App违法违规收集使用个人信息监测分析报告

App违法违规收集使用个人信息 监测分析报告 国家计算机网络应急技术处理协调中心 中国网络空间安全协会 2021年12月 - 1 - App违法违规收集使用个人信息 监测分析报告 2021年，国家计算机网络应急技术处理协调中心会同中国网络空间安全协会，发挥网络安全技术力量优势和行业组织特点，有力支撑国家App个人信息保护工作。近期，根据App违法违规收集使用个人信息技术监测和举报受理数据，对我国App收集使用个人信息情况进行了态势分析，具体如下： 一、App收集使用个人信息总体状况 目前全国主流安卓应用商店在架App去重后总数为112万款。从运营者地域分布方面看，App运营者主要分布在广东、北京、上海等信息产业发达的地区，占到了总数的一半以上（52.8%），中西部省份分布较少，不足总数的四分之一（21.8%）。从应用类型分布方面看，数量最多的三类为网络游戏类（24.0%）、本地生活类（14.6%）、实用工具类（12.4%），大部分类型应用数量较少，全部39类常见类型应用中有21类应用数量占比不到1%。从下载量分布方面看，下载量在亿级、千万级、百万级的分别有1127款（占比0.1%）、5317款（占比0.5%）、1.9万款（占比1.7%），其余下载量不到百万的App占比97.7%。 - 2 - （一）个人信息保护法律法规体系日趋完善，App违法违规收集使用个人信息治理取得阶段性成果 2021年11月1日起，《个人信息保护法》正式颁布实施，标志着我国个人信息保护立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据，涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等多个环节以及自动化决策、个人信息跨境提供等特定场景，与《民法典》《网络安全法》《数据安全法》等共同构成了我国个人信息保护的法律框架。此外，多项个人信息保护相关法规面向社会公众发布或公开征求意见，我国个人信息保护领域法律法规体系日趋完善。5月，国家网信办等四部委联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》正式实施，明确App不得强制收集非必要个人信息。11月，国家网信办会同相关部门研究起草的《网络数据安全管理条例》公开征求意见，其中“个人信息保护”章节详细规定了知情同意、最小必要、权利保障、生物特征信息等方面的要求，并明确提出处理一百万人以上个人信息应视为重要数据处理者进行管理。 今年以来，国家网信办持续开展App违法违规收集使用个人信息专项治理工作，加大执法监管力度，组织对39种常见类型公众大量使用的1425款App开展了专项检测，已对其中存在严重违法违规问题的351款App进行了公开通 - 3 - 报，责令限期整改；对未在规定时限内整改的依法采取了相关处罚措施。国家计算机网络应急技术处理协调中心积极运用大数据等新技术手段，建设App收集使用个人信息监测平台，实现对国内主流应用商店在架App存在的“不给权限不让用、频繁索权干扰用户、启动就索要无关权限、未经用户同意收集个人信息”等16项典型违法违规问题的全量快速检测。专项治理有力震慑了违法违规行为，大大提高了App运营者对个人信息保护工作的重视程度，取得了良好的治理效果和社会反响。 （二）强制收集非必要个人信息问题明显减少，启动弹窗索要无关权限问题多发 App打开后强制要求收集个人信息是用户普遍反感的违规行为之一。《常见类型移动互联网应用程序必要个人信息范围规定》明确“App不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务”。今年以来，App强制要求用户打开非必要权限、强制要求用户填写非必要个人信息等典型违规行为明显减少，目前检测发现仅有1%的中小应用残留此问题。然而，很多App尽管不再强制收集，仍在首次启动就弹窗索要多个无关权限，用户对此较为反感，由此产生的投诉举报比较集中。目前很多“量大面广”应用已认识到此问题，将启动索要权限改为用户触发特定功能时再索要对应权限，改善了用户体验，如“微信”、“51 Job”等头部应用最新版本启动均不索要存储、设备等无关权限。 - 4 - 但监测显示，在华为、小米、VIVO、OPPO、腾讯应用宝等主流应用商店近三个月新上架应用中，平均每月有近1000款存在此问题的应用上架。 （三）超范围收集个人信息行为治理成效初显，但“七类”隐蔽问题仍需紧盯不放 部分App出于精准用户画像、推广营销等商业目的，想方设法超出实现功能的必要范围收集更多个人信息。对此，《个人信息保护法》明确规定“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式，收集个人信息应当限于实现处理目的的最小范围”。 深入技术分析发现，App超范围收集个人信息的问题目前主要包括七种情形：一是敏感权限声明超出必要范围。少量App在未提供实际功能的情况下，仍然声明了相关敏感权限，存在热更新后调用和SDK（软件开发工具包）调用权限的风险。二是权限索取超出必要范围。一些App超出当前功能需要索取权限，例如某应用的电话拦截功能索要了短信、存储、通讯录等7项敏感权限，整改后只保留了功能实现所必需的3项敏感权限。三是收集数据的敏感性超出必要范围。一些App在使用低敏感性数据即可实现功能的情况下，仍然收集高敏感性数据。例如，普通的天气查询功能只需要城市或地区级的粗略位置信息，不应索要精准位置等敏感个人信息。四是收集数据的具体内容超出必要范围。一些App在仅 - 5 - 需部分数据内容即可实现功能的情况下，却实际收集了全部内容。例如，查找好友功能只需匿名化后的手机号码即可实现功能，不应超范围收集通讯录联系人的姓名、邮箱、地址等内容。五是收集方式超出必要范围。App收集个人信息的方式包括单次读取、本地存储、上传云端等，对个人的影响程度依次递增，应在满足功能需求前提下选择影响程度最低的收集方式。例如，只需单次读取或本地存储即可实现功能，不应默认使用上传云端。六是收集频率超出必要范围。有的App收集每项个人信息的频率明显超出当前功能的必要范围，例如，某运动健身类应用在用户观看视频等无关功能时，每分钟获取位置信息近百次，明显超出必要范围。七是收集场景超出必要范围。很多App除了在功能必需的合理场景收集信息，还在启动、自启动、后台运行、使用不相关功能等其它场景收集信息，违反了必要原则。例如，某应用除了在共享位置时收集位置信息，还在扫码支付等不相关功能收集位置信息，可用于用户消费行为画像分析，近期已自行整改。 今年国家网信办已通报地图导航、输入法、安全管理、短视频等多类头部应用，针对“七类”超范围收集行为进行了重点整治，包括超范围收集用户通讯录、精确地理位置、短信、通话记录等在内的一大批与人民群众切身利益相关的违法违规问题得到治理。 （四）中小应用“知情同意”问题较多，集中表现为同意前收集、频繁索权等违规行为 - 6 - 知情同意是处理个人信息的基本前提条件之一。《个人信息保护法》进一步细化了“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出”等要求。根据国家网信办等四部委发布的《App违法违规收集使用个人信息行为认定方法》，目前常见违反知情同意要求的问题集中表现为以下四类： 一是征得用户同意前收集个人信息。监测发现，2万中小应用样本在同意隐私政策前将用户安卓ID等信息上传至云端服务器，4.4万中小应用样本没有向用户提供明确的隐私政策拒绝选项。二是用户拒绝后频繁征求用户同意、干扰用户正常使用。13万存量中小应用样本在用户明确拒绝授权后，仍然在使用过程中频繁索取权限，或者用户下次进入应用再次索取权限；且人工抽验显示，在近三个月新上架应用中仍普遍存在频繁索权的问题。三是诱导用户同意收集个人信息。例如，以签到、福利等为理由诱导用户提供姓名、手机号、住址，以“绝不收集隐私信息”等欺骗性提示诱导用户安装使用App等。四是个人信息进行定向推送但无法关闭。有27万个应用样本声明会利用个人信息进行定向推送，但人工抽验发现，除了新闻资讯、网络直播、短视频等部分类别外，大多未提供关闭定向推送的选项。此外，部分App尽管提供了关闭选项，但还存在为关闭选项强制设定了几个月的有效期，到期后自动恢复定向推送，关闭选项极其隐蔽，普通用户难以发现，关闭定向推送后并不生效等问题。 - 7 - （五）移动应用无隐私政策问题持续向好，存量问题应用仍需下架清理 隐私政策是用户了解应用处理个人信息目的、规则、方式、范围等信息的重要途径，也是《个人信息保护法》告知同意要求中，最主要的告知手段。监测发现，App无隐私政策问题呈现下降趋势，问题占比由2019年最高的26%，下降为今年的6.7%。平台企业公开收集使用规则的意识显著增强，小米、华为等头部应用商店今年已加强无隐私政策问题应用的审核力度，近三个月新上架应用程序此问题已基本清零，并对存在该问题的8.1万个存量应用进行了下架处理。但部分中小应用商店审核机制尚未健全，仍有7.8万款存量问题需进行下架清理。 （六）明示收集使用个人信息行为日趋重视，未明示敏感数据收集与“一揽子”同意问题突出 《个人信息保护法》规定，在处理个人信息前应当真实、准确、完整地向个人告知收集使用个人信息的目的、方式、范围等内容，从而充分保证用户的知情权。 在敏感数据明示收集方面，监测发现60.7%的应用收集了安卓ID等设备唯一标识信息，55.4%的应用收集了应用列表信息，13.7%的应用收集了剪切板信息，此类信息可用于人物画像、个性化推送等业务，敏感程度较高，App应向用户明示并取得授权。目前，小米、VIVO等手机终端企业已开始加强保护措施，将应用列表、剪切板等信息作为敏感权 - 8 - 限进行管控。 在隐私政策明示说明方面，监测数据与人工抽验结果显示，隐私政策存在隐瞒个人信息收集行为、“一揽子”同意等违规问题较为突出。一是隐瞒敏感个人信息收集行为，例如，电话、短信拦截功能涉及通话记录和短信等高度敏感权限，隐私政策应清晰告知是否收集用户主叫通话记录和全部短信内容等敏感内容。二是隐瞒个人信息对外共享行为，例如，面部特效、私信、客服等功能利用第三方SDK实现的，应清晰告知可能将用户人脸信息、私信内容、客服记录等共享至第三方。三是要求“一揽子”同意隐私政策全部条款甚至不合理条款，例如，用户未开启个性化推送时，不应要求其同意“要收集设备信息、位置信息、访问记录并共享至第三方进行个性化推送”等条款。目前，头部应用开始重视隐私政策相关问题，部分应用已着手加强收集个人信息和第三方共享个人信息情况的详细告知工作。 （七）SDK收集行为普遍存在，处理活动需规范和整治 监测数据表明，一款App平均嵌入10款以上SDK，通过SDK实现认证登录、消息推送、访问统计等功能，一些自主开发水平较低的中小应用甚至主要功能也完全依靠SDK实现。在监测中发现，第三方SDK收集行为不规范引发的App违规问题日益凸显。一是同类型中各款SDK收集个人信息范围差异较大。SDK主要可分为16大类，分析发现同类型SDK中，各款SDK收集的个人信息范围存在较大 - 9 - 差异，缺乏统一标准。例如，目前常见的一键登录SDK，实现功能相同，但有的收集IMSI、WIFI网络信息，有的获取系统设置项等信息，有的则需要WLAN状态等权限，App想要兼容多个登录入口就必须声明获取上述全部信息，增加了App过度收集个人信息的风险。二是SDK的权限调用和声明行为不规范。目前，手机操作系统并未提供单独的SDK权限管理机制，而是由SDK直接调用App的已有权限，部分SDK借此强制要求App捆绑声明权限，或者调用App权限过度收集个人信息。例如，用户为了使用App“附近”功能授权App调用位置权限，技术分析发现，App内嵌入的广告类、用户画像类等SDK也趁机调用位置权限。对于此问题，部分头部企业已开始重视SDK权限的管理，增加了SDK控制中间件等技术手段，用于管控各类SDK对系统权