《奇安信：2021年APP個人信息使用態勢分析報告（13頁）.pdf》由會員分享，可在線閱讀，更多相關《奇安信：2021年APP個人信息使用態勢分析報告（13頁）.pdf（13頁珍藏版）》請在三個皮匠報告上搜索。

1、 2021 年 App 個人信息使用 態勢分析報告（2022021 1 年年 5 5 月月）盤古實驗室 奇安信行業安全研究中心 主要觀點 各大應用平臺活躍的 App 應用中，56.3%的 App 存在違規風險，平均每個 App存在 0.8 個違規風險。在有違規風險的 App 中，64.6%的 App 疑似存在“未經用戶同意收集使用個人信息”問題。從應用類型分布來看，手機游戲、出行旅游、生活購物類 App 違規現象最嚴重，69.8%的手機游戲類 App 存在違規風險。目 錄 研究背景研究背景.1 第一章第一章 全國活躍全國活躍 APPAPP 概況概況.2 第二章第二章 活躍活躍 APPAPP 合

2、規性檢測情況合規性檢測情況.3 一、存在違規風險應用類型分布.3 二、違規風險類型分布.4 第三章第三章 存在違規風險使用個人信息情況典型問題存在違規風險使用個人信息情況典型問題.5 一、未經用戶同意收集使用個人信息.5 二、違反必要原則，收集與其提供服務無關的個人信息.5 三、未明示收集使用個人信息的目的、方式和范圍.6 四、未經同意向他人提供個人信息.6 第四章第四章 APPAPP 違規行為處罰案例違規行為處罰案例.8 一、某賺錢類 APP未明示信息收集規則被罰.8 二、某文化 APP未明示信息收集規則被罰.8 三、某網貸 APP非法超限采集公民個人信息被刑拘.8 四、某醫藥 APP未明示

3、用戶隱私協議被處罰.8 五、游戲 APP非法獲取用戶設備敏感權限被處罰.8 附錄附錄 1 1 隱私衛士與移隱私衛士與移動應用監測平臺動應用監測平臺.9 附錄附錄 2 2 奇安信行業安全研究中心奇安信行業安全研究中心.10 1 研究背景 2019 年 1 月，中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發布關于開展 App 違法違規收集使用個人信息專項治理的公告，在全國范圍組織開展 App 違法違規收集使用個人信息專項治理。2021 年，奇安信行業安全研究中心聯合盤古實驗室，以隱私衛士、移動應用監測平臺為基礎，面向全國新上架 App 開展專項檢測，為地方監管和執法提供技術支撐和參考

4、。App 的廣泛應用，在經濟社會發展、服務民生領域發揮了不可替代的作用。2021年第一季度，奇安信移動應用檢測平臺共收錄全國新增應用樣本 9萬余個。本報告依據 App 違法違規收集使用個人信息行為認定方法 等內容要求，從 2021年第一季度全國范圍內新上架的九萬余款活躍的 App 樣本中抽樣近一萬款 App，開展檢測評估。以下主要針對第一季度已上架新增活躍 App（后文簡稱活躍 App）進行解析。2 第一章 全國活躍 App 概況 移動互聯網應用（以下簡稱“App”）的流量入口效應日益顯著。中國互聯網信息中心第 47 次 中國互聯網絡發展狀況統計報告 顯示，截至 2020 年 12 月，我國國

5、內市場上監測到的 App 數量為 345 萬款；我國網民的人均每周上網時長為26.2 小時，平均每日人均上網 3.7 小時。從活躍 App 的行業分布來看，生活購物類、教育學習類、系統工具類 App 更活躍。生活購物類 App 新增樣本數占新增樣本總量的 21.9%，排名第一；教育學習類排名第二，占 14.9%；其次是系統工具類 App，占 11.0%。具體分布如下圖所示。3 第二章 活躍 App 合規性檢測情況 近年來，智能終端設備的普及為移動互聯網的發展助力，與此同時，移動安全問題也更加突出。奇安信聯合盤古實驗室根據相關法律法規對 App 的隱私合規要求主要從未經用戶同意收集使用個人信息，

6、違反必要原則收集與其提供服務無關的個人信息，未明示收集使用個人信息的目的、方式和范圍、未經同意向他人提供個人信息等幾方面，對各大應用下載平臺的活躍 App 進行抽樣檢測。檢測發現，大量 App 疑似存在違規收集使用個人信息的問題。在各大應用平臺的活躍 App 應用中，56.3%的 App 存在違規風險，平均每個 App 存在 0.8 個違規風險。一、存在違規風險應用類型分布 從活躍 App 應用類型分布來看，手機游戲類 App 違規風險最嚴重，其次為出行旅游類。其中 69.8%的手機游戲類 App 存在違規風險。評估依據App 違法違規收集使用個人信息行為認定方法，重點評估 App是否存在“未

7、公開收集使用規則”、“未明示收集使用個人信息的目的、方式和范圍”、“未經用戶同意收集使用個人信息”、“違反必要原則，收集與其提供的服務無關的個人信息”、“未經同意向他人提供個人信息”、“未按法律規定提供刪除或更正個人信息功能”或“未公布投訴、舉報方式等信息”等幾類問題。4 二、違規風險類型分布 從違規風險類型檢測結果來看，在有違規風險的 App 中，64.6%的 App 疑似存在“未經用戶同意收集使用個人信息”現象；26.0%的 App 疑似存在“違反必要原則，收集與其提供服務無關的個人信息”現象，存在違規風險類型 TOP4 如下圖所示：5 第三章 存在違規風險使用個人信息情況典型問題 一、未

8、經用戶同意收集使用個人信息 根據檢測結果，存在“未經用戶同意收集使用個人信息”類風險的應用占存在違規風險應用總數的 64.6%。從應用類型來看，手機游戲類、生活購物類、通訊社交類 App 存在該問題最為嚴重。有 57.4%的手機游戲類 App、38.8%的生活購物類 App、37.8%的通訊社交類 App 未經用戶同意收集使用個人信息，具體分布如下圖所示：二、違反必要原則，收集與其提供服務無關的個人信息 根據檢測結果，存在“違反必要原則，收集與其提供服務無關的個人信息”類風險的應用占存在違規風險應用總數的 26.0%。從應用類型來看，金融理財類、新聞閱讀類、通訊社交類 App 存在該問題最為嚴

9、重。有 18.3%的金融理財類 App、16.8%的新聞閱讀類 App 以及 16.8%的通訊社交類 App 違反必要原則，收集與其提供服務無關的個人信息違規風險，具體分布如下圖所示：6 三、未明示收集使用個人信息的目的、方式和范圍 根據檢測結果，存在“未明示收集使用個人信息的目的、方式和范圍”類風險的應用占存在違規風險應用總數的 10.0%。從應用類型來看，手機游戲類、新聞閱讀類、通訊社交類 App 存在此類問題最為嚴重。有 13.6%的手機游戲類 App、5.9%的新聞閱讀類 App 與 5.8%的通訊社交類 App 存在違規收集個人信息的違規風險，具體分布如下圖所示：四、未經同意向他人提

10、供個人信息 根據檢測結果，存在“未經同意向他人提供個人信息”類風險的應用占存在違規風險應用總數的 5.2%。從應用類型來看，新聞閱讀類、通訊社交類、出行旅游類 App 存在該問題最為嚴重。有 3.9%的新聞閱讀類 App、3.7%的通訊社交類App 和 3.7%的出行旅游 App 存在違規使用個人信息違規風險，具體分布如下圖所示：7 8 第四章 App 違規行為處罰案例 一、某賺錢類 App 未明示信息收集規則被罰 經查公安機關調查，某網絡科技公司開發、運營的某款手機賺錢類 App 在用戶安裝、運行使用過程中，未遵循合法、正當、必要原則，未公開收集、使用規則，未明示收集使用信息的目的、方式和范

11、圍，并未經被收集者同意。當地警方依據網絡安全法第 41 條、第 64 條規定，對該網絡科技公司予以警告，責令限期整改。二、某文化 App 未明示信息收集規則被罰 某科技公司開發的某 App 應用和某圖書文化公司開發的某 APP 應用，在供網民下載使用過程中均涉嫌未明示收集、使用信息的目的、方式和范圍。經調查及第三方鑒定，這兩款 App 應用開發單位雖合理采集數據，但由于法律意識淡薄，在采集用戶個人信息時均未履行明示告知義務，侵害了用戶個人信息受保護權利。當地警方根據網絡安全法第 64 條規定，對兩家公司均予以警告，責令限期整改。三、某網貸 App 非法超限采集公民個人信息被刑拘 某網絡公司涉嫌

12、利用貸款類手機 App 軟件非法超限采集公民個人信息，公安部門隨即展開調查。經初步調查，辦案民警發現該 App 非法采集通訊錄、通話記錄、短信等信息。公安機關抓獲犯罪團伙成員 22 名，在該公司服務器內查獲被非法采集用戶的短信息 246 萬余條，同時收繳計算機、網絡存儲服務器、手機等作案工具 52 件。目前，6 名主要犯罪嫌疑人已被依法刑事拘留。四、某醫藥 App 未明示用戶隱私協議被處罰 接公安部通報線索，一款求醫問藥類 App 疑似存在侵害個人信息行為。經查，某市一醫療科技公司運營的該款 App，在安裝過程和首次使用時，未明示用戶隱私協議。警方依據網絡安全法第 41 條、第 64 條規定，

13、對該公司予以警告，對直接負責的主管人員予以罰款 1 萬元，責令限期整改。五、游戲 App 非法獲取用戶設備敏感權限被處罰 2020 年 4 月，某信息科技有限公司運營的游戲類 App，在未告知用戶、未獲得用戶允許的條件下，非法獲取用戶設備的敏感權限。當地警方依據網絡安全法第 41 條、第 64 條規定，對該公司予以警告，對直接負責的主管人員予以罰款 1 萬元，責令限期整改。9 附錄 1 隱私衛士與移動應用監測平臺 隱私衛士是一款針對安卓/蘋果應用程序進行隱私合規檢測及安全檢測的產品。產品從個人信息收集、隱私政策協議、數據出境、安全漏洞風險等各方面進行檢測，發現隱私安全風險，避免可能由此導致的數

14、據泄露、監管處罰等風險。移動應用監測平臺通過對主流應用商店上公開發行的 App 進行更新監測及隱私合規、安全風險、病毒木馬技術檢測，結合大數據分析技術，可以有效支持事件發現、威脅預警、情報分析、檢測評估等業務。10 附錄 2 奇安信行業安全研究中心 奇安信行業安全研究中心（以下簡稱中心）是奇安信集團旗下，專注于行業網絡安全研究的機構，為政府、公安、軍隊、保密、交通、金融、醫療衛生、教育、能源等行業客戶及監管機構提供專業安全分析與研究服務。中心以奇安信集團的安全大數據、全球威脅情報大數據為基礎，結合前沿網絡安全技術、國內外政策法規，以及兩千余起應急響應事件的處置經驗，全面展開行業級、領域級、國家級網絡安全研究。中心自 2016 年成立以來，已累計發布各類專業研究報告一百余篇，共計三百余萬字，在勒索病毒、信息泄露、網站安全、APT、應急響應、人才培養等多個領域的研究成果受到海內外網絡安全從業者的高度關注。同時，中心還聯合各個專業團隊，主編出版了多本網絡安全圖書專著，包括走近安全走進新安全透視 APT應急響應應急響應技術實戰指南工業互聯網安全百問百答內生安全新一代網絡安全框架等，為網絡安全知識的深度傳播做了重要的貢獻。