务功能的划分；

（3）各业务收集的个人信息类型及使用方法，对个人信息的委托处理、共享、转让公开披露的说明。其中个人敏感信息应突出显示；

（4）个人信息控制者对个人信息的安全的保护措施及安全风险提示；

（5）个人信息主体对其个人信息的权利说明，如对其个人信息的访问、修改、删除、变更授权、注销账户等等；

（6）若可能存在未成年人用户，则应包含《个人信息安全规范》5.4节中对未成年人的特殊条款；

（7）个人信息主体询问、投诉、举报的方式与机制。

判断隐私政策的内容是否合规，则应遵照目的明确、选择同意、最小必要、公开透明等基本原则，实际测试中，主要关注以下方面：

（1）不应存以欺诈、诱骗、误导性描述获取授权；

（2）收集的个人信息类型应与业务功能直接关联，即缺乏相关个人信息时该功能无法实现；

（3）基础业务功能与扩展业务功能划分合理，不存在捆绑；

（4）不应仅以改善服务指梁、提升使用体验、研发新产品、增强安全性等为由强制要求个人信息主体同意收集个人信息。

3.3 个人信息收集测试

若APP的隐私协议合规，则应进一步验证APP收集个人信息的行为是否与其隐私协议描述相一致且符合要求。在移动智能设备中，个人信息一般通过用户输入、设备系统信息、传感器信号等方式输入设备，因此，可通过分析被测APP向操作系统申请权限及访问系统权限的过程，来判断其对个人信息的收集是否与隐私政策一致。具体来说，可通过模拟正常用户使用，并比对操作系统提供的权限访问记录中记载的被测APP的权限访问过程，判断其对个人信息的收集是否符合以下要求：

（1）不存在隐私协议中未注明的个人信息收集；

（2）收集个人信息时，明确告知用户其目的，并获得个人信息主体的明示同意；

（3）在个人信息主体明示同意前或拒绝后，不收集相关个人信息；

（4）收集的个人信息不超出个人信息主体授权范围；

（5）收集个人信息的频率不高于业务功能需要；

（6）拒绝某一授权后，48小时内不再重复征求授权；

（7）提供了个人信息的访问、修改、删除、变更授权、注销账户等操作的路径，且操作过程中没有不合理的额外个人信息收集或条件限制。

3.4 其他安全测试

（1）个人敏感信息的存储与传输。因存储与传输过程易受到外部攻击造成个人信息泄露，《个人信息安全规范》要求个人敏感信息在传输和存储时应采用加密等安全措施。当被测APP需存储或传输个人敏感信息时，可通过网络数据包分析工具对其通信流量进行分析，判断其中是否包含明文传输的个人敏感信息。

（2）个人信息的委托处理与共享。移动APP侧的个人信息委托处理与共享一般通过第三方软件开发包（SDK）实现。当被测APP使用了第三方SDK时，可通过安全分析工具对其安全性进行检测。

4 风险与问题

如上一章节所述，本文所涉及的个人信息安全测试是针对单一被测APP的黑盒测试，这一测试方法难以分辨通过破坏性手段非法获取个人信息的恶意软件，也难以保证其他恶意软件对被测APP合法获取的个人信息的窃取。实践中，这类安全问题往往需要通过操作系统级的安全工具来保障。另一方面，虽然移动APP是整个移动互联网产品或服务的一个重要环节，但个人信息安全问题同样涉及通信链路和服务端。因此，个人信息安全问题是一个系统问题，需要全产业链的监督与管理。

5 结束语

在当今这个互联网时代，随着大数据挖掘与分析技术不断发展，用户个人信息的价值进一步凸显，拥有一个安全合规的使用环境成为每个移动APP用户的共同诉求。本文提出的测试方法能够有效促进移动APP收集使用个人信息的规范化，推动个人信息安全健康发展。

[1]工业和信息化部.工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知[EB/OL]．http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n4704651/c8027149/content.html，2020.

[2]樊华，张晓梅.App违法违规收集使用个人信息评估工作及发现典型问题分析[J]．保密科学技术，2019（10）：34-39.

[3]魏昂，李东格，吕尧.基于APP的个人隐私安全保护研究[J]．网络空间安全，2019，10（8）：31-35．

[4]国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅.关于印发《App违法违规收集使用个人信息行为认定方法》的通知[EB/OL]．http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm，2019.

[5]国家市场监督管理总局.GB/T 35273-2020，信息安全技术个人信息安全规范[S].北京：国家标准化管理委员会，2020.

[6]颜慧颖，潘璠，安庆杰等.网络安全技术专题讲座（二）第4讲 Android APP隐私泄露检测技术研究进展[J]．军事通信技术，2017，38（1）：97-104.

[7]李延舜.我国移动应用软件隐私政策的合规审查及完善—基于49例隐私政策的文本考察[J]．法商研究，2019（5）：26-39.

[8]李泽睿，田宇琛，张伟哲, 等.中国移动应用隐私政策研究[J]．网络空间安全，2020，11（6）：57-68.

湖北省市场监督管理局科技计划项目（项目编号：Hbscjg-kj201917）