移动互联网应用程序个人信息安全测试实践

宋慧敏 王晓芹

【摘要】    本文依据GB/T 35273-2020《信息安全技术 个人信息安全规范》，通过某一移动互联网应用程序（以下简称APP）进行个人信息安全测试实践，并对APP收集个人信息的合法性和最小必要、应提供的用户权利等方面的测试工作进行了总结。

【关键词】    移动互联网应用程序    个人隐私保护    个人信息安全测试

引言：

随着信息技术的高速发展，网络上的数据共享越来越频繁，给我们的日常生活带来了极大的便利。但是有关APP在未经过用户同意的情况下偷偷收集用户个人信息的行为也屡见不鲜[1]。个人信息目前正处在一个极易被泄露和滥用的时代[2]，如何保护个人信息不被非法窃取和使用就成为人们关注的焦点。

本文以某测试APP（安卓版）为被测样品，以2020年3月6日国家市场监督管理总局/国家标准化管理委员会正式发布的GB/T 35273-2020《信息安全技术 个人信息安全规范》[3]中的部分条款作为测试依据，详细介绍了测试方法、内容，并总结了一定的测试经验。

一、测试方法及工具

本文采取的测试方法主要为检查和测试：

检查：通过观察、查验等活动对被测APP的功能项及个人隐私保护政策进行比对，获取证明个人信息安全保护措施有效的证据;

测试：按照预定的方法/工具使被测APP产生特定的行为等活动，查看并分析输出结果，获取证明个人信息安全保护措施有效的证据。

其中，涉及到的测试工具如表1所示。

二、测试内容

2.1测试指标项

由于测试过程中，不具备被测样品相关技术人员支持的条件，对于GB/T 35273-2020《信息安全技术 个人信息安全规范》中一些需要通过访谈、检查数据库存储内容、信息共享和转让合同等有关的条款内容无法进行测试，因此最终选取了一些可以通过检查或测试的关键指标，包括收集个人信息的合法性、收集个人信息的最小必要、个人信息保护政策等共20项指标[3]，如表2所示。

2.2测试过程质量保障

为了保障测试过程的质量，测试小组分别配备2名测试人员、1名审核人员和1名质量监督人员。在测试过程中为了确保测试结果的全面性和准确性，本次测试采用了A/B角进行背对背测试的方式，2名测试人员分别对测试样品进行测试，中间不进行交流。当测试结束后，由审核人员对测试过程记录进行汇总及审核，并对比每一个测试指标的测试结论。当2名测试人员对同一测试指标的测试结果不同时，2名测试人员将针对该测试指标项进行重新测试，并互相阐述得出该测试结论的原因，提供支撑测试结论的相关证明材料，证据可以以截屏、视频、照片等形式展示。

测试过程中的质量控制流程如图1所示。

2.3测试结果

2.3.1测试结论

本次测试指标共包含20项，每个测试指标项的测试结果由测试记录和测试结论组成，依据测试记录得出测试结论，其中测试结论包含符合和不符合。

该被测样品各测试指标项的测试结论如表3所示。

其中，在测试结论中符合与不符合的占比情況如图2所示。

2.3.2问题分析

1.个人信息的收集

在个人信息的收集部分，共涉及到14项测试指标，其中2项指标的测试结论为符合，12项指标的测试结论为不符合。

在个人信息收集方面，主要存在以下六类问题：

问题一：被测APP存在以欺诈、诱骗、误导等方式收集与业务功能无关的个人信息问题。作为查看天气类APP，与电话号码并无直接关联，但强制以电话号码作为账户号码;注册账户时，强制收集用户生日、性别信息;以增强安全性为由强制收集用户密保邮箱信息;以提升使用体验，通过弹窗的方式收集用户的兴趣爱好和擅长的运动信息。

问题二：被测APP存在隐瞒和未明示/征得用户同意时，收集个人信息的问题。在隐私政策中以及收集用户设备信息前，均未告知手机用户设备信息的目的、方式和范围;在未明示/征得用户同意时，通过IP地址直接获取用户所处城市位置。

问题三：被测APP存在自动采集个人信息过于频繁的问题。在APP使用的5分钟过程中，多次调用权限获取个人信息，其中访问大概位置540次，访问精确位置211次，调用WIFI权限2419次用于获取设备的IP地址以及MAC信息，且2次尝试调用未申请的BODY_SENSORS权限获取个人信息。

问题四：被测APP存在未满14周岁的用户在使用时，没有征得监护人明示同意的问题。 虽然隐私政策中向用户告知若用户属于未满12周岁的未成年需要获得监护人的书面同意才能使用APP，但隐私政策中并未明确说明获得书面同意的途径;当使用未满14周岁的信息进行注册后，APP收集个人信息时，也未对用户年龄进行判断。

问题五：被测APP的个人信息保护政策存在缺少基本内容的问题。个人信息保护政策中未说明个人信息控制者的基本情况;未使用加粗和变色等特殊标识在个人信息保护政策中标注敏感信息;个人信息保护政策未包含对外共享、转让和公开披露个人信息的说明;未在个人信息保护政策中说明处理个人信息主体询问、投诉的渠道和机制。

问题六：被测APP的个人信息保护政策存在不合理征得授权同意例外的问题。在GB/T 35273-2020《信息安全技术 个人信息安全规范》中的5.6章节中明确规定了，个人信息控制者在收集和使用个人信息时，不必征得个人信息主体的授权同意的情况，如表4所示[3]。但在被测APP的隐私政策中，存在其他征得授权同意的例外的情况，与标准中的规定不符。

2.个人敏感信息的传输

在个人敏感信息的传输部分，共涉及到1项测试指标，测试结论为不符合。尽管测试样品采用了HTTPS协议与服务器进行数据通信，但是通过对HTTPS协议进行解析，发现在数据包中包含了明文的用户口令信息，而用户口令信息属于个人敏感信息，因此该项为不符合。

3.个人信息主体的权利

在个人信息主体的权利部分，共涉及到5项测试指标，其中4项指标的测试结论为符合，1项指标的测试结论为不符合。不符合项主要表现在：当用户注销账户后，再次使用相同手机号码进行注册时，提示当前手机号已注册，未及时删除个人信息或匿名化处理。

三、经验总结

根据对被测样品的测试情况，对于个人信息安全测试过程中应着重注意的事项进行了总结：

1.每一个测试项都需要从多角度进行测试并给出测试结果，不能仅从字面意思理解。例如测试项5.1 a） 不应以欺诈、诱骗和误导的方式收集个人信息，首先需要检查隐私政策中，是否存在未说明收集目的而收集的个人信息的情况;其次，进入APP首页后，执行页面各项功能，检查是否存在以改善服务质量、提升使用体验、增强安全性等为由，申请收集个人信息的情况;再次借助安全测试工具及人工分析，检查是否存在申请时说明的使用目的与实际目的不相符而收集个人信息的情况，最常见的一种是为了查看哪些好友在用。当前APP被授予了通讯录权限后，却在服务器后台上传了整个通讯录，即说明和实际使用目的不符;最后，再根据个人信息收集最小必要原则，判断是否存在强制/非强制收集的个人信息与业务功能无直接关联的情况。无论测试结果是符合还是不符合，都需要将上述情况，甚至于更多的情况进行全面测试，并给出多角度支撑测试结果的直接证据。

2.在测试过程中，不能通过猜测下最终的结论，必须提供直接的证据来支撑测试结果。例如，测试项5.1 b） 不应隐瞒产品或服务所具有的收集个人信息的功能，使用工具获取APP与服务器的通讯数据包，当数据包被加密时，在没有分析出传输的实际数据时，不能直接得出APP存在隐瞒收集个人信息的结论;在使用APP 的某项功能时，收集并使用了隐私政策中未说明的个人信息，但在功能页面征求了用户的明示同意且告知用户收集个人信息的目的时，也不能得出APP存在隐瞒收集个人信息的结论。

3.測试结果必须能够追溯到源头。测试过程文档、测试内容、证明材料必须保持一致，不能出现测试结果与测试过程文档或者是证明材料等不相符的情况。

4.整改建议能够切实符合实际。当测试项结论为不符合时，应能给出可行、有效的整改措施，让APP运营者能够准确定位测试样品中的缺陷并进行修复，不能直接复制标准或给出不能落实的整改措施。

四、结束语

随着APP的广泛使用，APP违法违规收集、利用个人信息的情况也越来越多[4]，个人信息安全理应受到更多的关注。本文以某测试APP（安卓版）为被测样品，依据GB/T 35273-2020《信息安全技术 个人信息安全规范》，依次阐述了被测APP的测试内容、测试过程的质量保障措施、安全问题类型分析及测试经验总结。

总的来说，国家正在逐步推进APP个人信息安全治理工作，相信大多数APP在收集和使用个人信息保护方面的措施也会越来越规范，这对测试技术也提出了更高的挑战。

参  考  文  献

[1]彭春晖，林巧珊，移动智能终端的个人信息安全技术分析[J]，电信网技术，2015，01：61-64.

[2]王娜，许大辰，移动社交网络中个人信息保护现状的调查与分析--从用户行为习惯视角出发[J]，情报杂志，2015（1）：185-189.

[3]吴沈括，GB/T 35273-2017《信息安全技术 个人信息安全规范》[J]，标准生活，2018，No.624（03）：32-35.

[4]刘多，落红卫，移动智能终端个人信息安全风险与保护措施[J]，保密科学技术，2013，000（004）：6-10.