“守门人”个人信息保护社会责任测评2.0①：App弱加密和明文传输风险仍存，部分

　　来源：21世纪经济报道

　　21世纪经济报道记者 王俊 吴立洋 实习生 刘悦行 北京报道

　　手机App收集的定位、通讯录，路过商店被拍下的照片，扫码填写的个人信息，信用卡欺诈，大数据杀熟……我们的脸、声音、数字轨迹，被各个主体收集，在察觉不到的地方被处理、使用。个人信息的被动出让几乎成为当代生活的宿命，也带来了越来越突出问题讨论：个人信息保护与数字经济发展之间究竟该如何平衡？

　　2021年11月1日，《个人信息保护法》实施， 成为我国首部专门的个人信息保护方面的法律。《个人信息保护法》创设性提出了“守门人”条款，在第58条以4个款项200余字，规定了“守门人”平台需承担的义务与责任，以期抓住个人信息保护的关键和核心环节。

　　《个人信息保护法》实施后，“守门人”条款仍存在一定的适用性难题。2022年11月，南方财经全媒体集团与中国社会科学院法学所共同组成课题组（以下简称“课题组”）研发“守门人”社会责任指标体系，发布了《“守门人”个人信息保护社会责任测评报告》，为“守门人”平台社会责任履行提供了一把度量尺。

　　为继续推动“守门人”平台履行个人信息保护社会责任，课题组在指标1.0版本上，做了迭代更新，形成“守门人”个人信息保护社会责任测评指标2.0，并于10月31日下午在2023（第九届）中国互联网法治大会上重磅发布《“守门人”个人信息保护社会责任测评指标报告2.0》。

　　指标迭代更新 引入南财数据合规管理平台技术手段检测

　　《个人信息保护法》创设了“守门人”制度，对于提供重要互联网平台服务、拥有巨大用户数量的企业，要求其在自身恪守个人信息保护义务的同时，也应承担“守关者”的角色，对平台治理负有特别义务——“能力越大，责任越大”。

　　按照《个人信息保护法》58条要求，“守门人”平台需“建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构”，“制定平台规则”，对严重违法的平台内经营者停止提供服务，并且要定期发布个人信息保护社会责任报告，接受社会监督。

　　不过，依据《个人信息保护法》“守门人”企业应如何进行制度体系搭建，如何制定平台规则，如何披露个人信息保护社会责任报告？这些问题尚未得到明确答案。

　　课题组研发“守门人”社会责任指标体系，从制度体系建设、组织架构、合规实践、平台治理与社会责任报告五个维度对20个大型平台企业的代表性App做出测评，根据公开的可查询渠道，严格依据指标，对这些“守门人”平台的社会责任履行情况做出判断。

　　课题组以个人信息保护法58条规则为核心指标，吸收《个人信息保护法》其他相关法律规则为基本指标，并参考《数据出境安全评估办法》、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）、《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（GB/T 41391-2022）等相关部门规章和技术标准对法律规则进行补充，形成了个人信息保护社会责任测评指标1.0版本。2023年个人信息保护工作向前迈进，规则体系愈加完善，课题组在指标1.0的基础之上，吸收了《个人信息保护合规审计管理办法（征求意见稿）》等，对指标进行了迭代更新。

　　值得注意的是，今年的指标测评引入了南方财经全媒体集团数据合规管理平台的技术，利用技术手段在数据传输、数据安全保障等方面通过技术手段进行了测评。

　　小程序跳转中部分App传输Cookie存在未加密的用户标识信息

　　技术端测评指标主要依据“传输和存储敏感个人信息时，是否采取加密措施”、“涉及修改个人信息操作时，包含敏感个人信息如手机号码、地理位置、金融账户信息，是否有分类处理并采取加密处理等安全措施”、“App内部查看个人信息，是否有采取有针对性的管理或者安全技术措施”等相关规范。

　　测试通过模拟中间人攻防演练的方式，对App的相关接口和数据传输进行抓包分析，研究不同的数据传输接口是否进行二次加密等情形。

　　数据加密至关重要，涉及个人信息数据的场景，完全加密是维护用户数据隐私的最佳方式。尤其是对于敏感信息，如手机号、地址等，应采用完全加密措施。我们将测试标准分为三个梯度，即完全加密：数据通过加密隧道传输、web接口数据均通过算法加密，无法区分字段和值等信息；部分加密或去标识化：采用常见的方法如JSON内容加密保护、对关键字段进行加密或去标识化等措施；（如传输的数据包中对用户密码等关键字段进行加密，而用户昵称等字段未加密的情形）；弱加密或无加密：传输数据包中的内容通过Base64编码、URL编码，或明文传输。

　　经测试发现，以用户注册、登录场景为例，抽样测试中发现有约20%App，传输的数据包中发现部分未加密的个人信息。

　　App弱加密和明文传输的风险依然存在，在测试中发现部分App进行登录、个人信息授权等操作时，采用明文的方式传递数据包，潜在安全风险较高。若用户处于不安全的网络环境，如在未知的公共WIFI网络中使用App，将面临个人信息被窃取的风险。

　　测试发现涉及金融、支付的App和主流电商App在登录、授权等涉及个人信息传输时，通过在客户端与服务端建立加密隧道的方式进行数据传输，从而保障安全性。社交、分享类的App则倾向通过web接口进行数据传输，部分接口存在安全隐患。

　　此次测试，技术团队对 “APP进入小程序、页面跳转等涉及授权使用个人信息的操作时，检测是否采取加密、去标识化等安全措施”进行测试，测试发现，部分App接口传递的JSON数据已经加密，但在传输的Cookie中发现了未加密的用户标识信息，这反映了在应用程序开发设计中存在考虑不足，应用程序开发者应更全面提高安全意识。

　　课题组负责人：周辉、王俊

　　测评指标制订人：周辉、王俊、娜迪亚、吴红强、卓柳俊、吴立洋、陈勇杰、吴晓燕

　　测评报告出品：南财合规科技研究院

　　统筹：王俊

　　测评人：陈勇杰、吴晓燕、王俊、吴立洋、蔡姝越、钟雨欣、冯恋阁、郑雪、诸未静、周颖、汤雨昕、温莹雪、赵灿畅

　　（作者：王俊 编辑：蔡姝越）

　　举报/反馈