等级保护2.0之App个人信息保护测评方法的探讨

徐鑫 徐御

摘要：2019年5月13日《网络安全等级保护基本要求》正式发布，新标准新增了个人信息保护的要求。文章在分析移动App在个人信息保护中的必要性及难点的基础上，以App评估为切入点，结合近期发布的《个人信息安全规范》（征求意见稿）以及公安部等国家四部委“关于开展App违法违规收集使用个人信息专项治理”工作，探讨个人信息在采集、传输、保存、访问等过程中所面临的风险，为等级保护2.0中的个人信息保护要求提供一些测评思路。

关键词：个人信息保护;等级保护2.0;App安全评估

中图分类号：TP3

文献标识码：A

文章编号：1009-3044（2020）29-0017-03

2016年11月7日，全国人民代表大会常务委员会发布了《网络安全法》，规定“应当遵守本法和有关法律、行政法规关于个人信息保护的规定”[1]。国家标准化管理委员会在2017年12月29日正式发布国家标准GB/T 35273-2017《个人信息安全规范》（以下简称《安全规范》）。《安全规范》明确提出“权责一致”“目的明确”“选择同意”“最少够用”“公开透明”“确保安全”“主体参与”的基本原则和安全要求[2]。今年1月，针对App个人信息违法违规收集使用的情况，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，面向社会开放举报投诉渠道，成立了App专项治理工作组对被举报的App的违法违规收集使用个人信息行为进行综合评估及整治[3]。2019年5月13日，公安部正式发布《网络安全等级保护基本要求》，新增“个人信息保护”测评要求。本文从App个人信息保护的难点及必要性、App个人信息生命周期出发，探讨App在个人信息保护所面临的风险，旨在为等保2.0测评实施，在“个人信息保护”评估中提供一些测评思路和具体方法。

1 探讨App在个人信息保护工作中的必要性及难点

目前已通过等级保护测评的系统中，绝大部分是面向PC终端的B/S或C/S架构的系统。在个人信息收集使用方面，主要依赖用户主动或由他人代录入的方式获取，涉及的个人信息如姓名、身份证号、地址等信息。个人数据一般直接存储或经过WEB服务器中转存储于数据库服务器中。整个数据流转过程中，数据一般不直接发送至第三方。

App应用层面简要系统架构图如图1。其中基础层native组件提供基本的TEXT、触摸控件、image、Testinput组件模块，用于中间层的调用，从而实现各类信息发布、用户注册、用户登录、移动办公、在线审批等业务功能的部分基本操作功能。该部分与其他形式的系统仅仅在于操作模式、页面展示上有所差距，从个人信息保护角度看，无本质区别。但App应用存在的特性敏感函数调用与第三方SDK植入，让App应用在个人信息保护或测评中形成了难点。

移动终端辅助硬件的支持和终端系统所提供的敏感函数非常丰富。相比Web系统，App应用获取个人信息具有高度自动化的特征，如：可通过授权调用系统敏感函数获取已安装列表、获取正在运行程序列表、手机IMEI、获取IMSI、短信、联系人列表、定位、WIFI列表、蓝牙状态等个人信息。

从2019年App违法违规收集使用个人信息专项治理公开的数据可以看出，几乎所有App均嵌入第三方SDK。第三方SDK在实现登录、分享、支付、消息推送、地图展示、数据统计等功能的同时，也借助用户授权收集个人信息。第三方SDK搜集數据发送至SDK营运者服务器，并非App运营者自身的服务器，而该部分操作对用户来说是透明的，用户无法看到第三方SDK的存在，个人信息保护的责任主体仍为App的网络运营者。因此，想要满足等级保护2.0中“禁止未授权访问和非法使用用户个人信息”的要求，首先要对比传统Web系统与App应用在个人信息防护问题上的差异，如表1所示。

综上所述，App应用需要面对Web系统在个人信息保护中面临的问题，并且在收集数量、收集类型、存储防护上情况更为复杂。笔者认为，只有深入解剖 App应用面临的个人信息保护问题，才能掌握其个人信息保护的测评要点。

2 App应用中个人信息生命周期

本章节结合常规App数据使用模式与数据流向，将个人信息生命周期划分为采集、传输与存储、访问、使用与共享、删除五个环节进行探讨[2]，如图2所示。

2.1个人信息采集

通过前一章节分析App个人信息保护的难点分析，可以看出App的个人信息防护难点主要在采集与存储两块。App应用个人信息采集可以划分为两类。

1）用户主动提交

App为实现用户注册登录、在线办公、酒店人住、网上购物、行政审批、问卷调查等功能，需要用户主动填写手机号、身份证号、家庭地址、营业执照、主观个人偏好等个人信息。用户主动提交模式个人信息来源用户主动提供，所有类型系统无实质区别。

2）自动收集模式

以安卓系统为例，系统面向开发者提供了读取编写短信、读取通话记录、读取蓝牙状态、读取设备信息（IMEI、IMSI）、读取网络状态、读取位置位置信息、读写外置存储、读取已安装应用列表等等的系统函数，App方式通过向用户索取授权方式执行相应函数，进而获取相应的个人数据。笔者对市面上主流的小米、华为、魅族、一加等手机的UI进行研究发现，App申请安卓内置的这些权限并非都需要经过用户主动同意，如读写外置存储在一加手机UI、读取已安装应用列表在大部分品牌手机UI中均采用的是默认许可的授权模式。除此以外App后台可以不依赖系统权限对用户浏览记录进行收集。

2.2 个人信息传输与存储

如上分析，站在App运营者角度来看，个人信息存储防护难度是个人信息保护工作的另一大难点。笔者在对数十款App进行反编译分析后，对常见的SDK简要分类如图3所示。可以得出结论：目前SDK市场已经高度成熟，涉及的功能点覆盖App整个使用周期。

综上所述，结合面向社会的App常规运营模式，App采集的数据传输目的应包含如下两类。

1）个人信息传输至App运营者服务器存储

与传统Web系统类似，App营运者完全掌握收集的个人信息类型、目的、传输方法、存储方式、存储环境。

2）个人信息传输至SDK提供者服务器存储

大量嵌入第三方SDK，App开发者或运营者不完全掌握收集的个人信息类型、目的，无法控制个人信息的传输方法、存储方式、存储环境。

2.3 个人信息访问

个人信息访问环节，本文以访问者视角将个人信息访问划分为如下三种类型。

1）前端用户访问

用户自身对个人信息有查看、修改、删除的访问需求，通过App客户端进行直接操作。一般仅可访问用户自身主动提交的个人信息，一般不包含自动收集模式收集的数据。

2）后台管理者访问

App管理员通过后台系统对App业务内容修改、业务数据统计、会员数据统计，或接受用户申诉对用户信息进行修改或删除操作，均可能访问用户信息。该类访问方式可对多个用户主动提交的个人信息进行访问，一般不包含自动收集模式收集的数据且无法大批量导出、删除。

3）数据层直接访问

直接访问数据库或数据仓库进行访问，包含全部的数据类型，且可大批量导出、删除。

2.4个人信息使用与共享

笔者结合部分大型上市公司信息系统测评经验，收集分析应用市场上主流App面向用户公开的信息，将个人信息的使用与共享情况划分为以下情况。

1）业务必需

该类个人信息为基本业务所必需，如用户注册需要手机号，酒店住宿需要身份证号，网购需要填写银行卡号及收货地址等。

2）风险控制

App运营者出于保障自身业务顺利展开的目的，收集个人信息。如支付宝App收集用户个人网络信息、设备信息用于判断用户当前支付环境是否安全，记录支付环境便于追踪盗刷事件。

3）市场分析

App运营者通过数据分析宏观用户的浏览记录，寻找市场需求，进而调整发展方向。如大数据分析已安装的程序列表、购物记录均可分析出一定的市场动态。该类个人信息使用不需要结合个人唯一标识信息，只侧重统计结果。

4）定向推送

运营者标识将用户浏览记录与IMEI、IMSI等唯一标识相结合，构造人物画像，进而向用户推送需要的商品或者新闻信息。该类个人信息使用特点是依赖唯一标识信息，强调精准性。

5）商业共享

企业或单位在业务沟通中可能因直接利益交换、商业合作、兼并收购等情况，将个人信息部分或全部分享至第三方，个人信息量及个人信息类型不定。

2.5 个人信息删除

顾名思义，即删除个人信息。包括網络营运者删除和用户自主删除或要求删除，该环节不涉及对应威胁，无须展开分析。

3 App个人信息生命周期的风险分析与测评方法

3.1 App应用个人信息保护风险分析

信息安全的基本定义为保障数据的完整性、保密性和可用性，个人信息保护作为一类特殊的信息因其敏感性，比普通业务数据面临着更多的威胁。常规数据在测评工作中，在各类数据安全风险分析中，均站在数据的拥有者即网络运营者的角度，然而个人信息的拥有者不仅是网络营运者，同时包括个人信息主体。融入个人信息主体“选择同意”“主体参与”的原则，结合App应用中个人信息生命周期分析，App应用在等级保护2.0个人信息相关要求项的风险分析如表2[4]。

3.2 App应用个人信息保护等级保护测评要求

总结上文的风险分析，根据“风险对抗”的思路，回归等级保护2.0基本要求，形成具体的测评要求如表3所示。

4 结束语

本文针对等级保护2.0中新增的“个人信息保护”标准要求，以当前最广泛使用的移动App为测评对象进行研究。通过分析移动App中个人信息生命周期特点，融人《个人信息安全规范》（征求意见稿）要求对App中个人信息可能面临的风险进行分析并提出相应的测评要求。希望能够在等级保护2.0未正式实施前，提出一些具体可操作的测评方法，为等级保护2.0测评的顺利实施做出贡献。

参考文献：

[1]王然，陈湉.App违法违规收集使用个人信息治理现状研究及建议[J].中国信息安全，2019（4）：53-55.

[2]中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.信息安全技术个人信息安全规范：GB/T35273-2017[S].北京冲国标准出版社，2018.

[3]公安部等四部门.专项治理App违法违规收集使用个人信息[J]_中国防伪报道，2019（2）：38.

[4]国家市场监督管理总局，国家标准化管理委员会.信息安全技术网络安全等级保护基本要求：GB/T 22239-2019[S].北京：中国标准出版社，2019.

【通联编辑：代影】