以下内容整理自清华大学《数智安全与标准化》课程大作业期末报告同学的汇报内容。
第一部分:研究背景概述
截止今年6月,我国已经有APP 232万款,手机网民达到10.47亿,在APP中大规模的个人信息收集和使用成为常态,个人信息安全也极容易受到威胁。
在对已有的APP个人信息安全检测工具进行调研后,我们发现这些工具主要为开发者、运营商服务,而我们希望能够从用户的角度出发,聚焦APP使用场景下,用户个人信息安全自我评测工具的框架设计与初步开发。
第二部分:政策标准梳理
从网络安全法颁布后一系列更加精细的聚焦的个人信息安全的规范标准相继发布。
在对APP收集个人信息基本要求,个人信息安全测评规范(送审稿)等标准的梳理中,我们总结得到APP个人信息安全测试可涵盖的方面。
这里列举几个可能危害到个人信息安全的典型问题,大家可能也都遇到过。
第三部分:数据采集及数据库设计
明确了研究焦点,那么我们该如何去建立一个便于评测工具去调用的数据库呢?我们通过背景调查问卷、服务方数据采集和个人信息及用户行为数据采集的方式来建立数据库。
通过前期发放的背景调查,我们从用户、服务方和信息维度去调查清华同学,获得用户的安全意识及行为习惯、各类型APP的使用情况,以及用户可能泄露的个人信息。
第四部分:评测工具算法设计
在数据库建立的基础上,我们推进了自我评测工具算法设计,评测体系划分为三个维度。
在服务方维度评测指标构建中,通过APP在数据库中的违规记录数计算出APP本身的信息安全风险,并列出相关的违规警示项目给用户反馈建议。
同理,我们通过APP所在企业在数据库中的违规警示记录数计算企业本身的信息安全风险。
根据APP服务方提供的隐私条款及设备权限清单,我们也树立了9款典型APP的个人信息索取数、敏感信息索取数和设备权限索取数的指标,并且对这三项指标计算评分。
在信息维度评测指标构建中,我们将用户可能授权的个人信息分为四类,包括位置授权、身份授权,危险授权和其他信息授权。
如表格所示,根据信息本身建立指标并列出对应反馈内容和细分项。
在用户维度评测指标构建中,通过在评测工具中询问用户是否准确熟知这些权限的约定,可得到其对隐私政策的关注、了解程度,以及用户自身的安全意识。
如表格所示,结合用户使用APP时的常见行为来反馈用户对隐私的政策关注、安全意识、行为习惯和风险预警情况。
第五部分:算法实现与评测结果
在数据库和评测指标构建完成后,我们设计了用户自我评测个人信息安全的工具原型。该工具采用python编写,能够通过读取用户各个维度的信息,综合判断用户在各个方面信息安全保护的短板,使用雷达图直观展示,并提出针对性建议。
第六部分:反思与展望
以上是我们组的展示,请各位专家批评指正。
编辑整理:陈龙
