移動互聯(lián)網(wǎng)應(yīng)用程序（APP）作為用戶數(shù)據(jù)收集的主要入口，近年來其個人信息保護(hù)問題引發(fā)社會的廣泛關(guān)注。用戶個人信息泄漏、信息過度收集使用、權(quán)限濫用等問題嚴(yán)重威脅了廣大智能終端設(shè)備用戶的切身利益。收集使用規(guī)則不清、收集行為不合理、數(shù)據(jù)隨意共享等現(xiàn)象的存在，將用戶推入隱私與便利的兩難選擇。移動互聯(lián)網(wǎng)用戶個人信息保護(hù)面臨嚴(yán)峻的挑戰(zhàn)。中國泰爾實(shí)驗(yàn)室秉持為廣大消費(fèi)者把好軟硬件產(chǎn)品質(zhì)量，為產(chǎn)業(yè)創(chuàng)新應(yīng)用夯實(shí)平臺基礎(chǔ)，為政府出臺政策提供技術(shù)支撐的社會責(zé)任，在智能終端設(shè)備大規(guī)模應(yīng)用之初，就開始投入大量資源對智能終端設(shè)備的應(yīng)用程序進(jìn)行研究。實(shí)驗(yàn)室通過研發(fā)導(dǎo)向創(chuàng)新、服務(wù)模式創(chuàng)新、評價體系創(chuàng)新、技術(shù)標(biāo)準(zhǔn)創(chuàng)新、檢測對象創(chuàng)新，快速建立了針對智能終端APP的檢驗(yàn)檢測體系。這套檢驗(yàn)檢測體系為保證消費(fèi)者合法權(quán)益，促進(jìn)移動互聯(lián)網(wǎng)行業(yè)高質(zhì)量發(fā)展，維護(hù)國家信息安全,支撐政府開展監(jiān)管發(fā)揮了重要的作用。

一、創(chuàng)新點(diǎn)

（一）研發(fā)導(dǎo)向創(chuàng)新

不同于一般檢驗(yàn)檢測機(jī)構(gòu)以市場需求為研發(fā)導(dǎo)向，泰爾實(shí)驗(yàn)室的技術(shù)和服務(wù)開發(fā)是以消費(fèi)者權(quán)益、行業(yè)利益、國家安全和政府需求為導(dǎo)向的。在10多年前智能移動終端剛開始上市時，泰爾實(shí)驗(yàn)室就意識到了智能移動終端可能導(dǎo)致的社會問題，并積極的開展相關(guān)的研究。在大多數(shù)檢驗(yàn)檢測機(jī)構(gòu)還聚焦在移動終端設(shè)備硬件的檢測方法開發(fā)時，中國泰爾實(shí)驗(yàn)室的技術(shù)人員就率先對當(dāng)時的Android、iOS、WP三大操作系統(tǒng)開始了漏洞測試，并用技術(shù)實(shí)例成功的說服了谷歌、蘋果和微軟三大公司，實(shí)驗(yàn)室的安全漏洞評測報告得到了三大公司的一致認(rèn)可和高度重視。

（二）服務(wù)模式創(chuàng)新

APP的檢測與以往的各類軟硬件檢測有著諸多的不同。其檢測的需求方往往不是某一個企業(yè)，而是一個國家、一個行業(yè)或某一特定群體，故中國泰爾實(shí)驗(yàn)室設(shè)計的服務(wù)模式也與普通的檢驗(yàn)檢測業(yè)務(wù)有所不同，實(shí)驗(yàn)室不僅要能提供面向產(chǎn)品的檢驗(yàn)檢測服務(wù)，還要能提供面向設(shè)計開發(fā)、售后服務(wù)全過程的分析、測試等系統(tǒng)性服務(wù)，甚至要在整體解決方案提供、售后延伸等領(lǐng)域開展服務(wù)，這都是實(shí)驗(yàn)室之前沒有做過的。在不斷的服務(wù)模式探索中，中國泰爾實(shí)驗(yàn)室逐步形成了以提高相關(guān)方安全能力為目標(biāo)的鐵三角服務(wù)模式，即以檢測技術(shù)服務(wù)為基礎(chǔ)，配合提供檢測咨詢服務(wù)和檢測培訓(xùn)服務(wù)。

這種鐵三角的服務(wù)模式，不僅為相關(guān)方提供了發(fā)現(xiàn)問題的手段，而且提供了解決問題的方法，受到了各方的歡迎。

（三）評價體系創(chuàng)新

中國泰爾實(shí)驗(yàn)室通過深入分析APP個人信息保護(hù)關(guān)鍵技術(shù)和法律法規(guī)要求，研究Android、iOS、小程序、快應(yīng)用等技術(shù)實(shí)現(xiàn)原理，創(chuàng)新性的提出了用戶權(quán)益保障體系。

用戶權(quán)益保障體系包括十大檢測要點(diǎn)：1、違規(guī)收集個人信息；2、超范圍收集個人信息；3、違規(guī)使用個人信息；4、強(qiáng)制用戶使用定向推送功能；5、APP強(qiáng)制、頻繁、過度索取權(quán)限；6、APP頻繁自啟動和關(guān)聯(lián)啟動；7、欺騙誤導(dǎo)強(qiáng)迫用戶；8、欺騙誤導(dǎo)用戶提供個人信息；9、應(yīng)用分發(fā)平臺上的APP信息明示不到位；10、應(yīng)用分發(fā)平臺管理責(zé)任落實(shí)不到位。

該體系解決了APP治理要求不清晰的難點(diǎn)問題，為落實(shí)《個人信息保護(hù)法》，規(guī)范APP處理行為，支撐開展APP深度治理奠定了基礎(chǔ)。

（四）技術(shù)標(biāo)準(zhǔn)創(chuàng)新

中國泰爾實(shí)驗(yàn)室開發(fā)APP檢測技術(shù)能力的同時，非常重視標(biāo)準(zhǔn)的制修訂工作，十多年以來先后制定了YD/T1886《移動終端芯片安全技術(shù)要求和測試方法》、YD/T2674《移動智能終端安全能力設(shè)計導(dǎo)則》、YD/T2407《移動智能終端安全能力技術(shù)要求》、YD/T2408《移動智能終端安全能力測試方法》、YD/T3082《移動智能終端上的個人信息保護(hù)技術(shù)要求》、YD/T3039《移動終端應(yīng)用軟件安全技術(shù)要求》、YD/T3228《移動應(yīng)用軟件安全評估方法》等一系列行業(yè)標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)的內(nèi)容都是在實(shí)驗(yàn)室自行研究開發(fā)的基礎(chǔ)上提出的，在全球都具有獨(dú)創(chuàng)性，為相關(guān)領(lǐng)域檢驗(yàn)檢測工作的開展奠定了堅實(shí)的技術(shù)基礎(chǔ)。

（五）檢測對象創(chuàng)新

中國泰爾實(shí)驗(yàn)室在開展APP檢測服務(wù)的過程中發(fā)現(xiàn)，第三方軟件開發(fā)工具包（SDK）存在安全漏洞多，收集使用個人信息規(guī)則不明確等問題，對APP個人信息保護(hù)構(gòu)成較大風(fēng)險。為增強(qiáng)APP個人信息保護(hù)水平，實(shí)驗(yàn)室將SDK作為獨(dú)立的檢測對象納入了測試服務(wù)范圍。實(shí)驗(yàn)室的SDK測評是針對某家SDK進(jìn)行單獨(dú)的安全測評，一般應(yīng)用于APP運(yùn)營方新引入的SDK合作方安全檢測，或運(yùn)營過程中風(fēng)險較高的SDK中心進(jìn)行安全測評和評估。SDK測評對象的引入，將APP背后侵犯個人信息的產(chǎn)業(yè)鏈暴露了出來，為政府和行業(yè)的治理明確了方向。

二、工作成效

中國泰爾實(shí)驗(yàn)室通過獨(dú)特的APP檢驗(yàn)檢測體系，為政府實(shí)施監(jiān)管提供了數(shù)據(jù)支持和決策依據(jù)，支撐政府構(gòu)建起了APP治理體系。

產(chǎn)業(yè)方面，中國泰爾實(shí)驗(yàn)室針對相關(guān)行業(yè)監(jiān)管要求落實(shí)中的問題，提供及時準(zhǔn)確的咨詢服務(wù)，以“服務(wù)性、公正性、獨(dú)立性和科學(xué)性”為原則，貫徹和執(zhí)行國家對APP安全檢測咨詢服務(wù)方面的法律法規(guī)，依法維護(hù)參與單位利益。基于服務(wù)企業(yè)發(fā)展、促進(jìn)產(chǎn)業(yè)創(chuàng)新的理念，不斷優(yōu)化、調(diào)整治理方向和治理方案，促進(jìn)APP產(chǎn)業(yè)在數(shù)字化轉(zhuǎn)型中發(fā)展壯大，檢測服務(wù)得到了客戶的一致認(rèn)可。

民生方面，在中國泰爾實(shí)驗(yàn)室的治理支撐下，2021年第二季度以來，互聯(lián)網(wǎng)企業(yè)開屏彈窗信息投訴量環(huán)比下降50%，用戶使用量排名前100的APP應(yīng)用中，開屏信息關(guān)閉按鈕“找不到、關(guān)不了”的問題發(fā)現(xiàn)率由69%下降至1%，誤導(dǎo)用戶點(diǎn)擊跳轉(zhuǎn)第三方頁面問題發(fā)現(xiàn)率由90%下降至12%。大大提升人民群眾獲得感、幸福感、安全感。

中國泰爾實(shí)驗(yàn)室提供的APP檢驗(yàn)檢測服務(wù)，在政府治理、產(chǎn)業(yè)創(chuàng)新、民生改善等方面發(fā)揮了重要的作用，社會效益顯著。