个人信息保护问题亟待解决，企业需要关注如何保护用户个人信息，开源网安IAST灰盒安全测试工具，助力执行敏感数据检测。​

个人信息严重裸奔，立法保护迫在眉睫

数字显示，截至2020年3月，我国互联网用户已达9亿，互联网网站超过400万个，应用程序数量超过300万个。我们在享受高度信息化带来便利的同时，也面临着个人信息高度裸奔的巨大风险，个人信息被随意收集、违法获取、过度使用、非法买卖、用于网络诈骗等现象层出不穷：莫名其妙收到推销/骚扰电话、打开电脑/手机弹出各种广告推送、防不胜防的微信/QQ诈骗、街面二维码扫一扫、冒充公检法机关电信诈骗、APP注册要求获取各种手机权限、个人行踪被泄露……

一般情况下，个人信息的泄露途径可分为线下和线上。线下途径多是物理媒介，像快递单、外卖单号、医疗单据、各种复印文件等，很多时候上面的信息没有被彻底清除，这就给不法分子带来可乘之机。而线上途径则是信息泄露的重灾区。如网页cookies、APP注册信息、云端、二维码等。在这些使用场景下，个人搜索浏览记录、个人基本信息、银行卡信息等都随时被黑手们搜集整理、加工包装，进而转卖、分赃。

手机APP是当前最典型的、也是最常见的泄露途径。当我们下载、注册、使用APP时，经常会被强制要求读取通话记录、短信记录，授权相机、定位、录音等权限。这些都是隐形的信息泄露风险点，用户们往往稀里糊涂地就被薅了羊毛。在此背景下，尽快出台关于个人信息保护法律法规的呼声越来越高。 

《草案》初现，个人信息保护落地可期

目前来看，《个人信息保护法（草案）》（以下简称“草案”）主要聚焦当前个人信息保护的突出问题，并落实个人信息保护责任，加大违法行为惩处力度。以下是其中的部分重点内容：

（1）聚焦突出问题  健全个人信息处理系列规则

草案确立了个人信息处理应遵循的原则，强调处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程、各环节。

（2）明确适用范围  赋予本法必要域外适用效力

草案明确规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

敏感个人信息是指一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

（3）落实保护责任 明确相关主体的权利和义务

草案明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求其按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，并指定负责人对其个人信息处理活动进行监督；定期对其个人信息活动进行合规审计；对处理敏感个人信息、向境外提供个人信息等高风险处理活动，事前进行风险评估；履行个人信息泄露通知和补救义务等。

开源网安认为：《个人信息保护法（草案）》的推出，对普通人而言，个人信息的保护将有法可依，有助于保护个人隐私和切身利益。对互联网企业而言，将面临更严苛考验，即如何贯彻落实用户信息保护要求。

在实际情况中，各类应用软件作为个人信息的主要载体，贯穿了个人信息的收集、传播、存储等全过程。应用软件如何进行安全开发、如何对个人信息进行保护，其重要性不言而喻。开源网安致力于让企业交付更安全的软件，为软件安全开发提供专业工具及安全服务。

开源网安IAST灰盒安全测试平台VulHunter，能在软件开发过程中及时发现应用程序对个人敏感信息数据传输、处理、存储方式并进行监测跟踪。比如，应用程序对用户身份信息进行处理后未加密存储，将用户个人信息以明文的方式对外输出，或者以不安全的方式在网络上传输，都将会面临用户个人信息泄露的风险。

VulHunter能够对数据使用全流程进行跟踪并提供不规范使用的预警信息，尽可能在软件开发过程中排除软件的个人信息泄露风险，从而帮助企业及时发现问题，指导企业采取相应的安全措施，降低安全风险，促进安全合规，达到《个人信息保护法草案》相关要求。