国内移动应用数据安全发展现状

本文参考了信通院发布的移动安全蓝皮书，再次表示感谢

随着移动通信技术的飞速发展，移动应用成为了经济活动和民生需求必不可少的工具，全面覆盖到金融、医疗、教育、办公、交通等各个领域，移动应用种类和数量呈爆发式增长，对社会经济发展的基础性服务作用日益突显。
新时代下，数据作为生产要素参与市场分配，已成为企业发展乃至国家发展的重要战略资产。然而，移动应用前端的过度、强制索权，以及中后端粗放式的安全漏洞管理、数据管理、权限管理，甚至内外勾结陷入数据黑灰产等暗藏隐患，使得数据安全面临严峻挑战，而国内现有安全标准和企业安全管理及技术水平尚不足以攻克这一道难题。
近年来，移动应用数据安全问题越来越得到社会各界的广泛关注，国家、行业、企业积极开展多方共治，协同推进移动应用数据保护工作。国家层面加快立法及标准制定步伐、提供检测工具、加强执法；重点行业先行先试、加强行业自律；企业积极借助安全标准和检测工具，逐步探索最佳安全管理实践。
数据安全立法和标准陆续出台
随着移动应用数据安全领域的快速发展，数据合规立法和标准进入井喷期。《中华人民共和国网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律，对国家安全、社会公共利益，保护公民、法人和其他组织的合法权益等做了要求；《民法典》之人格权编规定了隐私权和个人信息保护；《个人信息保护法（草案）》、《数据安全法（草案）》、国家互联网信息办公室
关于《常见类型移动互联网应用程序（App）必要个人信息范围》 层出不穷。
同时，信息安全技术系列标准不断迭出，《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》均已发布。工业和信息化部日前组织中国信息通信研究院、电信终端产业协会制定发布了《App 用户权益保护测评规范》10 项标准和《App收集使用个人信息最小必要评估规范》8 项系列标准。进一步，未来可预期的顶层的《个人信息保护法》、《数据安全法》均可能会发布，并与《民法典》、《网络安全法》共同成为个人信息保护和数据合规法律体系中的“骨架”，同时进一步通过制订行业标准、国家标准，以及司法案例的丰富，我国的数据法体系将进一步有“血”有“肉”。
数据安全治理和行动持续推进
2021 年 1 月 29 日，银保监会开出 2021 年第一张罚单，某银行因涉及发生数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题，被罚 420 万人民币。类似处罚不是个案事件，执法已经关注到了后端的数据安全治理情况。2020 年 5 月 9日，中国银保监会披露一批罚单，包括 6 家国有大行，2 家股份制银行在内的 8 家银行被罚了 1770 万元。被罚原因是，监管标准化数据（EAST）系统数据质量及数据报送存在违法违规行为，比如理财产品数量漏报、资金交易信息漏报严重等。这是中国银保监会首次就监管标准化数据报送等问题向银行业开出罚单。同时，工信部数据安全能力专项治理仍在持续推进。
数据安全共治模式稳步探索
一是鼓励企业开展自愿性 App 个人信息安全认证工作。2019年 3 月，中央网信办、市场监管总局正式发布《移动互联网应用程序（App） 安全认证实施规则》，明确认证依据、认证模式、认证流程、认证规则、时限等要求。认证需按照 App 运营商自愿申请的原则，由具备资质的认证机构依据相关国家标准对 App 收集、存储、传输、处理、使用个人信息等活动进行评估，符合要求后颁发安全认证证书并允许认证标识。通过鼓励搜索引擎和应用商店优先推荐获证 App 等方式，引导消费者选用安全的 App 产品，提升个人信息保护意识和能力。
二是第三方机构、安全企业探索 App 检测评估服务。相关单位积极开展 App 数据安全与个人信息保护检测能力建设。如已建设的相关平台，可实现应用商店及 App 市场发展和接入情况监测、数据安全和诱骗欺诈风险检测， 强化对应用商店及 App 巡查监测能力，为行业主管部门开展 App 数据安全监管提供技术支撑。部分安全服务企业也建立 App 测试平台，通过静态检测、动态检测、源码扫描等技术，为企业提供本地数据存储、数据传输、加密安全、第三方SDK 等方面的安全检测服务。
三是重点地区和业务领域发布 App 行业自律公约。2014 年，为规范 App 发布虚假信息、窃取用户隐私、非法营销等行为，促进行业健康有序发展，北京市互联网协会组织新浪、网易、搜狗、今日头条等 50 余家互联网企业签署《北京市移动互联网应用程序公众信息服务自律公约》，这是国内首个移动互联网应用行业自律公约。2019 年， 一起教育科技、科大讯飞、极课大数据、思骏科技等企业共同签署学习类 App 行业自律倡议，在内容审核、商业模式、学生信息安全等方面明确了行业准则，承诺不断提升技术防护能力，及时总结推广成功经验，逐步建立学习类 App 使用管理的长效机制。

参考文献

信通院 人工智能数据安全白皮书
信通院 应用程序接口-API数据安全研究报告-2020年
信通院 数据安全技术与产业发展研究报告-2021年
信通院 数据安全治理实践指南-1.0
信通院 数据安全风险分析及应对策略研究-2022年
信通院 数据库发展研究报告
信通院 数据治理研究报告-2020年----培育数据要素市场路线图