隨著移動互聯網快速發展，各類應用程序迅速普及，在促進經濟社會發展、服務民生等方面發揮了重要作用。與此同時對個人信息保護也帶來了巨大挑戰。近年來，我國越來越重視個人信息保護，個人信息保護力度不斷加強，相關政策、規范相繼出臺。

4月26日，工信部在其官網對外發布《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》。《意見稿》共計20條規定，界定了適用范圍和監管主體。確立了“知情同意”、“最小必要”兩項重要原則。根據《意見稿》要求，在我國境內開展App個人信息處理活動的，應當以清晰易懂的語言告知用戶個人信息處理規則，根據 “最小必要”原則規定，從事App個人信息處理活動的，應當具有明確、合理的目的，并遵循最小必要原則，不得從事超出用戶同意范圍或者與服務場景無關的個人信息處理活動。

圖1 《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》

3月22日國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局四部門聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》（以下簡稱《規定》），旨在落實《中華人民共和國網絡安全法》關于個人信息收集合法、正當、必要的原則，規范移動互聯網應用程序（App）個人信息收集行為，保障公民個人信息安全。《規定》明確了地圖導航、網絡約車、即時通信、網絡購物等39類常見類型移動應用程序必要個人信息范圍，并要求其運營者不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能服務。

《規定》于2021年5月1日起施行。

圖2 《常見類型移動互聯網應用程序必要個人信息范圍規定》

通付盾憑借自身在移動安全領域與隱私保護領域研發服務實力，提供通付盾云權限檢測服務，助力移動應用個人信息信息收集規范化。

通付盾北斗團隊（負責安全合規產品）于2013年成立，8年來專注于移動應用全生命周期的安全研究，積累了豐富的移動應用安全實戰經驗，不斷保持技術研發與創新，致力于為企業提供移動應用全生命周期安全工程解決方案。自研了符號執行、動態沙箱、大數據分析、VMP虛擬機保護、iPA動態殼保護等多個核心技術。團隊所研發產品已服務于上千家各行業客戶，深入到政府、軍工、能源、金融、運營商、教育、醫療、傳媒、交通、互聯網等行業，為數十億級移動終端提供了移動應用安全保障。其中移動應用安全合規檢測成功服務國測、軍測、公安和工信部，實現國家級測評機構全覆蓋。

通付盾北斗團隊（負責安全合規產品）以四部委聯合發布的《規定》為重點依據，參考國家發布的移動互聯網安全管理的其他相關政策文件，經過深入研究分析，對39類移動應用的權限檢測制定了一套完整可施行的檢測標準。

具體應用類型及最低權限要求整理如下：

1 地圖導航

2 網絡約車

3 即時通信

4 網絡社區

5 網絡支付

6 網上購物

7 餐飲外賣

8 郵件快件寄遞

9 交通票務

10 婚戀相親

11 求職招聘

12 網絡借貸

13 房屋租售

14 二手車交易

15 問診掛號

16 旅游服務

17 酒店服務

18 網絡游戲

19 學習教育

20 本地生活

21 女性健康

22 用車服務

23 投資理財

24 手機銀行

25 郵箱云盤

26 遠程會議

27 網絡直播

28 在線影音

29 短視頻

30 新聞資訊

31 運動健身

32 瀏覽器

33 輸入法

34 安全管理

35 電子圖書

36 拍攝美化

37 應用商店

38 實用工具

39 演出票務

通付盾云權限檢測服務依托于先進的動靜雙結合檢測引擎技術，結合云真機檢測平臺，依據檢測標準，對各類應用進行全面檢測，提供專業的檢測報告。權限檢測服務采用了基于以程序分析為核心的靜態分析引擎和以動態運行沙盒為核心的動態檢測引擎，針對App使用全過程進行權限檢測，依據權限檢測標準，主動發現App存在的未經授權擅自收集、過度和非必要收集、頻繁索權和強制收集、隱瞞第三方SDK收集行為、私自共享給第三方等違規采集個人信息使用問題，從而幫助用戶快速、準確地檢測App中存在的敏感權限調用及過度個人信息收集。

檢測流程

圖3 權限檢測流程示意圖

用戶僅需將待檢測應用提交至通付盾云權限檢測服務，平臺將實時監測應用真機環境自動化運行過程，對運行過程中權限申請和調用情況詳細記錄，依據檢測標準對權限申請和調用情況進行智能分析，出具詳細分析報告。

通付盾云權限檢測服務可提供應用檢測詳請分析及檢測報告下載。檢測詳情分析包括檢測結果總覽、超規權限調用詳情、權限調用流程記錄等。

1）權限檢測結果總覽：對超規權限、超規行為、應用風險、第三方SDK的檢測結果做匯總及詳細說明。

圖4 超規權限檢測結果總覽

2）超規權限調用詳情:詳細記錄了調用的權限類型、頁面信息、調用API、調用類等信息。

圖5 超規權限調用詳情

3）權限調用流程記錄：詳細跟蹤記錄了真機檢測的整個執行過程。

圖6 權限調用流程記錄

典型案例

如以下某款學習教育類應用軟件，依據《規定》，（十九）學習教育類，基本功能服務為“在線輔導、網絡課堂等”必要信息為：注冊用戶移動電話號碼。

通過權限檢測發現其在實際使用場景中除獲取手機號碼外，申請及調用的用戶權限包括獲取位置信息、允許安裝和卸載文件系統、讀取底層日志、撥打電話等。嚴重超出了《規定》要求的隱私權限范圍。

圖7 權限檢測結果

通付盾作為國家信息安全技術應用創新聯盟成員單位、國家網絡與信息安全通報機制技術支持單位、國家計算機病毒應急處理中心優秀技術支持單位、中國國家信息安全漏洞庫（CNNVD）技術支撐單位、中國反網絡病毒聯盟（ANVA）白名單工作組成員單位，將繼續不斷加強自身網絡安全技術創新能力，持續為企業履行保護用戶個人信息的責任和義務方面作出貢獻。

今日起，通付盾App權限檢測面向所有用戶免費開放！

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：