观点 | 国外移动设备安全监管策略分析
随着移动设备的通信、计算、存储等能力的不断提升,其应用范围不再局限于通信和娱乐领域,已经扩展到政企移动办公、金融支付等与人们工作和生活密切相关的领域。移动设备存储和处理的用户敏感信息越来越多,使得移动设备成为非法攻击的目标,导致移动设备产生隐私信息泄露、金融资产被盗等安全问题,严重影响着公民的个人权益和国家安全,成为各国监管的重点。下面概要总结分析国外移动设备安全监管策略,以期为我国移动设备安全监管提供借鉴。
1. 国外移动设备安全监管立法情况
国际社会虽没有专门针对移动设备安全监管的法规,但十分重视移动设备上用户信息的保护,立法对移动设备等信息产品收集、共享个人信息的行为进行规范,以避免用户隐私信息泄露和滥用。美国以《隐私权法》、《电子通讯隐私法》等基础性和行业性法律为依据,在个人信息保护方面推动形成了较好的行业自律氛围。同时,在个人信息安全方面,美国针对某个行业或某一部分特定人群制定了专门的法律,如《电子通信隐私法》、《儿童在线隐私保护法》等,这些法规对包括移动设备在内的信息产品收集、存储、使用用户信息进行了规定,防止用户信息泄露和滥用。
日本制定了《个人信息保护法》、《独立行政法人等所持有之个人信息保护法》等多部个人信息保护法律。2011年,日本发布了《智能手机用户信息处理措施(草案)》,从智能手机用户个人隐私的角度,规定了智能手机用户信息保护措施。2011年11月,日本总务省对《电信业个人信息保护条例》第26条“位置信息”进行了修订,新法对个人位置信息的收集、使用、提供给第三方的情形做出了详细规定。
2016年4月,欧洲议会通过《欧盟个人数据保护条例》,以一个统一、泛欧的数据保护法,代替目前各成员国碎片化的现有立法,并明确了“遗忘权”、“数据可携权”等新型用户权利。另外,韩国、澳大利亚也纷纷修订原有个人信息保护的法律法规,这些法规同样适用于移动设备上用户信息的监管。
2. 国外移动设备安全监管相关策略
国际社会主要关注移动设备在国家安全系统、政府、军队等领域的应用监管,提升移动设备安全能力,确保国家安全。2000年1月,美国国家安全系统委员会(CNSS)发布文件,规定进入国家安全系统的信息安全产品,必须通过美国国家信息保障联盟(NIAP)通用准则评估认证体系的评估认证,以及美国国家标准与技术研究院(NIST)的密码模块安全性评估。政府部门采购该类产品时,须从NIAP审查通过的产品清单中选择满足安全要求的产品。
为了保障商业智能手机及平板电脑等移动设备在美国政府和军队中使用的安全,美国国防部、国土安全部、国家安全局等多个部门陆续出台了一系列监管政策,以指导移动信息系统安全防护体系的建设和技术的研发,推动移动设备在政府与军队中的安全应用。从2012年起,美国国防部先后发布了《国防部移动设备战略》、《商用移动设备实施计划》和《移动设备管理方法》等政策或管理文件,建立了针对移动设备安全指导准则,同时规范移动设备安全认证审核流程,以加强移动设备安全机制,降低移动设备安全威胁。2013年11月,美国国家安全局发布了《移动能力包》,提出了在政府和军队信息系统中使用移动设备的安全要求。2013年5月,美国国土安全部发布了《移动安全参考体系结构》,从移动设备数据安全、移动设备管理、移动应用管理等方面,给出了实现移动信息系统安全的参考体系。
2013年起,美国标准组织NIAP和NIST发布了若干移动设备安全标准规范,包括《移动设备基础保护轮廓》、《移动设备管理保护轮廓》、《企业移动设备安全管理指南》等,提出了针对移动设备的安全管理措施,指导政府或企业将安全策略应用到移动设备,为移动设备安全的管理和评测提供依据。
在英国,面向政府、公共部门销售的关键基础设施、信息产品都需要接受源代码审查,本国及外国的设备商均需要通过这一关键步骤才能向政府与公共部门提供信息产品和服务。英国政府通信总部(GCHQ)下设的通信电子安全小组(CESG)负责英国政府通信、信息系统和英国关键基础设施的安全,CESG网站信息显示,通讯产品、操作系统、数据加密产品、服务器等多种关键基础设施都需要进行源代码审查,以便测试和验证这些产品的安全性。
3. 国外移动设备安全监管重点对象
各国针对移动设备安全的监管策略中,移动应用成为移动设备安全监管的重点对象。2013年,美国电信和信息管理局(NTIA)发布了关于移动APP行为准则的倡议,要求APP收集和使用用户数据必须向用户明示,以增强移动APP的透明性;2014年,NIST和NIAP先后发布了《移动应用安全审查》和《应用软件保护轮廓》,规范了评估移动应用安全性的流程和方法。
欧盟委员会数据保护工作组也于2013年发布了《关于智能终端APP的相关意见》,从用户授权、目的限制原则、安全保障措施、用户权利、合理的保留期限等多个方面,分析APP中存在的个人信息保护问题,并分别针对各个产业链的主体如何加强个人信息保护给出了相关意见。
其他国家也相继制定了移动应用安全监管策略。2014年4月,日本智能终端安全社JSSEC发布《Android应用安全设计/安全代码指导》,对Android应用开发组件和用户权限的安全使用做出规定。韩国未来创造部于2014年1月发布了《关于智能手机预置应用准则》,该准则规定从2014年4月起,上市的智能手机应保证用户对于预置应用的选择权以及向用户公开预置应用的相关信息。
4. 国外移动设备安全监管分析
国外针对移动设备安全的监管采取了一系列措施,我国可借鉴国外移动设备安全监管的成功经验并结合我国国情,采取有针对性的措施以加强移动设备安全的监管,保护公民的个人权益和国家安全。
一是逐步完善相关法规和标准。在移动设备监管上,国际社会通过建章立制出台一系列相关的政策法规和标准规范,引导和规范移动设备和移动应用的研发、测试和评估。
二是关注敏感领域移动设备安全监管,加强安全认证。国外关注进入国家安全系统、政府、军队等领域移动设备的安全监管,通过加强政府战略指导、建立安全指导准则、规范安全认证流程等措施,来加强移动设备安全防范,降低移动设备对国家安全的威胁。
三是重点推动移动应用安全监管。各国针对移动设备安全的监管策略中,把移动应用作为移动设备安全监管的重点对象,对移动应用开发、移动应用行为、移动应用安全认证等进行了规范,确保移动应用安全可控。
作者简介
翟世俊,就职于中国信息通信研究院泰尔终端实验室,工学博士,主要从事智能终端、移动应用相关的安全技术研究以及相关标准的制定工作。
邮箱:zhaishijun@caict.ac.cn
推荐阅读