摘 要：本文依据GB/T 35273-2020《信息安全技术 个人信息安全规范》，通过某一移动互联网应用程序（以下简称APP）进行个人信息安全测试实践，并对APP收集个人信息的合法性和最小必要、应提供的用户权利等方面的测试工作进行了总结。

关键词：移动互联网应用程序；个人隐私保护；个人信息安全测试

MobileInternetApplication Personal Information Security Testing

SONG Hui-min¹,WANG Xiao-qin¹

(1.China Software Testing Center, IntelligentTerminal Software Testing Department,Beijing 100048, China)

Abstract:According to GB/T 35273-2020《Information security technology—Personal information security specification》, this article takes a mobile internet application（APP）as an example to introduce the contents and the methods of personal information security testing, which includes the legality and minimum necessary of APP collecting personal information, the user rights provided by APP, and so on.

Key words: mobile internet application; personal privacy protection; personal information security testing

1 引言

随着信息技术的高速发展，网络上的数据共享越来越频繁，给我们的日常生活带来了极大的便利。但是有关APP在未经过用户同意的情况下偷偷收集用户个人信息的行为也屡见不鲜^[1]。个人信息目前正处在一个极易被泄露和滥用的时代^[2]，如何保护个人信息不被非法窃取和使用就成为人们关注的焦点。

本文以某测试APP（安卓版）为被测样品，依据2020年3月6日国家市场监督管理总局/国家标准化管理委员会正式发布的GB/T 35273-2020《信息安全技术 个人信息安全规范》^[3]中的部分条款作为测试依据，详细介绍了测试方法、内容，并总结了一定的测试经验。

2 测试方法及工具

本文采取的测试方法主要为检查和测试：

l 检查：通过观察、查验等活动对被测APP的功能项及个人隐私保护政策进行比对，获取证明个人信息安全保护措施有效的证据；

l 测试：按照预定的方法/工具使被测APP产生特定的行为等活动，查看并分析输出结果，获取证明个人信息安全保护措施有效的证据。

其中，涉及到的测试工具如表1所示。

表1 测试工具

序号	工具名称	软件名称/版本	工具描述
1	网络数据嗅探工具	TCPDump 4.5.1	可以截取网络中传送的数据包
2	网络数据分析工具	Wireshark 1.8.4	可以截取网络封包并显示详细的网络封包资料
3	apk逆向工程工具	Apktool 1.5.2	可以反编译apk
4	Web调试代理工具	Fiddler Web Debugger 2.4.5.6	可以记录并检查所有电脑和互联网之间的HTTP通讯
5	APP行为分析工具	移动应用个人信息安全检测平台	可以动态监测应用和SDK调用权限以及收集个人信息的情况

3 测试内容

3.1 测试指标项

由于测试过程中，不具备被测样品相关技术人员支持的条件，对于GB/T 35273-2020《信息安全技术 个人信息安全规范》中一些需要通过访谈、检查数据库存储内容、信息共享和转让合同等有关的条款内容无法进行测试，因此最终选取了一些可以通过检查或测试的关键指标，包括收集个人信息的合法性、收集个人信息的最小必要、个人信息保护政策等共20项指标^[3]，如表2所示。

表2 测试指标项与GB/T 35273-2020的对应关系

注：6.3 a)本次测试中仅针对个人敏感信息的传输安全进行测试，存储环节的安全不予测试。

3.2 测试过程质量保障

为了保障测试过程的质量，测试小组分别配备2名测试人员、1名审核人员和1名质量监督人员。在测试过程中为了确保测试结果的全面性和准确性，本次测试采用了A/B角进行背对背测试的方式，2名测试人员分别对测试样品进行测试，中间不进行交流。当测试结束后，由审核人员对测试过程记录进行汇总及审核，并对比每一个测试指标的测试结论。当2名测试人员对同一测试指标的测试结果不同时，2名测试人员将针对该测试指标项进行重新测试，并互相阐述得出该测试结论的原因，提供支撑测试结论的相关证明材料，证据可以以截屏、视频、照片等形式展示。

测试过程中的质量控制流程如图1所示。

图1 质量控制流程图

3.3 测试结果

3.3.1 测试结论

本次测试指标共包含20项，每个测试指标项的测试结果由测试记录和测试结论组成，依据测试记录得出测试结论，其中测试结论包含符合和不符合。

该被测样品各测试指标项的测试结论如表3所示。

表3 测试结论

序号	测试结论	对应GB/T 35273-2020章节号
1	符合	5.1 a)、5.1 b)、5.2 a)、5.2 b)、5.3 b)、5.3 d)、5.3 f)、5.4 a)、5.4 b)、5.4 d)、5.5 a)、5.6、6.3 a) 、8.5 f)
2	不符合	5.3 a)、5.5 d)、8.5 a)、8.5 c)、8.5 d)、8.5 e)

其中，在测试结论中符合与不符合的占比情况如图2所示。

图2 测试结论占比图

3.3.2 问题分析

（1）个人信息的收集

在个人信息的收集部分，共涉及到14项测试指标，其中2项指标的测试结论为符合，12项指标的测试结论为不符合。

在个人信息收集方面，主要存在以下六类问题：

l 问题一：被测APP存在以欺诈、诱骗、误导等方式收集与业务功能无关的个人信息问题。作为查看天气类APP，与电话号码并无直接关联，但强制以电话号码作为账户号码；注册账户时，强制收集用户生日、性别信息；以增强安全性为由强制收集用户密保邮箱信息；以提升使用体验，通过弹窗的方式收集用户的兴趣爱好和擅长的运动信息。

l 问题二：被测APP存在隐瞒和未明示/征得用户同意时，收集个人信息的问题。在隐私政策中以及收集用户设备信息前，均未告知手机用户设备信息的目的、方式和范围；在未明示/征得用户同意时，通过IP地址直接获取用户所处城市位置。

l 问题三：被测APP存在自动采集个人信息过于频繁的问题。在APP使用的5分钟过程中，多次调用权限获取个人信息，其中访问大概位置540次，访问精确位置211次，调用WIFI权限2419次用于获取设备的IP地址以及MAC信息，且2次尝试调用未申请的BODY_SENSORS权限获取个人信息。

l 问题四：被测APP存在未满14周岁的用户在使用时，没有征得监护人明示同意的问题。 虽然隐私政策中向用户告知若用户属于未满12周岁的未成年需要获得监护人的书面同意才能使用APP，但隐私政策中并未明确说明获得书面同意的途径；当使用未满14周岁的信息进行注册后，APP收集个人信息时，也未对用户年龄进行判断。

l 问题五：被测APP的个人信息保护政策存在缺少基本内容的问题。个人信息保护政策中未说明个人信息控制者的基本情况；未使用加粗和变色等特殊标识在个人信息保护政策中标注敏感信息；个人信息保护政策未包含对外共享、转让和公开披露个人信息的说明；未在个人信息保护政策中说明处理个人信息主体询问、投诉的渠道和机制。

l 问题六：被测APP的个人信息保护政策存在不合理征得授权同意例外的问题。在GB/T 35273-2020《信息安全技术 个人信息安全规范》中的5.6章节中明确规定了，个人信息控制者在收集和使用个人信息时，不必征得个人信息主体的授权同意的情况，如表4所示^[3]。但在被测APP的隐私政策中，存在其他征得授权同意的例外的情况，与标准中的规定不符。

表4 征得授权同意的例外情况

（2）个人敏感信息的传输

在个人敏感信息的传输部分，共涉及到1项测试指标，测试结论为不符合。尽管测试样品采用了HTTPS协议与服务器进行数据通信，但是通过对HTTPS协议进行解析，发现在数据包中包含了明文的用户口令信息，而用户口令信息属于个人敏感信息，因此该项为不符合。

（3）个人信息主体的权利

在个人信息主体的权利部分，共涉及到5项测试指标，其中4项指标的测试结论为符合，1项指标的测试结论为不符合。不符合项主要表现在：当用户注销账户后，再次使用相同手机号码进行注册时，提示当前手机号已注册，未及时删除个人信息或匿名化处理。

4 经验总结

根据对被测样品的测试情况，对于个人信息安全测试过程中应着重注意的事项进行了总结：

（1）每一个测试项都需要从多角度进行测试并给出测试结果，不能仅从字面意思理解。例如测试项2.2.1.1 a)不应以欺诈、诱骗和误导的方式收集个人信息，首先需要检查隐私政策中，是否存在未说明收集目的而收集的个人信息的情况；其次，进入APP首页后，执行页面各项功能，检查是否存在以改善服务质量、提升使用体验、增强安全性等为由，申请收集个人信息的情况；再次借助安全测试工具及人工分析，检查是否存在申请时说明的使用目的与实际目的不相符而收集个人信息的情况，最常见的一种是为了查看哪些好友在用。

（2）当前APP授予了通讯录权限后，却在服务器后台上传了整个通讯录，即说明和实际使用目的不符；最后，再根据个人信息收集最小必要原则，判断是否存在强制/非强制收集的个人信息与业务功能无直接关联的情况。无论测试结果是符合还是不符合，都需要将上述情况，甚至于更多的情况进行全面测试，并给出多角度支撑测试结果的直接证据。

（3）测试结果判定为符合项时，需要对测试场景进行详细的分析并设计全面的测试用例，提供的证据应能直接支撑测试结果，不能让评审专家对该测试项存疑。例如，测试项2.2.1.3 a)不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求，首先APP在首次运行时，是否单独申请权限并说明申请该权限所收集的个人信息和目的；其次，APP在使用到需申请权限的功能时，是否单独申请权限并说明申请该权限所收集的个人信息和目的；最后，查看APP的targetSDKVersion值是否大于23。但是，在申请权限并说明的时候，也存在一些例外的情况，比如当用户使用扫一扫等明确功能时申请权限，可以不说明申请权限的目的。

（4）在测试过程中，不能通过猜测下最终的结论，必须提供直接的证据来支撑测试结果。例如，测试项2.2.1.1 b)不应隐瞒产品或服务所具有的收集个人信息的功能，使用工具获取APP与服务器的通讯数据包，当数据包被加密时，在没有分析出传输的实际数据时，不能直接得出APP存在隐瞒收集个人信息的结论；在使用APP的某项功能时，收集并使用了隐私政策中未说明的个人信息，但在功能页面征求了用户的明示同意且告知用户收集个人信息的目的时，也不能得出APP存在隐瞒收集个人信息的结论。

（5）测试结果必须能够追溯到源头，也就是说测试过程文档、测试内容、证明材料必须保持一致，不能出现测试结果与测试过程文档或者是证明材料等不相符的情况。

（6）整改建议能够切实符合实际。当测试项结论为不符合时，应能给出可行、有效的整改措施，不能直接复制标准或给出不能落实的整改措施。

（7）对标准要熟读并有一定的深刻理解。测试人员应对标准理解透彻，能够快速明确测试重点内容并准确定位测试样品中的缺陷。

（8）应通过对不同的APP进行个人信息安全测试，积累丰富的测试经验。能够快速的定位APP所属类型，把握APP收集和使用个人信息的范围，对APP收集个人信息的不同技术有一定的了解。

5 结束语

随着APP的广泛使用，APP违法违规收集、利用个人信息的情况也越来越多^[4]，个人信息安全理应受到更多的关注。本文以某测试APP（安卓版）为被测样品，依据GB/T 35273-2020《信息安全技术 个人信息安全规范》，依次阐述了被测APP的测试内容、测试过程的质量保障措施、安全问题类型分析及测试经验总结。

总的来说，国家正在逐步推进APP个人信息安全治理工作，相信大多数APP在收集和使用个人信息保护方面的措施也会越来越规范，这对测试技术也提出了更高的挑战。

参考文献：

[1]彭春晖，林巧珊.移动智能终端的个人信息安全技术分析[J].电信网技术, 2015, 01:61-64.

[2]王娜，许大辰.移动社交网络中个人信息保护现状的调查与分析--从用户行为习惯视角出发[J].情报杂志, 2015(1):185-189.

[3]吴沈括. GB/T 35273-2017《信息安全技术 个人信息安全规范》[J].标准生活, 2018, No.624(03):32-35.

[4]刘多，落红卫.移动智能终端个人信息安全风险与保护措施[J].保密科学技术, 2013, 000(004):6-10.

作者简介：

宋慧敏，中国软件评测中心，北京市海淀区紫竹院路66号赛迪大厦，100048，1992年11月，女，汉族，江苏省泰州市，硕士研究生，中级工程师，个人信息安全、移动应用安全