前沿 | 交通运输应用程序安全保护研究
2023-12-7 18:7:0 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 交通运输部公路科学研究院 周艳芳、欧梓涵; 交通运输部科学研究院 杨艳芳
近年来,移动互联网与交通运输行业深度融合。随着交通运输应用程序(App)的迅速发展,也出现了许多不规范和不合法的现象,其中,基于定位信息、票务信息、约租车辆信息、物流信息等衍生的 App 与人民群众联系最为密切,也是信息过度收集、窃取以及有害网络内容的重灾区,对用户个人信息和财产安全造成了损害。在由四部委联合开展的 App 治理行动中,一些广泛应用的 App 因为违法违规收集个人信息而被通报。随着 App 个人信息安全问题的频繁出现,对 App 个人信息保护方面的研究逐渐成为热点。相关的研究重点聚焦在三个方面:一是从宏观层面分析 App 个人信息保护存在的问题,并提出应对的解决方案;二是关注个人隐私保护,并针对 App 的技术架构进行有针对性的研究;三是从监管、法律和标准规范层面对 App 个人信息保护进行研究,同时也从技术层面研究 App 的安全隐患检测技术。本文主要聚焦于公路水路交通运输 App 的个人信息保护问题,通过抽样调查和统计结果,分析了公路水路交通运输 App 个人信息保护存在的问题,并提出了规范公路水路交通运输 App 发展的建议。

一、公路水路交通运输 App 发展现状

公路水路交通运输行业的 App 主要涉及日常办公、政务管理、出行服务、快递物流等业务。根据国家互联网应急处置中心提供的数据,截至2022 年底,各大应用商店上架的交通运输类(含铁路、民航、邮政)App 约 1.5 万款。这些 App 主要包括四类:第一类是定位导航类,如百度地图、高德地图;第二类是网络约车类,如滴滴出行、首汽约车、美团(打车和单车服务);第三类是货运和快递物流类,如顺丰等;第四类是交通票务和行程管理类,如航旅纵横、铁路 12306、南方航空等各大航空公司 App 以及各级公路水路、航空票务管理单位自行开发的 App。此外,还有各级行政主管部门的移动政务 App 等。近年来,不断涌现的超级 App 将行程管理、票务等生活服务功能有机地整合在一起,如携程、同程、支付宝以及前述的美团等。

目前,应用商店上架的交通运输类 App 的开发和运营主体主要包括互联网企业、交通运输各级行政机构、事业单位、各类交通运输企业和个人。其中,互联网企业开发的交通运输类 App 数量最多,而各级交通运输行政部门开发和运营的 App 较少。以公路水路交通运输 App 为例,根据抽样调研结果显示,21 个省级公路水路交通运输主管部门共建设和使用了 31 款 App,主要以提供公路水路出行服务和行业监管为主,其中公开上架的有 15 款。交通运输部所属的 17 个单位共建设和使用了 13 款 App,主要用于办公应用,涉及业务较少,在应用商店上架的有 2 款。地市级公交和地铁基本以企业为主体,建设了包含出行路线规划、票务服务、信息公布等功能在内的App。随着国家 App 治理力度的不断加强,近两年来,公路水路交通运输领域的公众出行服务类 App 的数量逐渐减少。其中,长途客运票务服务逐渐倾向于与市场占有率高的 App,如携程、同程等进行合作,客运企业通过开放数据接口的方式在多个平台上提供票务服务。
在公路水路交通运输 App 的管理方面,《交通运输部网络安全管理办法》明确要求对与网络建设同步开发的 App 进行备案,并在该办法的第五章“数据安全”环节明确规定了个人信息的合法合规收集和使用,并对个人信息采集和使用的流程做出了原则性规定。然而,该办法在管理对象上存在一定的局限性,主要针对公路水路交通运输政务 App,难以对交通运输企业和互联网企业开发的公路水路交通运输 App 进行约束。

二、公路水路交通运输 App 存在问题的分析

公路水路交通运输 App 快速发展的同时,也出现了许多不规范和不合法的现象,其中,基于定位信息、票务信息、约租车辆信息、物流信息等衍生的 App 与人民群众联系最为密切,也是信息过度收集、窃取以及有害网络内容的重灾区,对用户个人信息和财产安全造成了损害。

(一)公路水路交通运输 App 个人信息保护问题的分析
为深入分析公路水路交通运输 App 存在的问题,本文基金项目研究团队在取得 App 运营主体的同意后,委托国家互联网应急中心对 18 款 App 个人信息采集合规性开展深入检测分析。本次检测的 18 款 App 基本上未在应用商店上架,涉及部分省交通运输厅和交通运输部的下属企事业单位。检测结果显示,每款 App 平均存在 3 项以上的个人信息违规采集问题。根据《App 违法违规收集使用个人信息行为认定方法》,总结存在的典型问题如表所示:

表 违法违规收集使用个人信息问题 App 情况

从检测统计结果可知,存在“违反必要原则,收集与其提供的服务无关的个人信息”问题的 App 数量最多,占测试 App 总数的 83.3%,其次是“未经用户同意收集使用个人信息”“未公开收集使用规则,无隐私政策”等问题。总体来看,各单位建设和使用的 App 在个人信息保护方面仍需不断完善,以符合国家相关法律法规和标准规范的要求。
(二)公路水路交通运输 App 网络安全隐患
App 的网络安全主要涉及客户端的安全,包括代码安全、数据安全和传输安全三个方面。经过对 6 款在应用商店上架的地市公交和地铁出行 App 进行检测,结果显示,每款 App 都存在 10 项以上的网络安全风险。这 6 款 App 中,均存在“客户端数据传输过程中,用户手机号等敏感信息未经过加密,存在被攻击者窃取敏感数据的风险”。此外,部分 App 存在中间人攻击漏洞,其中 3 款 App 的代码未经过混淆处理,无法有效防范代码被逆向反编译的风险。
从调研开展的 App 检测结果来看,各 App 存在的安全隐患带来的安全威胁主要包括三个方面:一是信息泄露,即未对业务信息或流程进行有效的保护,容易导致个人信息泄露;二是未进行加密存储,在信息传输和存储过程中未对重要信息采用加密措施;三是应用软件的恶意篡改,即未对源代码进行加固处理,容易让非法用户恶意篡改应用软件。
(三)问题成因分析
分析导致公路水路 App 存在问题的原因,主要可以归结为管理和技术两个方面:
一是公路水路交通运输行业 App 管理体制机制不完善。各单位在 App 的建设和管理方面缺乏规范,未建立 App 的备案机制,也未建立相关的安全开发相关管理规范。对于引入合作的 App,缺乏必要的审核流程和机制,未对合作 App 的运营单位提出明确的数据安全和个人信息保护要求。
二是公路水路 App 的安全防护能力不足。App 的开发过程过于注重业务和性能,忽略了安全和个人信息保护。未采取必要的措施对 App 实施代码混淆等加固措施。程序开发质量不高,未进行 App 代码检测,导致开发的 App 存在漏洞等风险隐患,可能成为攻击其他关联系统的跳板。部分 App 的部署环境未采取必要的防病毒、防信息泄露、加密传输和存储等防护措施。

三、规范公路水路交通运输行业 App 的对策建议

党和国家高度重视移动互联网发展所带来的各种问题,不断完善法律法规和标准规范,健全监管体制机制。《个人信息保护法》《数据安全法》以及相关标准规范的出台,为规范 App 个人信息保护提供了重要的法律和技术支撑。App 的发展事关网络强国战略的有效实施,事关网络空间的清朗和人民的切身利益,事关各行业新技术和新业态的蓬勃发展,必须予以高度重视。交通运输行业需认真落实党中央关于这方面的部署,站在为智慧交通提供服务和保障的高度上,积极运用互联网思维,统筹谋划相关工作,不断规范和引导行业移动互联网应用,并切实抓好个人信息保护工作。

随着新技术和新业务的不断发展,App 应用的领域将越来越广泛,违法违规收集和使用个人信息的问题短期内可能无法得到根本解决。监管数以万计的 App 全覆盖全过程存在巨大的困难,因此,必须在法律法规授权的范围内,“抓关键重点”,探索形成交通运输 App 的监管机制。
一是形成公路水路交通运输 App 清单,并建立公示制度,探索建立 App 监管责任体系。根据《交通运输部网络安全管理办法》,交通运输部机关、部属单位以及省厅组织自行或委托开发、运行的 App 应按照网络安全管理办法进行管理,尽快建立 App 清单。对于交通运输企业开发的 App,相关部门要加强监管、建立清单,并参照部里的管理办法进行管理。通过清单,了解上述 App 涉及的业务类型、建设运营主体、安全认证、备案、安全测试等情况。对于社会上开发的交通类 App,应发挥新业态协同监管机制的作用,协调网信、工信、公安等部门加强监管。对于与上述单位存在数据交互的互联网企业或个人开发的 App,应进行梳理,根据数据安全防护和个人信息保护的有关要求,明确对交互数据的保护要求。按照“谁主管谁负责、谁开发谁负责、谁选用谁负责”的原则,建立健全 App 管理责任体系,落实体制内相关单位 App 运营主体的建设、监管和运行责任。对于关键重点的 App,鼓励其自愿进行认证,并按照相关标准进行安全检测。
二是研究制定行业 App 开发及保护工作指导意见。持续推进交通运输 App 的合法合规相关工作。系统梳理 App 相关的政策要求和标准规范,结合行业各单位的实际情况,分析 App 规划、设计、开发和运行等各个环节存在的问题,针对性地提出解决方案,并形成指导意见或工作规范,以确保 App 的数据安全和个人信息保护合规,同时确保网络安全保障到位。
三是探索形成交通运输新业态协同监管部际联席会议机制下的多部门协同联动的 App 监管机制。发挥交通运输新业态协同监管部际联席会议机制的作用,全面梳理交通运输 App 相关问题。结合国家有关部门开展的 App 治理活动,配合公安、工信等部门对市场占有率高的 App 进行整治。
四是探索建立交通运输 App 监测机制。依托各单位网络安全技术支持部门和监测预警平台,开展交通运输 App 的检测和监测工作,及时通报和处置相关问题。加强与相关职能部门、专业机构、行业协会和企业的合作,通过技术检测和人工查看相结合的方式,建立常态化的监测预警和通报机制。同时,建立交通运输 App 的社会监督渠道,及时受理人民群众对交通运输类 App 违法违规行为的举报和改进建议,主动回应社会关切,切实解决群众关心的问题。
五是建立涉及出行服务、物流配送等业务的 App 的推荐、选用和备案机制。针对需要与交通运输各级行政主管部门、企事业单位等进行数据交互以提供交通运输服务的第三方 App,可以按照公平、公正和公开的原则,探索建立 App 评议机制。各相关单位应完善市场主体对交通运输 App 的选用制度,明确选用 App 的基本要求,并在与第三方 App 建立合作时,明确规定各方的责任和义务。【本文系基金项目交通强国试点项目(QG2021-2-9-1、QG2021-2-10-1)和中央级公益性科研院所基本科研业务费专项资金项目(2021-9078a)的阶段性研究成果】

(本文刊登于《中国信息安全》杂志2023年第8期)

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664199344&idx=2&sn=bdf98c41251ce46ede384a88c8122009&chksm=8b597649bc2eff5ff2be001798d63f50025ff5597427a436b9593df11638b6797b78ea516b3e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh