移動互聯網應用程序個人信息安全測試實踐

宋慧敏 王曉芹

【摘要】? ? 本文依據GB/T 35273-2020《信息安全技術 個人信息安全規范》，通過某一移動互聯網應用程序（以下簡稱APP）進行個人信息安全測試實踐，并對APP收集個人信息的合法性和最小必要、應提供的用戶權利等方面的測試工作進行了總結。

【關鍵詞】? ? 移動互聯網應用程序? ? 個人隱私保護? ? 個人信息安全測試

引言：

隨著信息技術的高速發展，網絡上的數據共享越來越頻繁，給我們的日常生活帶來了極大的便利。但是有關APP在未經過用戶同意的情況下偷偷收集用戶個人信息的行為也屢見不鮮[1]。個人信息目前正處在一個極易被泄露和濫用的時代[2]，如何保護個人信息不被非法竊取和使用就成為人們關注的焦點。

本文以某測試APP（安卓版）為被測樣品，以2020年3月6日國家市場監督管理總局/國家標準化管理委員會正式發布的GB/T 35273-2020《信息安全技術 個人信息安全規范》[3]中的部分條款作為測試依據，詳細介紹了測試方法、內容，并總結了一定的測試經驗。

一、測試方法及工具

本文采取的測試方法主要為檢查和測試：

檢查：通過觀察、查驗等活動對被測APP的功能項及個人隱私保護政策進行比對，獲取證明個人信息安全保護措施有效的證據;

測試：按照預定的方法/工具使被測APP產生特定的行為等活動，查看并分析輸出結果，獲取證明個人信息安全保護措施有效的證據。

其中，涉及到的測試工具如表1所示。

二、測試內容

2.1測試指標項

由于測試過程中，不具備被測樣品相關技術人員支持的條件，對于GB/T 35273-2020《信息安全技術 個人信息安全規范》中一些需要通過訪談、檢查數據庫存儲內容、信息共享和轉讓合同等有關的條款內容無法進行測試，因此最終選取了一些可以通過檢查或測試的關鍵指標，包括收集個人信息的合法性、收集個人信息的最小必要、個人信息保護政策等共20項指標[3]，如表2所示。

2.2測試過程質量保障

為了保障測試過程的質量，測試小組分別配備2名測試人員、1名審核人員和1名質量監督人員。在測試過程中為了確保測試結果的全面性和準確性，本次測試采用了A/B角進行背對背測試的方式，2名測試人員分別對測試樣品進行測試，中間不進行交流。當測試結束后，由審核人員對測試過程記錄進行匯總及審核，并對比每一個測試指標的測試結論。當2名測試人員對同一測試指標的測試結果不同時，2名測試人員將針對該測試指標項進行重新測試，并互相闡述得出該測試結論的原因，提供支撐測試結論的相關證明材料，證據可以以截屏、視頻、照片等形式展示。

測試過程中的質量控制流程如圖1所示。

2.3測試結果

2.3.1測試結論

本次測試指標共包含20項，每個測試指標項的測試結果由測試記錄和測試結論組成，依據測試記錄得出測試結論，其中測試結論包含符合和不符合。

該被測樣品各測試指標項的測試結論如表3所示。

其中，在測試結論中符合與不符合的占比情況如圖2所示。

2.3.2問題分析

1.個人信息的收集

在個人信息的收集部分，共涉及到14項測試指標，其中2項指標的測試結論為符合，12項指標的測試結論為不符合。

在個人信息收集方面，主要存在以下六類問題：

問題一：被測APP存在以欺詐、誘騙、誤導等方式收集與業務功能無關的個人信息問題。作為查看天氣類APP，與電話號碼并無直接關聯，但強制以電話號碼作為賬戶號碼;注冊賬戶時，強制收集用戶生日、性別信息;以增強安全性為由強制收集用戶密保郵箱信息;以提升使用體驗，通過彈窗的方式收集用戶的興趣愛好和擅長的運動信息。

問題二：被測APP存在隱瞞和未明示/征得用戶同意時，收集個人信息的問題。在隱私政策中以及收集用戶設備信息前，均未告知手機用戶設備信息的目的、方式和范圍;在未明示/征得用戶同意時，通過IP地址直接獲取用戶所處城市位置。

問題三：被測APP存在自動采集個人信息過于頻繁的問題。在APP使用的5分鐘過程中，多次調用權限獲取個人信息，其中訪問大概位置540次，訪問精確位置211次，調用WIFI權限2419次用于獲取設備的IP地址以及MAC信息，且2次嘗試調用未申請的BODY_SENSORS權限獲取個人信息。

問題四：被測APP存在未滿14周歲的用戶在使用時，沒有征得監護人明示同意的問題。 雖然隱私政策中向用戶告知若用戶屬于未滿12周歲的未成年需要獲得監護人的書面同意才能使用APP，但隱私政策中并未明確說明獲得書面同意的途徑;當使用未滿14周歲的信息進行注冊后，APP收集個人信息時，也未對用戶年齡進行判斷。

問題五：被測APP的個人信息保護政策存在缺少基本內容的問題。個人信息保護政策中未說明個人信息控制者的基本情況;未使用加粗和變色等特殊標識在個人信息保護政策中標注敏感信息;個人信息保護政策未包含對外共享、轉讓和公開披露個人信息的說明;未在個人信息保護政策中說明處理個人信息主體詢問、投訴的渠道和機制。

問題六：被測APP的個人信息保護政策存在不合理征得授權同意例外的問題。在GB/T 35273-2020《信息安全技術 個人信息安全規范》中的5.6章節中明確規定了，個人信息控制者在收集和使用個人信息時，不必征得個人信息主體的授權同意的情況，如表4所示[3]。但在被測APP的隱私政策中，存在其他征得授權同意的例外的情況，與標準中的規定不符。

2.個人敏感信息的傳輸

在個人敏感信息的傳輸部分，共涉及到1項測試指標，測試結論為不符合。盡管測試樣品采用了HTTPS協議與服務器進行數據通信，但是通過對HTTPS協議進行解析，發現在數據包中包含了明文的用戶口令信息，而用戶口令信息屬于個人敏感信息，因此該項為不符合。

3.個人信息主體的權利

在個人信息主體的權利部分，共涉及到5項測試指標，其中4項指標的測試結論為符合，1項指標的測試結論為不符合。不符合項主要表現在：當用戶注銷賬戶后，再次使用相同手機號碼進行注冊時，提示當前手機號已注冊，未及時刪除個人信息或匿名化處理。

三、經驗總結

根據對被測樣品的測試情況，對于個人信息安全測試過程中應著重注意的事項進行了總結：

1.每一個測試項都需要從多角度進行測試并給出測試結果，不能僅從字面意思理解。例如測試項5.1 a） 不應以欺詐、誘騙和誤導的方式收集個人信息，首先需要檢查隱私政策中，是否存在未說明收集目的而收集的個人信息的情況;其次，進入APP首頁后，執行頁面各項功能，檢查是否存在以改善服務質量、提升使用體驗、增強安全性等為由，申請收集個人信息的情況;再次借助安全測試工具及人工分析，檢查是否存在申請時說明的使用目的與實際目的不相符而收集個人信息的情況，最常見的一種是為了查看哪些好友在用。當前APP被授予了通訊錄權限后，卻在服務器后臺上傳了整個通訊錄，即說明和實際使用目的不符;最后，再根據個人信息收集最小必要原則，判斷是否存在強制/非強制收集的個人信息與業務功能無直接關聯的情況。無論測試結果是符合還是不符合，都需要將上述情況，甚至于更多的情況進行全面測試，并給出多角度支撐測試結果的直接證據。

2.在測試過程中，不能通過猜測下最終的結論，必須提供直接的證據來支撐測試結果。例如，測試項5.1 b） 不應隱瞞產品或服務所具有的收集個人信息的功能，使用工具獲取APP與服務器的通訊數據包，當數據包被加密時，在沒有分析出傳輸的實際數據時，不能直接得出APP存在隱瞞收集個人信息的結論;在使用APP 的某項功能時，收集并使用了隱私政策中未說明的個人信息，但在功能頁面征求了用戶的明示同意且告知用戶收集個人信息的目的時，也不能得出APP存在隱瞞收集個人信息的結論。

3.測試結果必須能夠追溯到源頭。測試過程文檔、測試內容、證明材料必須保持一致，不能出現測試結果與測試過程文檔或者是證明材料等不相符的情況。

4.整改建議能夠切實符合實際。當測試項結論為不符合時，應能給出可行、有效的整改措施，讓APP運營者能夠準確定位測試樣品中的缺陷并進行修復，不能直接復制標準或給出不能落實的整改措施。

四、結束語

隨著APP的廣泛使用，APP違法違規收集、利用個人信息的情況也越來越多[4]，個人信息安全理應受到更多的關注。本文以某測試APP（安卓版）為被測樣品，依據GB/T 35273-2020《信息安全技術 個人信息安全規范》，依次闡述了被測APP的測試內容、測試過程的質量保障措施、安全問題類型分析及測試經驗總結。

總的來說，國家正在逐步推進APP個人信息安全治理工作，相信大多數APP在收集和使用個人信息保護方面的措施也會越來越規范，這對測試技術也提出了更高的挑戰。

參? 考? 文? 獻

[1]彭春暉，林巧珊，移動智能終端的個人信息安全技術分析[J]，電信網技術，2015，01：61-64.

[2]王娜，許大辰，移動社交網絡中個人信息保護現狀的調查與分析--從用戶行為習慣視角出發[J]，情報雜志，2015（1）：185-189.

[3]吳沈括，GB/T 35273-2017《信息安全技術 個人信息安全規范》[J]，標準生活，2018，No.624（03）：32-35.

[4]劉多，落紅衛，移動智能終端個人信息安全風險與保護措施[J]，保密科學技術，2013，000（004）：6-10.