等级保护2.0之App个人信息保护测评方法的探讨
2020-12-01徐鑫徐御
徐鑫 徐御
摘要:2019年5月13日《网络安全等级保护基本要求》正式发布,新标准新增了个人信息保护的要求。文章在分析移动App在个人信息保护中的必要性及难点的基础上,以App评估为切入点,结合近期发布的《个人信息安全规范》(征求意见稿)以及公安部等国家四部委“关于开展App违法违规收集使用个人信息专项治理”工作,探讨个人信息在采集、传输、保存、访问等过程中所面临的风险,为等级保护2.0中的个人信息保护要求提供一些测评思路。
关键词:个人信息保护;等级保护2.0;App安全评估
中图分类号:TP3
文献标识码:A
文章编号:1009-3044(2020)29-0017-03
2016年11月7日,全国人民代表大会常务委员会发布了《网络安全法》,规定“应当遵守本法和有关法律、行政法规关于个人信息保护的规定”[1]。国家标准化管理委员会在2017年12月29日正式发布国家标准GB/T 35273-2017《个人信息安全规范》(以下简称《安全规范》)。《安全规范》明确提出“权责一致”“目的明确”“选择同意”“最少够用”“公开透明”“确保安全”“主体参与”的基本原则和安全要求[2]。今年1月,针对App个人信息违法违规收集使用的情况,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,面向社会开放举报投诉渠道,成立了App专项治理工作组对被举报的App的违法违规收集使用个人信息行为进行综合评估及整治[3]。2019年5月13日,公安部正式发布《网络安全等级保护基本要求》,新增“个人信息保护”测评要求。本文从App个人信息保护的难点及必要性、App个人信息生命周期出发,探讨App在个人信息保护所面临的风险,旨在为等保2.0测评实施,在“个人信息保护”评估中提供一些测评思路和具体方法。
1 探讨App在个人信息保护工作中的必要性及难点
目前已通过等级保护测评的系统中,绝大部分是面向PC终端的B/S或C/S架构的系统。在个人信息收集使用方面,主要依赖用户主动或由他人代录入的方式获取,涉及的个人信息如姓名、身份证号、地址等信息。个人数据一般直接存储或经过WEB服务器中转存储于数据库服务器中。整个数据流转过程中,数据一般不直接发送至第三方。
App应用层面简要系统架构图如图1。其中基础层native组件提供基本的TEXT、触摸控件、image、Testinput组件模块,用于中间层的调用,从而实现各类信息发布、用户注册、用户登录、移动办公、在线审批等业务功能的部分基本操作功能。该部分与其他形式的系统仅仅在于操作模式、页面展示上有所差距,从个人信息保护角度看,无本质区别。但App应用存在的特性敏感函数调用与第三方SDK植入,让App应用在个人信息保护或测评中形成了难点。
移动终端辅助硬件的支持和终端系统所提供的敏感函数非常丰富。相比Web系统,App应用获取个人信息具有高度自动化的特征,如:可通过授权调用系统敏感函数获取已安装列表、获取正在运行程序列表、手机IMEI、获取IMSI、短信、联系人列表、定位、WIFI列表、蓝牙状态等个人信息。
从2019年App违法违规收集使用个人信息专项治理公开的数据可以看出,几乎所有App均嵌入第三方SDK。第三方SDK在实现登录、分享、支付、消息推送、地图展示、数据统计等功能的同时,也借助用户授权收集个人信息。第三方SDK搜集數据发送至SDK营运者服务器,并非App运营者自身的服务器,而该部分操作对用户来说是透明的,用户无法看到第三方SDK的存在,个人信息保护的责任主体仍为App的网络运营者。因此,想要满足等级保护2.0中“禁止未授权访问和非法使用用户个人信息”的要求,首先要对比传统Web系统与App应用在个人信息防护问题上的差异,如表1所示。
综上所述,App应用需要面对Web系统在个人信息保护中面临的问题,并且在收集数量、收集类型、存储防护上情况更为复杂。笔者认为,只有深入解剖 App应用面临的个人信息保护问题,才能掌握其个人信息保护的测评要点。
2 App应用中个人信息生命周期
本章节结合常规App数据使用模式与数据流向,将个人信息生命周期划分为采集、传输与存储、访问、使用与共享、删除五个环节进行探讨[2],如图2所示。
2.1个人信息采集
通过前一章节分析App个人信息保护的难点分析,可以看出App的个人信息防护难点主要在采集与存储两块。App应用个人信息采集可以划分为两类。
1)用户主动提交
App为实现用户注册登录、在线办公、酒店人住、网上购物、行政审批、问卷调查等功能,需要用户主动填写手机号、身份证号、家庭地址、营业执照、主观个人偏好等个人信息。用户主动提交模式个人信息来源用户主动提供,所有类型系统无实质区别。
2)自动收集模式
以安卓系统为例,系统面向开发者提供了读取编写短信、读取通话记录、读取蓝牙状态、读取设备信息(IMEI、IMSI)、读取网络状态、读取位置位置信息、读写外置存储、读取已安装应用列表等等的系统函数,App方式通过向用户索取授权方式执行相应函数,进而获取相应的个人数据。笔者对市面上主流的小米、华为、魅族、一加等手机的UI进行研究发现,App申请安卓内置的这些权限并非都需要经过用户主动同意,如读写外置存储在一加手机UI、读取已安装应用列表在大部分品牌手机UI中均采用的是默认许可的授权模式。除此以外App后台可以不依赖系统权限对用户浏览记录进行收集。
2.2 个人信息传输与存储
如上分析,站在App运营者角度来看,个人信息存储防护难度是个人信息保护工作的另一大难点。笔者在对数十款App进行反编译分析后,对常见的SDK简要分类如图3所示。可以得出结论:目前SDK市场已经高度成熟,涉及的功能点覆盖App整个使用周期。
综上所述,结合面向社会的App常规运营模式,App采集的数据传输目的应包含如下两类。
1)个人信息传输至App运营者服务器存储
与传统Web系统类似,App营运者完全掌握收集的个人信息类型、目的、传输方法、存储方式、存储环境。
2)个人信息传输至SDK提供者服务器存储
大量嵌入第三方SDK,App开发者或运营者不完全掌握收集的个人信息类型、目的,无法控制个人信息的传输方法、存储方式、存储环境。
2.3 个人信息访问
个人信息访问环节,本文以访问者视角将个人信息访问划分为如下三种类型。
1)前端用户访问
用户自身对个人信息有查看、修改、删除的访问需求,通过App客户端进行直接操作。一般仅可访问用户自身主动提交的个人信息,一般不包含自动收集模式收集的数据。
2)后台管理者访问
App管理员通过后台系统对App业务内容修改、业务数据统计、会员数据统计,或接受用户申诉对用户信息进行修改或删除操作,均可能访问用户信息。该类访问方式可对多个用户主动提交的个人信息进行访问,一般不包含自动收集模式收集的数据且无法大批量导出、删除。
3)数据层直接访问
直接访问数据库或数据仓库进行访问,包含全部的数据类型,且可大批量导出、删除。
2.4个人信息使用与共享
笔者结合部分大型上市公司信息系统测评经验,收集分析应用市场上主流App面向用户公开的信息,将个人信息的使用与共享情况划分为以下情况。
1)业务必需
该类个人信息为基本业务所必需,如用户注册需要手机号,酒店住宿需要身份证号,网购需要填写银行卡号及收货地址等。
2)风险控制
App运营者出于保障自身业务顺利展开的目的,收集个人信息。如支付宝App收集用户个人网络信息、设备信息用于判断用户当前支付环境是否安全,记录支付环境便于追踪盗刷事件。
3)市场分析
App运营者通过数据分析宏观用户的浏览记录,寻找市场需求,进而调整发展方向。如大数据分析已安装的程序列表、购物记录均可分析出一定的市场动态。该类个人信息使用不需要结合个人唯一标识信息,只侧重统计结果。
4)定向推送
运营者标识将用户浏览记录与IMEI、IMSI等唯一标识相结合,构造人物画像,进而向用户推送需要的商品或者新闻信息。该类个人信息使用特点是依赖唯一标识信息,强调精准性。
5)商业共享
企业或单位在业务沟通中可能因直接利益交换、商业合作、兼并收购等情况,将个人信息部分或全部分享至第三方,个人信息量及个人信息类型不定。
2.5 个人信息删除
顾名思义,即删除个人信息。包括網络营运者删除和用户自主删除或要求删除,该环节不涉及对应威胁,无须展开分析。
3 App个人信息生命周期的风险分析与测评方法
3.1 App应用个人信息保护风险分析
信息安全的基本定义为保障数据的完整性、保密性和可用性,个人信息保护作为一类特殊的信息因其敏感性,比普通业务数据面临着更多的威胁。常规数据在测评工作中,在各类数据安全风险分析中,均站在数据的拥有者即网络运营者的角度,然而个人信息的拥有者不仅是网络营运者,同时包括个人信息主体。融入个人信息主体“选择同意”“主体参与”的原则,结合App应用中个人信息生命周期分析,App应用在等级保护2.0个人信息相关要求项的风险分析如表2[4]。
3.2 App应用个人信息保护等级保护测评要求
总结上文的风险分析,根据“风险对抗”的思路,回归等级保护2.0基本要求,形成具体的测评要求如表3所示。
4 结束语
本文针对等级保护2.0中新增的“个人信息保护”标准要求,以当前最广泛使用的移动App为测评对象进行研究。通过分析移动App中个人信息生命周期特点,融人《个人信息安全规范》(征求意见稿)要求对App中个人信息可能面临的风险进行分析并提出相应的测评要求。希望能够在等级保护2.0未正式实施前,提出一些具体可操作的测评方法,为等级保护2.0测评的顺利实施做出贡献。
参考文献:
[1]王然,陈湉.App违法违规收集使用个人信息治理现状研究及建议[J].中国信息安全,2019(4):53-55.
[2]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息安全技术个人信息安全规范:GB/T35273-2017[S].北京冲国标准出版社,2018.
[3]公安部等四部门.专项治理App违法违规收集使用个人信息[J]_中国防伪报道,2019(2):38.
[4]国家市场监督管理总局,国家标准化管理委员会.信息安全技术网络安全等级保护基本要求:GB/T 22239-2019[S].北京:中国标准出版社,2019.
【通联编辑:代影】