移動互聯(lián)網(wǎng)應(yīng)用程序個人信息安全測試實(shí)踐

宋慧敏 王曉芹

【摘要】? ? 本文依據(jù)GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》，通過某一移動互聯(lián)網(wǎng)應(yīng)用程序（以下簡稱APP）進(jìn)行個人信息安全測試實(shí)踐，并對APP收集個人信息的合法性和最小必要、應(yīng)提供的用戶權(quán)利等方面的測試工作進(jìn)行了總結(jié)。

【關(guān)鍵詞】? ? 移動互聯(lián)網(wǎng)應(yīng)用程序? ? 個人隱私保護(hù)? ? 個人信息安全測試

引言：

隨著信息技術(shù)的高速發(fā)展，網(wǎng)絡(luò)上的數(shù)據(jù)共享越來越頻繁，給我們的日常生活帶來了極大的便利。但是有關(guān)APP在未經(jīng)過用戶同意的情況下偷偷收集用戶個人信息的行為也屢見不鮮[1]。個人信息目前正處在一個極易被泄露和濫用的時代[2]，如何保護(hù)個人信息不被非法竊取和使用就成為人們關(guān)注的焦點(diǎn)。

本文以某測試APP（安卓版）為被測樣品，以2020年3月6日國家市場監(jiān)督管理總局/國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布的GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》[3]中的部分條款作為測試依據(jù)，詳細(xì)介紹了測試方法、內(nèi)容，并總結(jié)了一定的測試經(jīng)驗(yàn)。

一、測試方法及工具

本文采取的測試方法主要為檢查和測試：

檢查：通過觀察、查驗(yàn)等活動對被測APP的功能項(xiàng)及個人隱私保護(hù)政策進(jìn)行比對，獲取證明個人信息安全保護(hù)措施有效的證據(jù);

測試：按照預(yù)定的方法/工具使被測APP產(chǎn)生特定的行為等活動，查看并分析輸出結(jié)果，獲取證明個人信息安全保護(hù)措施有效的證據(jù)。

其中，涉及到的測試工具如表1所示。

二、測試內(nèi)容

2.1測試指標(biāo)項(xiàng)

由于測試過程中，不具備被測樣品相關(guān)技術(shù)人員支持的條件，對于GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》中一些需要通過訪談、檢查數(shù)據(jù)庫存儲內(nèi)容、信息共享和轉(zhuǎn)讓合同等有關(guān)的條款內(nèi)容無法進(jìn)行測試，因此最終選取了一些可以通過檢查或測試的關(guān)鍵指標(biāo)，包括收集個人信息的合法性、收集個人信息的最小必要、個人信息保護(hù)政策等共20項(xiàng)指標(biāo)[3]，如表2所示。

2.2測試過程質(zhì)量保障

為了保障測試過程的質(zhì)量，測試小組分別配備2名測試人員、1名審核人員和1名質(zhì)量監(jiān)督人員。在測試過程中為了確保測試結(jié)果的全面性和準(zhǔn)確性，本次測試采用了A/B角進(jìn)行背對背測試的方式，2名測試人員分別對測試樣品進(jìn)行測試，中間不進(jìn)行交流。當(dāng)測試結(jié)束后，由審核人員對測試過程記錄進(jìn)行匯總及審核，并對比每一個測試指標(biāo)的測試結(jié)論。當(dāng)2名測試人員對同一測試指標(biāo)的測試結(jié)果不同時，2名測試人員將針對該測試指標(biāo)項(xiàng)進(jìn)行重新測試，并互相闡述得出該測試結(jié)論的原因，提供支撐測試結(jié)論的相關(guān)證明材料，證據(jù)可以以截屏、視頻、照片等形式展示。

測試過程中的質(zhì)量控制流程如圖1所示。

2.3測試結(jié)果

2.3.1測試結(jié)論

本次測試指標(biāo)共包含20項(xiàng)，每個測試指標(biāo)項(xiàng)的測試結(jié)果由測試記錄和測試結(jié)論組成，依據(jù)測試記錄得出測試結(jié)論，其中測試結(jié)論包含符合和不符合。

該被測樣品各測試指標(biāo)項(xiàng)的測試結(jié)論如表3所示。

其中，在測試結(jié)論中符合與不符合的占比情況如圖2所示。

2.3.2問題分析

1.個人信息的收集

在個人信息的收集部分，共涉及到14項(xiàng)測試指標(biāo)，其中2項(xiàng)指標(biāo)的測試結(jié)論為符合，12項(xiàng)指標(biāo)的測試結(jié)論為不符合。

在個人信息收集方面，主要存在以下六類問題：

問題一：被測APP存在以欺詐、誘騙、誤導(dǎo)等方式收集與業(yè)務(wù)功能無關(guān)的個人信息問題。作為查看天氣類APP，與電話號碼并無直接關(guān)聯(lián)，但強(qiáng)制以電話號碼作為賬戶號碼;注冊賬戶時，強(qiáng)制收集用戶生日、性別信息;以增強(qiáng)安全性為由強(qiáng)制收集用戶密保郵箱信息;以提升使用體驗(yàn)，通過彈窗的方式收集用戶的興趣愛好和擅長的運(yùn)動信息。

問題二：被測APP存在隱瞞和未明示/征得用戶同意時，收集個人信息的問題。在隱私政策中以及收集用戶設(shè)備信息前，均未告知手機(jī)用戶設(shè)備信息的目的、方式和范圍;在未明示/征得用戶同意時，通過IP地址直接獲取用戶所處城市位置。

問題三：被測APP存在自動采集個人信息過于頻繁的問題。在APP使用的5分鐘過程中，多次調(diào)用權(quán)限獲取個人信息，其中訪問大概位置540次，訪問精確位置211次，調(diào)用WIFI權(quán)限2419次用于獲取設(shè)備的IP地址以及MAC信息，且2次嘗試調(diào)用未申請的BODY_SENSORS權(quán)限獲取個人信息。

問題四：被測APP存在未滿14周歲的用戶在使用時，沒有征得監(jiān)護(hù)人明示同意的問題。 雖然隱私政策中向用戶告知若用戶屬于未滿12周歲的未成年需要獲得監(jiān)護(hù)人的書面同意才能使用APP，但隱私政策中并未明確說明獲得書面同意的途徑;當(dāng)使用未滿14周歲的信息進(jìn)行注冊后，APP收集個人信息時，也未對用戶年齡進(jìn)行判斷。

問題五：被測APP的個人信息保護(hù)政策存在缺少基本內(nèi)容的問題。個人信息保護(hù)政策中未說明個人信息控制者的基本情況;未使用加粗和變色等特殊標(biāo)識在個人信息保護(hù)政策中標(biāo)注敏感信息;個人信息保護(hù)政策未包含對外共享、轉(zhuǎn)讓和公開披露個人信息的說明;未在個人信息保護(hù)政策中說明處理個人信息主體詢問、投訴的渠道和機(jī)制。

問題六：被測APP的個人信息保護(hù)政策存在不合理征得授權(quán)同意例外的問題。在GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》中的5.6章節(jié)中明確規(guī)定了，個人信息控制者在收集和使用個人信息時，不必征得個人信息主體的授權(quán)同意的情況，如表4所示[3]。但在被測APP的隱私政策中，存在其他征得授權(quán)同意的例外的情況，與標(biāo)準(zhǔn)中的規(guī)定不符。

2.個人敏感信息的傳輸

在個人敏感信息的傳輸部分，共涉及到1項(xiàng)測試指標(biāo)，測試結(jié)論為不符合。盡管測試樣品采用了HTTPS協(xié)議與服務(wù)器進(jìn)行數(shù)據(jù)通信，但是通過對HTTPS協(xié)議進(jìn)行解析，發(fā)現(xiàn)在數(shù)據(jù)包中包含了明文的用戶口令信息，而用戶口令信息屬于個人敏感信息，因此該項(xiàng)為不符合。

3.個人信息主體的權(quán)利

在個人信息主體的權(quán)利部分，共涉及到5項(xiàng)測試指標(biāo)，其中4項(xiàng)指標(biāo)的測試結(jié)論為符合，1項(xiàng)指標(biāo)的測試結(jié)論為不符合。不符合項(xiàng)主要表現(xiàn)在：當(dāng)用戶注銷賬戶后，再次使用相同手機(jī)號碼進(jìn)行注冊時，提示當(dāng)前手機(jī)號已注冊，未及時刪除個人信息或匿名化處理。

三、經(jīng)驗(yàn)總結(jié)

根據(jù)對被測樣品的測試情況，對于個人信息安全測試過程中應(yīng)著重注意的事項(xiàng)進(jìn)行了總結(jié)：

1.每一個測試項(xiàng)都需要從多角度進(jìn)行測試并給出測試結(jié)果，不能僅從字面意思理解。例如測試項(xiàng)5.1 a） 不應(yīng)以欺詐、誘騙和誤導(dǎo)的方式收集個人信息，首先需要檢查隱私政策中，是否存在未說明收集目的而收集的個人信息的情況;其次，進(jìn)入APP首頁后，執(zhí)行頁面各項(xiàng)功能，檢查是否存在以改善服務(wù)質(zhì)量、提升使用體驗(yàn)、增強(qiáng)安全性等為由，申請收集個人信息的情況;再次借助安全測試工具及人工分析，檢查是否存在申請時說明的使用目的與實(shí)際目的不相符而收集個人信息的情況，最常見的一種是為了查看哪些好友在用。當(dāng)前APP被授予了通訊錄權(quán)限后，卻在服務(wù)器后臺上傳了整個通訊錄，即說明和實(shí)際使用目的不符;最后，再根據(jù)個人信息收集最小必要原則，判斷是否存在強(qiáng)制/非強(qiáng)制收集的個人信息與業(yè)務(wù)功能無直接關(guān)聯(lián)的情況。無論測試結(jié)果是符合還是不符合，都需要將上述情況，甚至于更多的情況進(jìn)行全面測試，并給出多角度支撐測試結(jié)果的直接證據(jù)。

2.在測試過程中，不能通過猜測下最終的結(jié)論，必須提供直接的證據(jù)來支撐測試結(jié)果。例如，測試項(xiàng)5.1 b） 不應(yīng)隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能，使用工具獲取APP與服務(wù)器的通訊數(shù)據(jù)包，當(dāng)數(shù)據(jù)包被加密時，在沒有分析出傳輸?shù)膶?shí)際數(shù)據(jù)時，不能直接得出APP存在隱瞞收集個人信息的結(jié)論;在使用APP 的某項(xiàng)功能時，收集并使用了隱私政策中未說明的個人信息，但在功能頁面征求了用戶的明示同意且告知用戶收集個人信息的目的時，也不能得出APP存在隱瞞收集個人信息的結(jié)論。

3.測試結(jié)果必須能夠追溯到源頭。測試過程文檔、測試內(nèi)容、證明材料必須保持一致，不能出現(xiàn)測試結(jié)果與測試過程文檔或者是證明材料等不相符的情況。

4.整改建議能夠切實(shí)符合實(shí)際。當(dāng)測試項(xiàng)結(jié)論為不符合時，應(yīng)能給出可行、有效的整改措施，讓APP運(yùn)營者能夠準(zhǔn)確定位測試樣品中的缺陷并進(jìn)行修復(fù)，不能直接復(fù)制標(biāo)準(zhǔn)或給出不能落實(shí)的整改措施。

四、結(jié)束語

隨著APP的廣泛使用，APP違法違規(guī)收集、利用個人信息的情況也越來越多[4]，個人信息安全理應(yīng)受到更多的關(guān)注。本文以某測試APP（安卓版）為被測樣品，依據(jù)GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》，依次闡述了被測APP的測試內(nèi)容、測試過程的質(zhì)量保障措施、安全問題類型分析及測試經(jīng)驗(yàn)總結(jié)。

總的來說，國家正在逐步推進(jìn)APP個人信息安全治理工作，相信大多數(shù)APP在收集和使用個人信息保護(hù)方面的措施也會越來越規(guī)范，這對測試技術(shù)也提出了更高的挑戰(zhàn)。

參? 考? 文? 獻(xiàn)

[1]彭春暉，林巧珊，移動智能終端的個人信息安全技術(shù)分析[J]，電信網(wǎng)技術(shù)，2015，01：61-64.

[2]王娜，許大辰，移動社交網(wǎng)絡(luò)中個人信息保護(hù)現(xiàn)狀的調(diào)查與分析--從用戶行為習(xí)慣視角出發(fā)[J]，情報(bào)雜志，2015（1）：185-189.

[3]吳沈括，GB/T 35273-2017《信息安全技術(shù) 個人信息安全規(guī)范》[J]，標(biāo)準(zhǔn)生活，2018，No.624（03）：32-35.

[4]劉多，落紅衛(wèi)，移動智能終端個人信息安全風(fēng)險(xiǎn)與保護(hù)措施[J]，保密科學(xué)技術(shù)，2013，000（004）：6-10.