談到個人信息安全的話題，尤其是App個人信息收集處理，占比高達百分之八九十，所以我們把App個人信息安全治理作為個人信息保護實踐重要的方向來探討。App個人信息安全治理在我們國家個人信息保護的監管上是最受關注且力度最大的一個方面。

一、App個人信息安全治理基本情況

1、個人信息保護持續成為社會熱點事件

關于2018年某支付App年度賬單事件很有代表性，該App年度賬單默認勾選“同意”，會同時授權旗下的“信用”功能去使用賬單內容。我們用傳統的思維方式去分析，保密性、完整性和可用性，好像都沒有受到影響，那問題出在哪兒？

是我們的權益受到了侵害，我們本來不愿意授權給他，很多情況默認勾選就不小心給了授權。個人信息保護的核心特點，是除了傳統信息安全問題以外，還有個人權利保障的內容。

2、個人信息安全治理

2019年1月，中央網信辦、工信部、公安部、市場監管總局發布《關于開展App違法違規收集使用個人信息專項治理的公告》。

3、App個人信息安全認證

市場監管總局、中央網信辦聯合發布《關于開展App安全認證工作的公告》，作為解決APP違法違規收集個人信息問題的長效機制。

4、App安全治理中的處罰案例

App個人信息安全治理工作，不是單純意義上的處罰，而是一個非常綜合、從法律法規編制，從檢測評估中發現問題，到通報問題、整改處罰，以及相關認證，給民眾宣傳科普知識的一套綜合方法。

二、App個人信息安全治理相關法規標準

App安全治理相關標準是一個全面的參考文件，可以幫助App運營者全面開展合規建設。

我們可以把不同App收集的個人信息和上面的關系做對應，在讀隱私政策的時候，判斷是不是必要的，是不是非必要但有關聯的，如果隱私政策里的內容不滿足上述框架，則可能收集了無關信息。

三、App個人信息安全檢測與問題判定

1、App個人信息安全檢測技術

代碼檢測（靜態檢測）

通過逆向Apk，反編譯出Apk代碼文件，再通過關鍵詞（API）檢索源代碼的方式進行合規性判定。

優點：檢測速度快；通用性強；技術簡單。

缺點：無法確定是否合規；加固后無法檢測。

行為檢測（動態監測）

通過Hook沙箱或操作系統沙箱技術，在App運行的過程中，在特定的API進行埋點，查看App執行了此API，從而判斷是否合規。

優點：檢測確認性高；100%能檢測。

缺點：技術復雜；通用性差。

從流程上來講,真正做一次App個人信息安全檢測，應該要有一個比較完善的準備實施，比如檢測App的樣本一定要有固定的版本。

此外，對于App測評也在做相應的標準,標準名稱為“移動互聯網應用程序（App）個人信息安全測評規范”。

在動態分析的過程中，明確看到網絡數據包包含這條信息，而且確認在點擊同意隱私政策之前，這條信息已經上傳到某個服務器上，所以可以認為在用戶同意前，已收集用戶MAC地址。

四、App個人信息安全治理的創新發展

據估算，現在大約有300多萬個App在應用市場上架，還有大量的App為了規避管理，不在應用市場上架，在第三方廣告里分發，還有一些可能是通過掃描二維碼，點擊短信鏈接等方式進行安裝。要進一步提升治理的成效，三條思路可供參考：基于移動操作系統的治理思路、基于應用商店的治理思路和基于互聯網平臺履責的治理思路。

五、總結

App個人信息安全治理除了檢測、發現問題和通報問題以外，還能怎么去治理？在國際上來看，對App的專項治理的經驗不多，從側面反映，我國監管部門對此很重視，反應也很迅速。

在監管、監督工作持續加強的背景下，App的更新也很頻繁，以前App是根據功能和業務更換版本，現在是根據合規的要求更換版本。在合規要求越來越細致的情況之下，用戶選擇權將得到充分保障，反之選擇題都給我們用戶側了，比如以后如果所有的第三方共享都會給我們選擇，我們可能會面臨無數個選擇題，如何做好選擇也是每個人需要面對的難題。

實際上，個人信息這一類數據要發揮價值，關鍵還在應用和流通。我們個人和APP應該怎么去適應呢？這就需要不斷地去研究、去嘗試、去創新，使App既簡單易用，安全隱私保護又做的好，還要讓個人信息給我們帶來更大價值。

內容整理：陳龍

總結

以上是生活随笔為你收集整理的干货 | 何延哲：App个人信息安全治理的规则、案例与思考的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。