APP个人数据安全指数计算模型研究

◆彭铭

APP个人数据安全指数计算模型研究

◆彭铭

（郑州云智信安安全技术有限公司 河南 450001）

信息技术和APP应用广泛普及，并通过各种互联网便利技术，满足人们快速获取信息的搜索、足不出户的物品采购、人与人之间在不同时间不同地域的信息交流与沟通等方面的需求。由于在安装应用程序时，APP应用会要求获取一定的用户授权，因此存在个人信息数据泄漏风险。本文提出了关于APP应用涉及个人信息数据安全风险计算模型，提高网上个人信息安全与个人数据安全，保证人们自身利益和促进社会的和谐发展。

信息技术；APP应用；计算模型；个人信息安全；个人数据安全

1 前言

我国对“智慧城市”、“智能家居”以及“数字中国”的大力发展，涉及科学技术快速的提升和推广，尤其是计算机信息技术和APP应用得到了前所未有的快速推广和普及。计算机技术与互联网技术已经融入人们的生活中，通过各种的互联网便利技术，满足人们快速获取信息的搜索、足不出户的物品采购、人与人之间在不同时间不同地域的信息交流与沟通等方面的需求。但是，便利快捷的背后也隐藏了巨大的个人信息数据安全隐患，在金钱利益的驱动下，进行严重违法犯罪的行为，如非法盗取个人信息并进行贩卖、诈骗等违法行为。为了有效杜绝违法行为，提高互联网环境个人信息数据的安全性，本文提出了关于APP应用涉及个人信息数据安全风险计算模型，提高网上个人信息数据安全性，保证人们自身利益和促进社会和谐发展。

2 APP应用安全指数计算模型的设计

APP个人数据安全指数计算模型的设计主要是APP应用的使用过程中，为个人数据安全提供风险评估，其安全指数计算模型设计主要分为为个人数据安全提供风险评估方法设计以及为个人数据安全提供风险评估装置设计。主要依据对APP应用在使用的过程中收集个人数据的动机进行分析和研判，并结合智能终端设备中的存储器、处理器以及相关的程序指令等要素，对个人数据安全的影响程度，作为风险要素并进行赋值，同时利用构建好的安全指数计算模型进行计算，以得到APP应用的总体风险指数并进行反馈用户，为用户对APP应用的风险情况提供直观明了的结果，实现对安装的APP应用程序进行风险评估，从而为用户选择低风险的同类APP应用进行安装使用，降低用户个人信息数据泄露的风险，提高个人数据的安全性。

2.1 APP应用个人数据安全的风险评估方法

APP应用个人数据安全的风险评估方法主要是针对APP应用在使用过程中，对APP应用在对个人信息数据收集的动机风险进行分析和判断。其风险评估方法主要有如下几个步骤：

（1）通过获取智能终端中各APP应用的个人数据风险要素；并将对应APP应用的所有个人数据风险要素传输至预先建立的模型风险库中，然后进行这些个人数据风险要素的匹配赋值；其中，所述赋值包括为各匹配的个人数据风险要素赋予对应的分值和权重。

（2）将匹配赋值后的各风险要素送入预先构建的计算模型中进行分别计算，以得到每一项个人数据风险要素的风险指数。

每一项个人数据风险要素的风险指数通过公式（1）进行计算：

其中，约定∈+且≥3，本案中=16。

当赋值时以1-10分值对各风险要素进行赋值，并根据每个风险要素对整体风险影响程度，设置权重值，且各权重值之和为1。

（3）最后，再汇总各项所得的个人数据风险指数并进行二次计算，以得到所对应APP应用的总体个人数据风险指数，并以数据量化的直观方式呈现给用户。

2.2 APP应用个人数据安全的风险评估装置

APP应用个人数据安全的风险评估装置主要由应用程序信息提取模块、信息匹配关联模块以及风险评估模块等三部分组成，结构如图1所示。

图1 APP应用个人信息数据安全的风险评估装置结构图

该风险评估装置的工作流程主要分为如下几步。

（1）风险评估装置。该装置通过应用程序信息提取模块信息，获取智能终端中各APP应用的个人数据风险要素数据。

（2）将各APP应用的个人数据风险要素数据传输至信息匹配关联模块中，用于信息匹配；

其中将对应APP应用的所有个人数据风险要素传送至预先建立的风险库中进行匹配赋值；所述赋值包括为各匹配的风险要素赋予对应的分值和权重；

（3）然后，风险评估模块将匹配赋值后的各风险要素送入预先构建的计算模型中进行计算，以得到每一项风险要素的风险指数。

（4）最后，再汇总各项所得的个人数据风险指数并进行二次计算，以得到所对应APP应用的总体个人数据风险指数并进行反馈。

3 模型运算方式

3.1 风险评估方法实施方式

APP应用个人信息数据安全的风险评估方法的工作流程主要分为四部分，具体流程如图2所示。

图2 APP应用个人信息数据安全的风险评估方法工作流程图

应用个人信息数据安全的风险评估方法工作流程如下：

（1）在S101层，风险评估方法获取智能终端中各APP应用的个人数据风险要素，例如，存储、相机、位置、麦克风和通讯录等。

（2）通过S102层，将对应APP应用的所有个人数据风险要素传送至预先建立的风险库中进行匹配赋值；其中，所述赋值包括为各匹配的个人数据风险要素赋予对应的分值和权重。

根据相关法律、规范，对APP应用收集个人信息的动机进行分析和研判，对比这些因素对个人数据安全的影响程度，挑选出影响较大且较为直接的因素，作为风险计算要素，以1-10分值对各要素进行赋值，并根据每个要素对整体风险影响程度，设置权重值，且各权重值之和为1，数值越大，代表该因素涉个人数据风险越高。下面列举现有智能终端APP应用中出现的个人数据风险项中的16项风险要素，具体参数详见表1。

表1 风险要素表

风险要素分值权重 隐私政策单独成文且为本地文件无链接n1t1 强制索取APP隐私权限数量n2t2 安卓版APP的targetSdkVersion小于23n3t3 索取与当前业务功能无关的个人信息授权数n4t4 APP开屏推送广告n5t5 通讯录访问权限索取n6t6 短信访问权限索取n7t7 摄像头访问权限索取n8t8 文件操作（或相册）访问权限索取n9t9 录音访问权限n10t10 身份证信息n11t11 APP侵犯个人隐私投诉频度n12t12 APP集成推送类SDK数量n13t13 APP集成SDK数量n14t14 自动下载升级包或其他APP安装包n15t15 网站强推（Web浏览强推其APP）n16t16

（3）在S103层，将匹配赋值后的各风险要素送入预先构建的计算模型中进行计算，以得到每一项风险要素的风险指数。

（4）在S104层，再汇总各项所得的风险指数并进行二次计算，以得到所对应APP应用的总体个人数据风险指数并进行反馈。

该APP应用设定好的总体个人数据风险指数区间为1-100，其中设置风险指数值越高，说明该APP应用安全风险隐患越大，当出现风险指数超过30，小于60的时候，就会触发预先设置好的黄色警示提醒，如表明该APP应用安全隐患出现问题，让用户需要谨慎安装该APP应用。当风险指数超过60数值的时候，就自动弹出提前设置好的最高级别红色警示对话框，提醒用户该APP应用安全隐患较大，尽量不要安装该APP应用，达到提高APP的个人数据安全性。

随着信息技术的不断发展，在对新的APP应用进行安全风险评估时，新的APP应用程序有可能会获取一些不常见或是新的权限，会对后续的信息匹配产生不小的影响。如果出现个人数据安全指数计算模型的风险库中不存在相同的匹配项，就需要依据语义相近的关系，对新的权限进行匹配或直接赋予最高的分值和权重值。这样就可以有效地提高安全数据指数计算模型在判断方面的智能性。当信息数据匹配出现没有相近的情况时，就可以认为其是高风险要素，并及时提醒用户注意该风险，从而实现谨慎使用，降低个人数据信息泄漏的风险。

3.2 风险评估装置实施方式

个人数据安全指数计算模型风险评估装置实施的主要步骤如下。

（1）通过风险评估装置对APP应用程序信息进行提取，用于获取APP应用涉个人数据的风险要素。

（2）对APP应用的个人数据风险要素进行信息匹配关联模块，并将这些APP应用的个人数据风险要素传输至预先建立的模型风险库中，对其进行匹配赋值，并对各匹配的风险要素赋予对应的分值和权重；同时并根据每个风险要素对整体风险影响程度，对其进行单独的设置权重值。

（3）对风险评估模块中的数据进行计算，将匹配赋值后的各风险要素送入预先构建的计算模型中进行计算，以得到每一项风险要素的风险指数；

（4）再汇总各项所得的风险指数并进行二次计算，以得到所对应APP应用的总体个人数据风险指数并进行反馈。

通过上述的几个步骤来完成个人数据安全指数模型风险评估装置实施方式，可以为安全指数计算模型提高相应的智能性。并对信息匹配关联模块匹配时，当出现不存在相同的匹配时，就需要依据语义相近的关系进行匹配或直接赋予最高的分值和权重值，达到个人数据安全指数模型风险评估装置实施的目的。

4 结束语

本文通过对APP应用涉个人数据安全风险的研究与分析，提出APP应用个人信息数据安全指数计算模型的风险评估方法以及装置的设计理念，对APP应用收集个人信息数据的动机进行分析和研判，并根据这些因素对个人数据安全的影响程度，挑选出影响较大且较为直接的因素，作为风险要素并进行赋值，同时利用构建的计算模型进行计算，以得到APP应用的总体风险指数并进行反馈，从而选择低风险的同类APP应用进行安装使用，降低了个人信息数据泄漏的风险，并提高个人数据的安全性。

[1]《APP违法违规收集使用个人信息行为认定方法》.国信办秘字〔2019〕191号，2019.

[2]《中华人民共和国个人信息保护法》.

[3]《中华人民共和国数据安全法》.

[4]《信息安全技术个人信息安全规范》，GB/T35273-2020.