隨著移動互聯(lián)網(wǎng)快速發(fā)展，各類應(yīng)用程序迅速普及，在促進(jìn)經(jīng)濟(jì)社會發(fā)展、服務(wù)民生等方面發(fā)揮了重要作用。與此同時(shí)對個人信息保護(hù)也帶來了巨大挑戰(zhàn)。近年來，我國越來越重視個人信息保護(hù)，個人信息保護(hù)力度不斷加強(qiáng)，相關(guān)政策、規(guī)范相繼出臺。

4月26日，工信部在其官網(wǎng)對外發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》。《意見稿》共計(jì)20條規(guī)定，界定了適用范圍和監(jiān)管主體。確立了“知情同意”、“最小必要”兩項(xiàng)重要原則。根據(jù)《意見稿》要求，在我國境內(nèi)開展App個人信息處理活動的，應(yīng)當(dāng)以清晰易懂的語言告知用戶個人信息處理規(guī)則，根據(jù) “最小必要”原則規(guī)定，從事App個人信息處理活動的，應(yīng)當(dāng)具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務(wù)場景無關(guān)的個人信息處理活動。

圖1 《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》

3月22日國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》（以下簡稱《規(guī)定》），旨在落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》關(guān)于個人信息收集合法、正當(dāng)、必要的原則，規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息收集行為，保障公民個人信息安全?！兑?guī)定》明確了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通信、網(wǎng)絡(luò)購物等39類常見類型移動應(yīng)用程序必要個人信息范圍，并要求其運(yùn)營者不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能服務(wù)。

《規(guī)定》于2021年5月1日起施行。

圖2 《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》

通付盾憑借自身在移動安全領(lǐng)域與隱私保護(hù)領(lǐng)域研發(fā)服務(wù)實(shí)力，提供通付盾云權(quán)限檢測服務(wù)，助力移動應(yīng)用個人信息信息收集規(guī)范化。

通付盾北斗團(tuán)隊(duì)（負(fù)責(zé)安全合規(guī)產(chǎn)品）于2013年成立，8年來專注于移動應(yīng)用全生命周期的安全研究，積累了豐富的移動應(yīng)用安全實(shí)戰(zhàn)經(jīng)驗(yàn)，不斷保持技術(shù)研發(fā)與創(chuàng)新，致力于為企業(yè)提供移動應(yīng)用全生命周期安全工程解決方案。自研了符號執(zhí)行、動態(tài)沙箱、大數(shù)據(jù)分析、VMP虛擬機(jī)保護(hù)、iPA動態(tài)殼保護(hù)等多個核心技術(shù)。團(tuán)隊(duì)所研發(fā)產(chǎn)品已服務(wù)于上千家各行業(yè)客戶，深入到政府、軍工、能源、金融、運(yùn)營商、教育、醫(yī)療、傳媒、交通、互聯(lián)網(wǎng)等行業(yè)，為數(shù)十億級移動終端提供了移動應(yīng)用安全保障。其中移動應(yīng)用安全合規(guī)檢測成功服務(wù)國測、軍測、公安和工信部，實(shí)現(xiàn)國家級測評機(jī)構(gòu)全覆蓋。

通付盾北斗團(tuán)隊(duì)（負(fù)責(zé)安全合規(guī)產(chǎn)品）以四部委聯(lián)合發(fā)布的《規(guī)定》為重點(diǎn)依據(jù)，參考國家發(fā)布的移動互聯(lián)網(wǎng)安全管理的其他相關(guān)政策文件，經(jīng)過深入研究分析，對39類移動應(yīng)用的權(quán)限檢測制定了一套完整可施行的檢測標(biāo)準(zhǔn)。

具體應(yīng)用類型及最低權(quán)限要求整理如下：

1 地圖導(dǎo)航

2 網(wǎng)絡(luò)約車

3 即時(shí)通信

4 網(wǎng)絡(luò)社區(qū)

5 網(wǎng)絡(luò)支付

6 網(wǎng)上購物

7 餐飲外賣

8 郵件快件寄遞

9 交通票務(wù)

10 婚戀相親

11 求職招聘

12 網(wǎng)絡(luò)借貸

13 房屋租售

14 二手車交易

15 問診掛號

16 旅游服務(wù)

17 酒店服務(wù)

18 網(wǎng)絡(luò)游戲

19 學(xué)習(xí)教育

20 本地生活

21 女性健康

22 用車服務(wù)

23 投資理財(cái)

24 手機(jī)銀行

25 郵箱云盤

26 遠(yuǎn)程會議

27 網(wǎng)絡(luò)直播

28 在線影音

29 短視頻

30 新聞資訊

31 運(yùn)動健身

32 瀏覽器

33 輸入法

34 安全管理

35 電子圖書

36 拍攝美化

37 應(yīng)用商店

38 實(shí)用工具

39 演出票務(wù)

通付盾云權(quán)限檢測服務(wù)依托于先進(jìn)的動靜雙結(jié)合檢測引擎技術(shù)，結(jié)合云真機(jī)檢測平臺，依據(jù)檢測標(biāo)準(zhǔn)，對各類應(yīng)用進(jìn)行全面檢測，提供專業(yè)的檢測報(bào)告。權(quán)限檢測服務(wù)采用了基于以程序分析為核心的靜態(tài)分析引擎和以動態(tài)運(yùn)行沙盒為核心的動態(tài)檢測引擎，針對App使用全過程進(jìn)行權(quán)限檢測，依據(jù)權(quán)限檢測標(biāo)準(zhǔn)，主動發(fā)現(xiàn)App存在的未經(jīng)授權(quán)擅自收集、過度和非必要收集、頻繁索權(quán)和強(qiáng)制收集、隱瞞第三方SDK收集行為、私自共享給第三方等違規(guī)采集個人信息使用問題，從而幫助用戶快速、準(zhǔn)確地檢測App中存在的敏感權(quán)限調(diào)用及過度個人信息收集。

檢測流程

圖3 權(quán)限檢測流程示意圖

用戶僅需將待檢測應(yīng)用提交至通付盾云權(quán)限檢測服務(wù)，平臺將實(shí)時(shí)監(jiān)測應(yīng)用真機(jī)環(huán)境自動化運(yùn)行過程，對運(yùn)行過程中權(quán)限申請和調(diào)用情況詳細(xì)記錄，依據(jù)檢測標(biāo)準(zhǔn)對權(quán)限申請和調(diào)用情況進(jìn)行智能分析，出具詳細(xì)分析報(bào)告。

通付盾云權(quán)限檢測服務(wù)可提供應(yīng)用檢測詳請分析及檢測報(bào)告下載。檢測詳情分析包括檢測結(jié)果總覽、超規(guī)權(quán)限調(diào)用詳情、權(quán)限調(diào)用流程記錄等。

1）權(quán)限檢測結(jié)果總覽：對超規(guī)權(quán)限、超規(guī)行為、應(yīng)用風(fēng)險(xiǎn)、第三方SDK的檢測結(jié)果做匯總及詳細(xì)說明。

圖4 超規(guī)權(quán)限檢測結(jié)果總覽

2）超規(guī)權(quán)限調(diào)用詳情:詳細(xì)記錄了調(diào)用的權(quán)限類型、頁面信息、調(diào)用API、調(diào)用類等信息。

圖5 超規(guī)權(quán)限調(diào)用詳情

3）權(quán)限調(diào)用流程記錄：詳細(xì)跟蹤記錄了真機(jī)檢測的整個執(zhí)行過程。

圖6 權(quán)限調(diào)用流程記錄

典型案例

如以下某款學(xué)習(xí)教育類應(yīng)用軟件，依據(jù)《規(guī)定》，（十九）學(xué)習(xí)教育類，基本功能服務(wù)為“在線輔導(dǎo)、網(wǎng)絡(luò)課堂等”必要信息為：注冊用戶移動電話號碼。

通過權(quán)限檢測發(fā)現(xiàn)其在實(shí)際使用場景中除獲取手機(jī)號碼外，申請及調(diào)用的用戶權(quán)限包括獲取位置信息、允許安裝和卸載文件系統(tǒng)、讀取底層日志、撥打電話等。嚴(yán)重超出了《規(guī)定》要求的隱私權(quán)限范圍。

圖7 權(quán)限檢測結(jié)果

通付盾作為國家信息安全技術(shù)應(yīng)用創(chuàng)新聯(lián)盟成員單位、國家網(wǎng)絡(luò)與信息安全通報(bào)機(jī)制技術(shù)支持單位、國家計(jì)算機(jī)病毒應(yīng)急處理中心優(yōu)秀技術(shù)支持單位、中國國家信息安全漏洞庫（CNNVD）技術(shù)支撐單位、中國反網(wǎng)絡(luò)病毒聯(lián)盟（ANVA）白名單工作組成員單位，將繼續(xù)不斷加強(qiáng)自身網(wǎng)絡(luò)安全技術(shù)創(chuàng)新能力，持續(xù)為企業(yè)履行保護(hù)用戶個人信息的責(zé)任和義務(wù)方面作出貢獻(xiàn)。

今日起，通付盾App權(quán)限檢測面向所有用戶免費(fèi)開放！

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：