吃顿饭还要提供个人信息？
　　“扫码点餐问题之前很多媒体都关注过，现在不仅没收敛，反而变本加厉了。吃一顿饭，竟要扫3次码关注两个公众号！”一位消费者向媒体吐槽。
　　随着移动通信技术的飞速发展，移动应用已渗透到人们生活、工作的各个领域。然而，在给广大群众带来生活便利的同时，违规收集和使用公民个人信息的行为表现也尤其突出，埋下了严重的隐私数据泄露风险，已经成为了国家数据安全领域的痛点。2017年我国开始实施《网络安全法》，并颁布多部相关法律，打击非法收集个人信息行为的态度十分坚决。国家app违法违规治理工作组围绕移动应用违法违规收集使用个人信息开展了多期治理工作，下架了多批超范围收集使用个人信息、未经用户同意收集个人信息的应用。但是，移动应用的安全检测工作仍依赖于专家审查，难以对数百万的移动应用实现快速、全面、准确的分析。
　　西安交通大学团队的移动应用合规检测之路
　　为推动“清朗”网络空间建设，围绕《网络安全法》，在网络空间安全建设特别是移动应用中的合规性检测方面，由西安交通大学郑庆华教授领导的智能网络与网络安全教育部重点实验室持续开展了长期而有效的移动应用合规性分析工作。
　　2017年开始，团队青年教师范铭博士开始研究移动应用的合规性检测，针对国内外对数据保护的新需求，对796个医疗移动应用展开了分析，发现大部分样本均存在违规收集使用现象，包括敏感数据的超范围收集、违规外传、不安全存储等；并提出了安卓移动应用软件的隐私违规行为智能分析方法，有效缓解了程序语言与隐私政策描述之间匹配的语言鸿沟。
　　2020年开始，团队青年教师刘烃教授联合南京大学、中科院信工所、清华大学等6家单位，收集了来自微信、支付宝、百度、京东、头条、抖音和淘宝7个平台的6069个小程序，采取半自动化分析与人工审查相结合的评测方式，从隐私权政策合规性、程序行为合规性等角度出发，归纳了小程序目前存在的隐私数据安全问题。结果发现，在6069个小程序中，有3611个（占比59.5%）存在收集使用个人信息的行为，超过95%的样本存在至少一项违规问题，可能造成用户隐私信息被过度收集、窃取、篡改，甚至被非法组织和敌对势力利用，威胁人民群众的财产、声誉和人身安全。
　　在前期研究基础上，团队于2021年9月撰写完成《小程序隐私安全报告》，总结发布了世界上第一个大规模小程序隐私违规案例集。指出小程序开发与运维过程中出现的违规问题大多由于开发者重视程度不够、法律法规理解不透、技术能力不足导致，解决目前小程序违规乱象除了制定和宣传法律法规、建立治理体系、压实监管责任外，还需要大力推进隐私合规辅助技术的研究。
　　为了有效检测小程序中的异常违规行为，该团队从软件行为复杂性理论的角度出发，提出了软件调用网络模型（Calling Network，CN），将小程序中主体、关联交互和状态，抽象为CN的点、边和属性，依据主体间隶属关系建立节点间的层级关联，构建了“UI-函数-变量”层次图序列，有效解决了小程序中结构无序的软件行为统一表征难题。基于CN模型，该团队研制出自主知识产权的小程序分析系统MiniGuard，通过将特定模式发现问题转变为复杂网络中针对关键节点的特定出口可达性判定问题，进而通过路径搜索等技术解决非精确行为的匹配问题，有效检测隐私数据泄露行为。通过与腾讯、中国移动等龙头企业合作，已协助开发者检测隐私政策合规问题2万余起，发现存在严重隐私泄露的样本3000余个。
　　西安交通大学团队围绕移动应用安全开展了长期研究，获得2016年IEEE ISSRE 、2021年 IEEE QRS等国际权威会议最佳论文奖，参与制定《移动互联网应用程序(APP)个人信息安全测评规范》等3项国家标准，多位成员入选国家级人才计划、获得省部级优秀博士学位论文，获得2017年国家科技进步二等奖和多项省部级科技奖励，在西部地区建成了一支高水平的网络安全团队。
　　路漫漫其修远兮，吾将上下而求索
　　小程序由于其技术和服务模式的先进性，为人民群众的日常生活、互联网经济的创新发展、政府的有效治理等提供有利支持，正在重构移动互联网的生态体系，是我国在移动互联网领域自主创新的代表性成果。需要面向小程序的生态体系和隐私安全保护需求，提前构建监管模式、规划制定法律法规、研究突破监管技术，为互联网技术发展提供一种健康、安全、有序的中国发展模式。让人民使用更放心，是党和国家在移动应用合规性治理的初心；让合规检测更方便，是西安交通大学团队持续开展检测工作的动力。