1、 App 違規收集個人信息風險 分析報告 2022 年第一季度 奇安信病毒響應中心 2022 年 5 月 主要觀點 App 違規收集個人信息的現象仍然十分普遍，平均每 5 個 App 中，就有一個存在違規收集個人信息的風險。其中，“無提示收集個人信息”和“高頻次收集個人信息”問題最為顯著，也是本次報告關注的重點問題。個別 App 平均約每 0.7 秒就會無提示收集一次用戶個人信息，可謂是對用戶個人信息的“不間斷”的收集。部分存在違規收集個人信息風險的 App 社會影響面巨大，僅下載量排名靠前的 24 款App 就至少影響國內超過 2 億用戶。網上購物、生活休閑、辦公商務等常用 App 的違規風

2、險問題最為突出。八成以上的違規個人信息收集行為，實際上是由于 App 集成了某些不規范的第三方SDK，或者是沒有對第三方 SDK 收集個人信息的行為進行聲明造成的。作為軟件開發者，在集成第三方 SDK 時，應當遵守相關法律法規，拒絕使用存在違規風險的 SDK，從而努力規避自身的違規風險。摘 要 21.3%的新增活躍 App 樣本存在“無提示收集個人信息”風險，14.7%存在“高頻次收集個人信息”風險。平均每 5 個 App 中，就有一個存在違規收集個人信息風險。在本季度檢出的所有存在違規風險的 App 中，至少有 1 款下載量超過 1 億次，4 款下載量超過 1000 萬次，19 款下載量超過

3、 100 萬次。僅這 24 款 App 就至少影響超過 2 億用戶。存在違規風險最多的是網上購物類 App,，約占所有存在違規風險 App 總數的 20.1%；其次是生活休閑類，占比為 15.6%。辦公商務類排名第三，占比 13.6%。在所有存在“無提示收集個人信息”風險的 App 中，87.6%會無提示收集 IMEI 信息，50.6%會無提示收集 MAC 地址，16.7%會無提示收集 IMSI 信息。在所有存在高頻次收集個人信息風險的 App 中，每一百秒收集個人信息 25 次的 App約占 44.0%；610 次的占比 28.7%,1120 次的占比 18.8%，大于 20 次的占比 8.

4、5%。個別 App 竟然會在一百秒內對 IMEI 信息收集多達 138 次，相當于平均約每 0.7 秒就收集一次，可謂是對用戶個人信息的“不間斷”收集。對用戶信息進行違規收集的，84.0%屬于第三方 SDK 行為，僅有 16.0%屬于 App 自身行為。在所有集成了違規收集個人信息 SDK 的 App 中，只集成了 1 款違規 SDK 的 App 占比為 84.4%，集成了 2 款違規 SDK 的 App 占比為 12.7%，另有 2.9%的 App 集成 3 款及以上的違規 SDK。關鍵詞關鍵詞：App、個人信息、SDK、違規風險 目 錄 研究背景研究背景.1 第一章第一章 流行流行 APP

5、APP 違規風險形勢分析違規風險形勢分析.2 一、存在違規風險的 APP規模.2 二、存在違規風險的 APP類型.2 第二章第二章 典型典型 APPAPP 違規風險行為分析違規風險行為分析.3 一、無提示收集個人信息類型分析.3 二、高頻次收集個人信息情況分析.3 第三章第三章 違規個人信息收集者分析違規個人信息收集者分析.5 附錄附錄 1 1 奇安信病毒響應中心奇安信病毒響應中心.6 附錄附錄 2 2 奇安信病毒響應中心移動安奇安信病毒響應中心移動安全團隊全團隊.6 附錄附錄 3 3 奇安信移動安全產品介紹奇安信移動安全產品介紹.6 1 研究背景 隨著互聯網和移動設備的發展，手機已成為人人都

6、擁有的設備，各式各樣的 App 更是豐富了人們的生活：從社交到出行、從網購到外賣，從辦公到娛樂等，App 已成為大眾生活必需品。然而，App 的流行使人們對 App 違規收集個人信息的風險更加擔憂。為切實加強用戶個人信息保護，為人民群眾提供更安全、更健康、更干凈的信息環境，國家工業和信息化部為此發布了一系列的相關法律法規和監管標準通知，并在全國范圍內組織開展 App 違法違規收集使用個人信息專項治理工作。2022 年第一季度，奇安信病毒響應中心共收錄全國應用市場新增 App 活躍樣本近 30 萬個。本報告依據App 違法違規收集使用個人信息行為認定方法等內容要求，使用奇安信自研安卓動態引擎 Q

7、ADE 對新增 APP 樣本進行抽樣檢測，重點評估“無提示收集個人信息”和“高頻次收集個人信息”兩種最為常見、影響較深的合規性問題。1）檢測引擎 本次檢測采用奇安信完全自主研發安卓動態引擎QADE（后文統稱奇安信QADE引擎）。奇安信 QADE 引擎既支持對 App 進行傳統惡意檢測，同時也支持對 App 違規收集個人信息及索權等合規性問題的檢測，是“綜合一體化”動態引擎。2）檢測依據 本次報告主要參考以下相關的國家法律法規作為檢測標準依據：網絡安全法、電信和互聯網用戶個人信息保護規定、GB/T 35273-2020 信息安全技術個人信息安全規范、關于開展縱深推進 App 侵害用戶權益專項整治

8、行動的通知（工信部信管函2020164 號）、App 違法違規收集使用個人信息行為認定方法 3）檢測內容 本次報告重點檢測了相關 App 在以下兩方面的合規性問題：無提示收集個人信息無提示收集個人信息 無提示收集個人信息是指存在無隱私說明提示或者未點同意隱私協議便開始收集用戶個人信息的情況。無提示收集個人信息，實際上就是在不告知用戶，或用戶不知情的情況下，秘密收集用戶的各種個人信息，從而給用戶帶來個人信息泄露、個人信息被濫用等網絡安全風險。很多App 為了實現自身不當的商業利益，會選擇不告知用戶個人信息收集規則，或只告知用戶部分個人信息收集規則。高頻次收集個人信息高頻次收集個人信息 高頻次收集

9、個人信息是指存在高頻率（每百秒的收集次數）收集用戶個人信息的情況。高頻次收集個人信息，會導致用戶個人活動信息被過渡收集，從而危害用戶個人信息和隱私安全，同時還會快速消耗用戶手機電量和網絡流量。關于什么樣的收集頻次屬于高頻次收集，相關法律法規并沒有特別明確的具體規定。在本報告中，每百秒內收集個人信息超過 2 次（包含 2 次），即認定為高頻次收集。4）數據范圍 本次報告的檢測周期為 2022 年 1 月 1 日至 2022 年 3 月 31 日，國內四個應用市場的新收錄及更新的 APP 樣本共近 30 萬個。這四個應用市場分別是：豌豆莢、多多軟件站、pc6應用市場和 2265 應用市場。2 第一

10、章 流行 App 違規風險形勢分析 一、存在違規風險的 App 規模 2022 年第一季度，在針對近 30 萬個新增活躍 App 樣本的抽樣檢測中，存在“無提示收集個人信息”風險和“高頻次收集個人信息”風險的 App，分別占到檢測樣本總量的 21.3%和14.7%?？傮w來看，平均每 5 個 App 中，就會有一個存在個人信息收集方面的違規風險。本季度檢出的所有存在違規風險的 App 中，至少有 1 款下載量超過 1 億次，4 款下載量超過 1000 萬次，19 款下載量超過 100 萬次。僅這 24 款 App 就至少影響國內超過 2 億用戶。二、存在違規風險的 App 類型 從 App 類型

11、來看，在 2022 年第一季度的檢測中，存在違規風險最多的 App 是網上購物類 App,約占所有存在違規風險 App 總數的 20.1%；其次是生活休閑類，占比為 15.6%。辦公商務類排名第三，占比 13.6%。3 第二章 典型 App 違規風險行為分析 一、無提示收集個人信息類型分析 檢測顯示，在所有存在“無提示收集個人信息”風險的 App 中，IMEI、MAC 地址和IMSI 是 App 靜默收集個人信息最主要的三個類型。其中，87.6%會無提示收集 IMEI 信息，50.6%會無提示收集 MAC 地址，16.7%會無提示收集 IMSI 信息，而無提示收集其他個人信息的情況，僅占 1.

12、7%。名詞解釋 IMEI 國際移動設備識別碼（英語：IMEI，International Mobile Equipment Identity），是用于在移動電話網絡中識別每一部獨立的手機等移動通信設備。MAC 地址 硬件位址（英語：Media Access Control Address），也稱為局域網地址、MAC 位址、以太網地址或物理地址，它是一個用來確認網絡設備位置的位址。IMSI 國際移動用戶識別碼（英語：IMSI，International Mobile Subscriber Identity），是用于區分蜂窩網絡中不同用戶的、在所有蜂窩網絡中不重復的識別碼。二、高頻次收集個人信息情

13、況分析 如前所述，在 2022 年第一季度檢測的所有新增活躍 App 樣本中，一百秒內收集用戶個人信息超過 2 次（包含 2 次）的 App 占到了所有被檢測 App 總量的 14.7%。在所有存在高頻次收集個人信息風險的 App 中，每一百秒收集個人信息次數大于等于 2 次，但低于 5 次的 App 約占 44.0%；610 次的占比 28.7%,1120 次的占比 18.8%，大于 20 次的占比 8.5%。特別的，我們在本季度的檢測中，發現某款收集個人信息最為頻繁 App，竟然在一百秒內對 IMEI 信息收集了 138 次，平均每秒 1.38 次，相當于平均約每 0.7 秒就收集一次，可

14、謂是對用戶個人信息的“不間斷”收集。4 5 第三章 違規個人信息收集者分析 App 對于用戶個人信息的收集，未必都是由 App 自身來完成的，很多時候是因為 App集成了第三方 SDK，而第三方 SDK 存在個人信息收集行為。如果相關 App 在用戶協議中，沒有告知其集成的第三方 SDK 存在的個人信息收集情況，同樣也會構成“無提示收集個人信息”的違規風險。如果第三方 SDK 存在“高頻次收集個人信息”的情況，那么相關 App 也會存在同樣的違規風險。統計顯示，在所有存在“無提示收集個人信息”和“高頻次收集個人信息”風險的 App中，對用戶信息進行違規收集的，84.0%屬于第三方 SDK 行為

15、，僅有 16.0%屬于 App 自身行為。也就是說，對第三方 SDK 的不規范使用，以及第三方 SDK 自身的不規范行為，是導致當前部分 App 存在違規收集用戶個人信息風險的主要原因。檢測還發現，有兩款知名的第三方 SDK，分別覆蓋了存在違規行為的 App 總量的 29.0%和 21.0%。研究還發現，在某些存在違規收集用戶個人信息風險的 App 中，集成了不止一款存在違規收集用戶信息行為的第三方 SDK。統計顯示，在所有集成了違規收集個人信息 SDK 的App 中，只集成了 1 款違規 SDK 的 App 占比為 84.4%，集成了 2 款違規 SDK 的 App 占比為 12.7%，另有

16、 2.9%的 App 集成 3 款及以上的違規 SDK。6 附錄 1 奇安信病毒響應中心 奇安信病毒響應中心是奇安信集團旗下的專業病毒鑒定及響應團隊。中心以奇安信核心云平臺為基礎，擁有每日千萬級樣本檢測及處置能力、每日億級安全數據關聯分析能力。結合多年反病毒核心安全技術、運營經驗，基于集團自主研發的 QOWL 和 QDE 引擎，形成跨平臺木馬病毒查殺能力與漏洞修復能力，并且具有強大的大數據分析能力，可以實現全平臺安全和防護預警能力。奇安信病毒響應中心支撐奇安信全線安全產品的病毒檢測，積極響應客戶側的安全反饋問題，可第一時間為客戶排除疑難雜癥。中心曾多次處置重大病毒傳播事件，多次參與重大活動安全

17、保障工作，受到客戶的高度認可。附錄 2 奇安信病毒響應中心移動安全團隊 奇安信病毒響應中心移動安全團隊一直致力移動安全領域及 Android 安全生態的研究，不僅可以為奇安信移動安全產品提供常見的移動端病毒木馬查殺能力，也可以精準識別時下流行的刷量、詐騙、博彩、違規、色情等黑產類軟件，并支持對 App 的合規化安全檢測。團隊創新研發的高價值移動端攻擊發現流程，已成功捕獲到國內外多起針對移動平臺的重大攻擊事件，并發布了多篇移動黑產報告，披露了多個通過移動平臺發起攻擊的 APT 組織及其活動。特別的，近兩年來，團隊首發披露了包括諾崇獅組織 SilencerLion、利刃鷹組織 BladeHawk、

18、艾葉豹組織 SnowLeopard 和金剛象組織 VajraEleph 在內的多個全新的 APT組織。團隊的高級威脅的分析與追蹤溯源能力在國內外均處于領先水平。附錄 3 奇安信移動安全產品介紹 奇安信移動終端安全管理系統（天機）是面向公安、司法、政府、金融、運營商、能源、制造等行業客戶，具有強終端管控和強終端安全特性的移動終端安全管理產品。產品基于奇安信在海量移動終端上的安全技術積淀與運營經驗，從硬件、OS、應用、數據到鏈路等多層次的安全防護方案，確保企業數據和應用在移動終端的安全性。奇安信移動態勢感知系統是由奇安信集團態勢感知團隊與奇安信病毒響應中心移動團隊合力推出的一個移動態勢感知管理產品，主要面向具有監管責任的政企機構客戶，著重于監測 App 的下載與使用環節，協助相關監管機構摸清轄區范圍內 App 的使用情況，給客戶提供 App 違法檢測、合規性分析及 App 溯源等功能。