干货 | 何延哲：App个人信息安全治理的规则、案例与思考

谈到个人信息安全的话题，尤其是App个人信息收集处理，占比高达百分之八九十，所以我们把App个人信息安全治理作为个人信息保护实践重要的方向来探讨。App个人信息安全治理在我们国家个人信息保护的监管上是最受关注且力度最大的一个方面。

一、App个人信息安全治理基本情况

1、个人信息保护持续成为社会热点事件

关于2018年某支付App年度账单事件很有代表性，该App年度账单默认勾选“同意”，会同时授权旗下的“信用”功能去使用账单内容。我们用传统的思维方式去分析，保密性、完整性和可用性，好像都没有受到影响，那问题出在哪儿？

是我们的权益受到了侵害，我们本来不愿意授权给他，很多情况默认勾选就不小心给了授权。个人信息保护的核心特点，是除了传统信息安全问题以外，还有个人权利保障的内容。

2、个人信息安全治理

2019年1月，中央网信办、工信部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》。

3、App个人信息安全认证

市场监管总局、中央网信办联合发布《关于开展App安全认证工作的公告》，作为解决APP违法违规收集个人信息问题的长效机制。

4、App安全治理中的处罚案例

App个人信息安全治理工作，不是单纯意义上的处罚，而是一个非常综合、从法律法规编制，从检测评估中发现问题，到通报问题、整改处罚，以及相关认证，给民众宣传科普知识的一套综合方法。

二、App个人信息安全治理相关法规标准

App安全治理相关标准是一个全面的参考文件，可以帮助App运营者全面开展合规建设。

我们可以把不同App收集的个人信息和上面的关系做对应，在读隐私政策的时候，判断是不是必要的，是不是非必要但有关联的，如果隐私政策里的内容不满足上述框架，则可能收集了无关信息。

三、App个人信息安全检测与问题判定

1、App个人信息安全检测技术

代码检测（静态检测）

通过逆向Apk，反编译出Apk代码文件，再通过关键词（API）检索源代码的方式进行合规性判定。

优点：检测速度快；通用性强；技术简单。

缺点：无法确定是否合规；加固后无法检测。

行为检测（动态监测）

通过Hook沙箱或操作系统沙箱技术，在App运行的过程中，在特定的API进行埋点，查看App执行了此API，从而判断是否合规。

优点：检测确认性高；100%能检测。

缺点：技术复杂；通用性差。

从流程上来讲,真正做一次App个人信息安全检测，应该要有一个比较完善的准备实施，比如检测App的样本一定要有固定的版本。

此外，对于App测评也在做相应的标准,标准名称为“移动互联网应用程序（App）个人信息安全测评规范”。

在动态分析的过程中，明确看到网络数据包包含这条信息，而且确认在点击同意隐私政策之前，这条信息已经上传到某个服务器上，所以可以认为在用户同意前，已收集用户MAC地址。

四、App个人信息安全治理的创新发展

据估算，现在大约有300多万个App在应用市场上架，还有大量的App为了规避管理，不在应用市场上架，在第三方广告里分发，还有一些可能是通过扫描二维码，点击短信链接等方式进行安装。要进一步提升治理的成效，三条思路可供参考：基于移动操作系统的治理思路、基于应用商店的治理思路和基于互联网平台履责的治理思路。

五、总结

App个人信息安全治理除了检测、发现问题和通报问题以外，还能怎么去治理？在国际上来看，对App的专项治理的经验不多，从侧面反映，我国监管部门对此很重视，反应也很迅速。

在监管、监督工作持续加强的背景下，App的更新也很频繁，以前App是根据功能和业务更换版本，现在是根据合规的要求更换版本。在合规要求越来越细致的情况之下，用户选择权将得到充分保障，反之选择题都给我们用户侧了，比如以后如果所有的第三方共享都会给我们选择，我们可能会面临无数个选择题，如何做好选择也是每个人需要面对的难题。

实际上，个人信息这一类数据要发挥价值，关键还在应用和流通。我们个人和APP应该怎么去适应呢？这就需要不断地去研究、去尝试、去创新，使App既简单易用，安全隐私保护又做的好，还要让个人信息给我们带来更大价值。

内容整理：陈龙