目 录 第一章 研究背景 ............................................................... 1 一、 检测引擎 .................................................................................. 1 二、 检测依据 .................................................................................. 2 三、 检测内容 .................................................................................. 2 四、 数据范围 .................................................................................. 3 第二章 违规收集个人信息分析 ......................................... 4 一、 违规收集个人信息APP分类情况 ........................................... 4 二、 无提示收集个人信息检出率情况 ........................................... 5 三、 无提示收集个人信息类型分布情况 ........................................ 5 四、 高频次收集个人信息情况分析 ............................................... 7 五、 违规个人信息收集者分析 ....................................................... 8 第三章 总结与建议........................................................... 10 一、 影响评估 ................................................................................ 10 二、 总结&建议 .............................................................................. 10 附录 奇安信病毒响应中心 ............................................... 11 附录 奇安信病毒响应中心移动安全团队 ......................... 12 附录 奇安信移动安全产品介绍 ........................................ 13 附录 名词解释 .................................................................. 14 1 第一章 研究背景 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的APP更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP已成为大众生活必需品，但也因此暴露出APP收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展APP违法违规收集使用个人信息专项治理。 2023年度，奇安信病毒响应中心共收录全国应用市场新收录新更新APP近80万个。本报告依据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件和《APP违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信完全自主研发安卓动态引擎QADE（后文统称奇安信QADE引擎）对2023年年应用市场新收录新更新的头部主流APP抽样检测。该检测主要是为了评估当下APP侵害用户权益的问题，并提供相应的技术支持和参考。 一、 检测引擎 本次检测采用奇安信QADE引擎。奇安信QADE引擎是首款既支持对APP进行传统恶意检测，并支持对违规收集个人信息及索取权限检测等APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息进行检测。这个问题也是APP侵害用户权益问题中比较常见且影响较深的问题。 2 二、 检测依据 此次APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：  《网络安全法》  《电信和互联网用户个人信息保护规定》  《GB/T 35273-2020信息安全技术个人信息安全规范》  《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号）  《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）  《APP违法违规收集使用个人信息行为认定方法》 三、 检测内容 在对2023年度应用市场新收录的APP抽查发现，存在相当部分APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息;这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。所以，我们根据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章对收录的APP进行检测，此次APP收集个人信息检测，我们使用了奇安信QADE引擎对以下侵害用户权益的检测内容进行自动化检测：  违规收集个人信息： 3 1. 无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。 2. 高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。 四、 数据范围 检测周期为2023年1月1日至2023年12月31日应用市场的新收录新更新数据，主要来源于34个应用市场，其中应用数量最多的分别是华为应用市场、360手机助手应用市场和豌豆荚应用市场。 4 第二章 违规收集个人信息分析 一、 违规收集个人信息APP分类情况 本次检测到的违规收集个人信息问题的APP中，生活休闲和网上购物的APP违规占比最高，分别占比18.5%和12.0%。存在违规收集个人信风险的APP类型分布具体情况可见下图： 5 二、 无提示收集个人信息检出率情况 在本次检测抽检的头部主流APP中，发现34262个APP存在无提示收集个人信息，占比4.3%。纵观2023年上半年和下半年的检出情况，下半年的检出率（2.0%）较上半年检出率（5.9%）稍呈下降趋势。具体分布如下图所示： 三、 无提示收集个人信息类型分布情况 根据《GB/T 35273-2020信息安全技术个人信息安全规范》中的个人信息内容定义，奇安信QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有4个。其中主要为个人常用设备信息Android IDi，其次为个人常用设备信息IMEIii、个人常用设备信息MAC地址iii和个人常用设备信息Serial Numberiv；同时，我们还发现存在个别APP还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。 在此次2023年度检测中，APP无提示收集信息类型排名前四的依次为：Android ID（占比73.9%）、IMEI（占比58.5%）、MAC地址（占比34.6%）以及Serial Number(占比27.3%)。具体 6 APP无提示收集个人信息的类型及占比分布如下图所示： 从2023年上半年和下半年来看，Android ID、IMEI、MAC地址和Serial Number这四类无提示收集个人信息的APP占比在逐步减少。其中Android ID从76.5%下降到65.6%，占比下降了10.9个百分比，IMEI下降了10.8个百分比。MAC地址占比下降最多，下降了15.8个百分比。 从不同类型无提示收集信息的APP在上半年和下半年的占比情况来看，占比最大的无提示收集信息类型始终是Android ID，其次为IMEI和MAC地址。具体分布如下图所示： 7 四、 高频次收集个人信息情况分析 本文中，我们将一百秒内，单个APP收集个人信息次数大于等于2次的行为定义为存在“高频次收集个人信息”问题。 2023年度检测中，违规收集个人信息的APP中有58.8%的APP还存在高频次收集个人信息，高频次收集个人信息情况依然较为严重，下半年高频次收集个情况和上半年相比情况稍好，下半年高频次收集下降了13.6个百分比。其中最高一款APP在短短一百秒对个人信息IMEI收集了440次。 高频次收集个人信息主要还是集中在Android ID、IMEI和MAC地址中，在收集Android ID和IMEI的APP中，平均每个APP都收集了至少4次。 本次检出的高频次收集个人信息的APP中，大部分APP高频次收集次数主要集中在2~5次，占比65.5%，其次是6~10次占比20.0%和11~20次占比8.8%，超过20次的占比也达到了5.7%。详细分布可见图表： 8 五、 违规个人信息收集者分析 本次检测到的违规收集个人信息问题的APP中，有74.4%的APP包含了第三方SDK收集情况。下半年和上半年相比，第三方SDK收集情况并无太大变化。这意味着当前多数APP自身不存在违规收集个人信息行为，主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。 在本次2023年度检测中，在违规收集个人信息第三方SDK中，排名靠前的SDK都为市场知名SDK，其中一知名SDK占比高达23.2%，具体分布如图： 9 本次检测到的包含第三方SDK违规收集个人信息问题的APP中，大部分APP都是由于集成了一款违规SDK而导致违规，这部分占比71.2%，少部分APP集成至少两款违规收集个人信息的第三方SDK，占比28.8%。具体占比情况如图： 10 第三章 总结与建议 一、 影响评估 此次检测到侵犯用户权益的APP中（存在违规收集个人信息），我们发现其中有21款APP下载量在亿次以上，有111款APP下载量在千万次以上，183款APP下载量在百万次以上。可见APP侵害用户权益问题的影响面非常广，至少影响到上亿用户。 二、 总结&建议 从2023年度检测的结果来看，在国家相关的法律法规下，今年侵害用户权益APP的检出率较低，整体趋势处于下降趋势；但从侵害用户权益APP的下载量来看，影响面仍较广，这也代表该问题仍需要继续保持治理。 在此次检测的发现的主要问题，虽有一部分APP是自身产生的违规收集个人信息情况，但更多的是由于集成了第三方SDK导致。因此我们也建议一方面第三方SDK厂商在整改后，在如何更好的引导APP开发者按新版按要求更快速更便捷的进行升级解决做的更好，在做好自己的这个点的同时，也能和APP开发者这个上游点能联动形成一条安全线。另一方面APP开发者也要有相应的个人信息安全意识，按照国家法律法规，不进行违规收集个人信息。 11 附录 奇安信病毒响应中心 奇安信病毒响应中心是北京奇安信科技有限公司（奇安信集团）旗下的病毒鉴定及响应专业团队，背靠奇安信核心云平台，拥有每日千万级样本检测及处置能