等級保護2.0之App個人信息保護測評方法的探討

徐鑫 徐御

摘要：2019年5月13日《網(wǎng)絡安全等級保護基本要求》正式發(fā)布，新標準新增了個人信息保護的要求。文章在分析移動App在個人信息保護中的必要性及難點的基礎(chǔ)上，以App評估為切入點，結(jié)合近期發(fā)布的《個人信息安全規(guī)范》（征求意見稿）以及公安部等國家四部委“關(guān)于開展App違法違規(guī)收集使用個人信息專項治理”工作，探討個人信息在采集、傳輸、保存、訪問等過程中所面臨的風險，為等級保護2.0中的個人信息保護要求提供一些測評思路。

關(guān)鍵詞：個人信息保護;等級保護2.0;App安全評估

中圖分類號：TP3

文獻標識碼：A

文章編號：1009-3044（2020）29-0017-03

2016年11月7日，全國人民代表大會常務委員會發(fā)布了《網(wǎng)絡安全法》，規(guī)定“應當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定”[1]。國家標準化管理委員會在2017年12月29日正式發(fā)布國家標準GB/T 35273-2017《個人信息安全規(guī)范》（以下簡稱《安全規(guī)范》）?！栋踩?guī)范》明確提出“權(quán)責一致”“目的明確”“選擇同意”“最少夠用”“公開透明”“確保安全”“主體參與”的基本原則和安全要求[2]。今年1月，針對App個人信息違法違規(guī)收集使用的情況，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，面向社會開放舉報投訴渠道，成立了App專項治理工作組對被舉報的App的違法違規(guī)收集使用個人信息行為進行綜合評估及整治[3]。2019年5月13日，公安部正式發(fā)布《網(wǎng)絡安全等級保護基本要求》，新增“個人信息保護”測評要求。本文從App個人信息保護的難點及必要性、App個人信息生命周期出發(fā)，探討App在個人信息保護所面臨的風險，旨在為等保2.0測評實施，在“個人信息保護”評估中提供一些測評思路和具體方法。

1 探討App在個人信息保護工作中的必要性及難點

目前已通過等級保護測評的系統(tǒng)中，絕大部分是面向PC終端的B/S或C/S架構(gòu)的系統(tǒng)。在個人信息收集使用方面，主要依賴用戶主動或由他人代錄入的方式獲取，涉及的個人信息如姓名、身份證號、地址等信息。個人數(shù)據(jù)一般直接存儲或經(jīng)過WEB服務器中轉(zhuǎn)存儲于數(shù)據(jù)庫服務器中。整個數(shù)據(jù)流轉(zhuǎn)過程中，數(shù)據(jù)一般不直接發(fā)送至第三方。

App應用層面簡要系統(tǒng)架構(gòu)圖如圖1。其中基礎(chǔ)層native組件提供基本的TEXT、觸摸控件、image、Testinput組件模塊，用于中間層的調(diào)用，從而實現(xiàn)各類信息發(fā)布、用戶注冊、用戶登錄、移動辦公、在線審批等業(yè)務功能的部分基本操作功能。該部分與其他形式的系統(tǒng)僅僅在于操作模式、頁面展示上有所差距，從個人信息保護角度看，無本質(zhì)區(qū)別。但App應用存在的特性敏感函數(shù)調(diào)用與第三方SDK植入，讓App應用在個人信息保護或測評中形成了難點。

移動終端輔助硬件的支持和終端系統(tǒng)所提供的敏感函數(shù)非常豐富。相比Web系統(tǒng)，App應用獲取個人信息具有高度自動化的特征，如：可通過授權(quán)調(diào)用系統(tǒng)敏感函數(shù)獲取已安裝列表、獲取正在運行程序列表、手機IMEI、獲取IMSI、短信、聯(lián)系人列表、定位、WIFI列表、藍牙狀態(tài)等個人信息。

從2019年App違法違規(guī)收集使用個人信息專項治理公開的數(shù)據(jù)可以看出，幾乎所有App均嵌入第三方SDK。第三方SDK在實現(xiàn)登錄、分享、支付、消息推送、地圖展示、數(shù)據(jù)統(tǒng)計等功能的同時，也借助用戶授權(quán)收集個人信息。第三方SDK搜集數(shù)據(jù)發(fā)送至SDK營運者服務器，并非App運營者自身的服務器，而該部分操作對用戶來說是透明的，用戶無法看到第三方SDK的存在，個人信息保護的責任主體仍為App的網(wǎng)絡運營者。因此，想要滿足等級保護2.0中“禁止未授權(quán)訪問和非法使用用戶個人信息”的要求，首先要對比傳統(tǒng)Web系統(tǒng)與App應用在個人信息防護問題上的差異，如表1所示。

綜上所述，App應用需要面對Web系統(tǒng)在個人信息保護中面臨的問題，并且在收集數(shù)量、收集類型、存儲防護上情況更為復雜。筆者認為，只有深入解剖 App應用面臨的個人信息保護問題，才能掌握其個人信息保護的測評要點。

2 App應用中個人信息生命周期

本章節(jié)結(jié)合常規(guī)App數(shù)據(jù)使用模式與數(shù)據(jù)流向，將個人信息生命周期劃分為采集、傳輸與存儲、訪問、使用與共享、刪除五個環(huán)節(jié)進行探討[2]，如圖2所示。

2.1個人信息采集

通過前一章節(jié)分析App個人信息保護的難點分析，可以看出App的個人信息防護難點主要在采集與存儲兩塊。App應用個人信息采集可以劃分為兩類。

1）用戶主動提交

App為實現(xiàn)用戶注冊登錄、在線辦公、酒店人住、網(wǎng)上購物、行政審批、問卷調(diào)查等功能，需要用戶主動填寫手機號、身份證號、家庭地址、營業(yè)執(zhí)照、主觀個人偏好等個人信息。用戶主動提交模式個人信息來源用戶主動提供，所有類型系統(tǒng)無實質(zhì)區(qū)別。

2）自動收集模式

以安卓系統(tǒng)為例，系統(tǒng)面向開發(fā)者提供了讀取編寫短信、讀取通話記錄、讀取藍牙狀態(tài)、讀取設(shè)備信息（IMEI、IMSI）、讀取網(wǎng)絡狀態(tài)、讀取位置位置信息、讀寫外置存儲、讀取已安裝應用列表等等的系統(tǒng)函數(shù)，App方式通過向用戶索取授權(quán)方式執(zhí)行相應函數(shù)，進而獲取相應的個人數(shù)據(jù)。筆者對市面上主流的小米、華為、魅族、一加等手機的UI進行研究發(fā)現(xiàn)，App申請安卓內(nèi)置的這些權(quán)限并非都需要經(jīng)過用戶主動同意，如讀寫外置存儲在一加手機UI、讀取已安裝應用列表在大部分品牌手機UI中均采用的是默認許可的授權(quán)模式。除此以外App后臺可以不依賴系統(tǒng)權(quán)限對用戶瀏覽記錄進行收集。

2.2 個人信息傳輸與存儲

如上分析，站在App運營者角度來看，個人信息存儲防護難度是個人信息保護工作的另一大難點。筆者在對數(shù)十款App進行反編譯分析后，對常見的SDK簡要分類如圖3所示。可以得出結(jié)論：目前SDK市場已經(jīng)高度成熟，涉及的功能點覆蓋App整個使用周期。

綜上所述，結(jié)合面向社會的App常規(guī)運營模式，App采集的數(shù)據(jù)傳輸目的應包含如下兩類。

1）個人信息傳輸至App運營者服務器存儲

與傳統(tǒng)Web系統(tǒng)類似，App營運者完全掌握收集的個人信息類型、目的、傳輸方法、存儲方式、存儲環(huán)境。

2）個人信息傳輸至SDK提供者服務器存儲

大量嵌入第三方SDK，App開發(fā)者或運營者不完全掌握收集的個人信息類型、目的，無法控制個人信息的傳輸方法、存儲方式、存儲環(huán)境。

2.3 個人信息訪問

個人信息訪問環(huán)節(jié)，本文以訪問者視角將個人信息訪問劃分為如下三種類型。

1）前端用戶訪問

用戶自身對個人信息有查看、修改、刪除的訪問需求，通過App客戶端進行直接操作。一般僅可訪問用戶自身主動提交的個人信息，一般不包含自動收集模式收集的數(shù)據(jù)。

2）后臺管理者訪問

App管理員通過后臺系統(tǒng)對App業(yè)務內(nèi)容修改、業(yè)務數(shù)據(jù)統(tǒng)計、會員數(shù)據(jù)統(tǒng)計，或接受用戶申訴對用戶信息進行修改或刪除操作，均可能訪問用戶信息。該類訪問方式可對多個用戶主動提交的個人信息進行訪問，一般不包含自動收集模式收集的數(shù)據(jù)且無法大批量導出、刪除。

3）數(shù)據(jù)層直接訪問

直接訪問數(shù)據(jù)庫或數(shù)據(jù)倉庫進行訪問，包含全部的數(shù)據(jù)類型，且可大批量導出、刪除。

2.4個人信息使用與共享

筆者結(jié)合部分大型上市公司信息系統(tǒng)測評經(jīng)驗，收集分析應用市場上主流App面向用戶公開的信息，將個人信息的使用與共享情況劃分為以下情況。

1）業(yè)務必需

該類個人信息為基本業(yè)務所必需，如用戶注冊需要手機號，酒店住宿需要身份證號，網(wǎng)購需要填寫銀行卡號及收貨地址等。

2）風險控制

App運營者出于保障自身業(yè)務順利展開的目的，收集個人信息。如支付寶App收集用戶個人網(wǎng)絡信息、設(shè)備信息用于判斷用戶當前支付環(huán)境是否安全，記錄支付環(huán)境便于追蹤盜刷事件。

3）市場分析

App運營者通過數(shù)據(jù)分析宏觀用戶的瀏覽記錄，尋找市場需求，進而調(diào)整發(fā)展方向。如大數(shù)據(jù)分析已安裝的程序列表、購物記錄均可分析出一定的市場動態(tài)。該類個人信息使用不需要結(jié)合個人唯一標識信息，只側(cè)重統(tǒng)計結(jié)果。

4）定向推送

運營者標識將用戶瀏覽記錄與IMEI、IMSI等唯一標識相結(jié)合，構(gòu)造人物畫像，進而向用戶推送需要的商品或者新聞信息。該類個人信息使用特點是依賴唯一標識信息，強調(diào)精準性。

5）商業(yè)共享

企業(yè)或單位在業(yè)務溝通中可能因直接利益交換、商業(yè)合作、兼并收購等情況，將個人信息部分或全部分享至第三方，個人信息量及個人信息類型不定。

2.5 個人信息刪除

顧名思義，即刪除個人信息。包括網(wǎng)絡營運者刪除和用戶自主刪除或要求刪除，該環(huán)節(jié)不涉及對應威脅，無須展開分析。

3 App個人信息生命周期的風險分析與測評方法

3.1 App應用個人信息保護風險分析

信息安全的基本定義為保障數(shù)據(jù)的完整性、保密性和可用性，個人信息保護作為一類特殊的信息因其敏感性，比普通業(yè)務數(shù)據(jù)面臨著更多的威脅。常規(guī)數(shù)據(jù)在測評工作中，在各類數(shù)據(jù)安全風險分析中，均站在數(shù)據(jù)的擁有者即網(wǎng)絡運營者的角度，然而個人信息的擁有者不僅是網(wǎng)絡營運者，同時包括個人信息主體。融入個人信息主體“選擇同意”“主體參與”的原則，結(jié)合App應用中個人信息生命周期分析，App應用在等級保護2.0個人信息相關(guān)要求項的風險分析如表2[4]。

3.2 App應用個人信息保護等級保護測評要求

總結(jié)上文的風險分析，根據(jù)“風險對抗”的思路，回歸等級保護2.0基本要求，形成具體的測評要求如表3所示。

4 結(jié)束語

本文針對等級保護2.0中新增的“個人信息保護”標準要求，以當前最廣泛使用的移動App為測評對象進行研究。通過分析移動App中個人信息生命周期特點，融人《個人信息安全規(guī)范》（征求意見稿）要求對App中個人信息可能面臨的風險進行分析并提出相應的測評要求。希望能夠在等級保護2.0未正式實施前，提出一些具體可操作的測評方法，為等級保護2.0測評的順利實施做出貢獻。

參考文獻：

[1]王然，陳湉.App違法違規(guī)收集使用個人信息治理現(xiàn)狀研究及建議[J].中國信息安全，2019（4）：53-55.

[2]中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.信息安全技術(shù)個人信息安全規(guī)范：GB/T35273-2017[S].北京沖國標準出版社，2018.

[3]公安部等四部門.專項治理App違法違規(guī)收集使用個人信息[J]_中國防偽報道，2019（2）：38.

[4]國家市場監(jiān)督管理總局，國家標準化管理委員會.信息安全技術(shù)網(wǎng)絡安全等級保護基本要求：GB/T 22239-2019[S].北京：中國標準出版社，2019.

【通聯(lián)編輯：代影】