2023上半年APP侵害用户权益检测报告

目 录 第一章 研究背景 ............................................................... 1 一、 检测引擎 .................................................................................. 1 二、 检测依据 .................................................................................. 2 三、 检测内容 .................................................................................. 2 四、 数据范围 .................................................................................. 3 第二章 违规收集个人信息分析 ......................................... 5 一、 违规收集个人信息APP分类情况 ........................................... 5 二、 无提示收集个人信息检出率情况 ........................................... 6 三、 无提示收集个人信息类型分布情况 ........................................ 6 四、 高频次收集个人信息情况分析 ............................................... 7 五、 违规个人信息收集者分析 ....................................................... 8 第三章 APP强制、频繁、过度索取权限分析................... 10 一、 存在索取权限问题APP类型分布 ......................................... 10 二、 索取权限结果分析 ................................................................. 11 三、 索取权限检出分析 ................................................................. 12 四、 权限使用情况 ......................................................................... 14 第四章 违规索取权限与违规收集个人信息 ..................... 17 第五章 总结与建议........................................................... 18 一、 影响评估 ................................................................................ 18 二、 总结&建议 .............................................................................. 18 附录 奇安信病毒响应中心 ............................................... 19 附录 奇安信病毒响应中心移动安全团队 ......................... 20 附录 奇安信移动安全产品介绍 ........................................ 21 附录 名词解释 .................................................................. 22 1 第一章 研究背景 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的APP更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP已成为大众生活必需品，但也因此暴露出APP收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展APP违法违规收集使用个人信息专项治理。 2023年上半年，奇安信病毒响应中心共收录全国应用市场新收录新更新APP近40万个。本报告依据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件和《APP违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信完全自主研发安卓动态引擎QADE（后文统称奇安信QADE引擎）对2023年上半年应用市场新收录新更新的头部主流APP抽样检测。该检测主要是为了评估当下APP侵害用户权益的问题，并提供相应的技术支持和参考。 一、 检测引擎 本次检测采用奇安信QADE引擎。奇安信QADE引擎是首款既支持对APP进行传统恶意检测，并支持对违规收集个人信息及索取权限检测等APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息和APP强制、频繁、过度索取权限两个问题进行检测。这两个问题也是APP侵害用户 2 权益问题中比较常见且影响较深的问题。 二、 检测依据 此次APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：  《网络安全法》  《电信和互联网用户个人信息保护规定》  《GB/T 35273-2020信息安全技术个人信息安全规范》  《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号）  《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）  《APP违法违规收集使用个人信息行为认定方法》 三、 检测内容 在对2023年上半年应用市场新收录的APP抽查发现，存在相当部分APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息;同时，APP违规索取权限问题也相当突出，相当部分APP存在频繁索取权限行为，个别应用还存在过度索取权限行为，这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。所以，我们根据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章对收录的APP进行检测， 3 此次APP收集个人信息检测，我们使用了奇安信QADE引擎对以下两项侵害用户权益的检测内容进行自动化检测：  违规收集个人信息： 1. 无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。 2. 高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。  APP强制、频繁、过度索取权限： 1. 强制索取权限 APP安装、运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，应用自动退出或关闭的行为。 2. 过度索取权限 APP未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行为。 3. 频繁索取权限 APP短时长、高频次，在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关权限的行为。 四、 数据范围 检测周期为2023年1月1日至2023年6月30日应用市场的新收录新更新数据，主要来源于34个应用市场，其中应用数 4 量最多的分别是华为应用市场、豌豆荚应用市场、APKMirror应用市场。 5 第二章 违规收集个人信息分析 一、 违规收集个人信息APP分类情况 本次检测到的违规收集个人信息问题的APP中，生活休闲和网上购物类型的APP违规占比最高，分别占比29.1%和14.6%。存在违规收集个人信风险的APP类型分布具体情况可见下图： 6 二、 无提示收集个人信息检出率情况 在本次检测抽检的头部主流APP中，有5.9%的APP存在无提示收集个人信息。 三、 无提示收集个人信息类型分布情况 根据《GB/T 35273-2020信息安全技术个人信息安全规范》中的个人信息内容定义，奇安信QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有4个。其中主要为个人常用设备信息Android IDi，其次为个人常用设备信息IMEIii、个人常用设备信息MAC地址iii和个人常用设备信息Serial Numberiv；同时，我们还发现存在个别APP还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。 在此次2023年上半年检测中，APP无提示收集信息类型排名前四的依次为：Android ID（占比76.5%）、IMEI（占比65.0%）、MAC地址（占比40.2%）以及Serial Number(占比31.4%)。具体APP无提示收集个人信息的类型及占比分布如下图所示： 7 四、 高频次收集个人信息情况分析 本文中，我们将一百秒内，单个APP收集个人信息次数大于等于2次的行为定义为存在“高频次收集个人信息”问题。 2023年上半年度检测中，高频次收集个人信息情况较为严重，违规收集个人信息的APP中有65.7%的APP还存在高频次收集个人信息, 其中最高一款APP在短短一百秒对个人信息IMEI收集了440次。 高频次收集个人信息主要还是集中在Android ID、IMEI和MAC地址中，在收集Android ID和IMEI的APP中，平均每个APP都收集了至少4次。 本次检出的高频次收集个人信息的APP中，大部分APP高频次收集次数主要集中在2~5次，占比62.6%，其次是6~10次占比21.5%和11~20次占比9.7%，超过20次的占比也达到了6.2%。详细分布可见图表： 8 五、 违规个人信息收集者分析 本次检测到的违规收集个人信息问题的APP中，有72.7%的APP包含了第三方SDK收集情况。这意味着当前多数APP自身不存在违规收集个人信息行为，主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。 在本次2023年上半年检测中，在违规收集个人信息第三方SDK中，排名靠前的SDK都为市场知名SDK，其中一知名SDK占比高达20.0%。具体分布如图： 9 本次检测到的包含第三方SDK违规收集个人信息问题的APP中，大部分APP都是由于集成了一款违规SDK而导致违规，这部分占比70.1%，少部分APP集成至少两款违规收集个人信息的第三方SDK，占比29.9%。具体占比情况如图： 10 第三章 APP强制、频繁、过度索取权限分析 一、 存在索取权限问题APP类型分布 本次检出到存在索取权限问题的APP中，主要来自豌豆荚应用市场和APK8安卓网应用市场。 本次检测到的存在索取权限问题的APP中，生活休闲类型的应用占最多数，其次是网上购物类型，总体情况可见图表： 11 对表图中的结果可知，对电商类APP和部分生活类APP来说，收集的信息越多，用户画像就越精准，能开展的经营活动就更多，获利更丰厚。 二、 索取权限结果分析 存在索取