2022年第二季度App收集个人信息检测报告

2022年第二季度 APP收集个人信息检测报告 奇安信病毒响应中心 2022年9月15日 1 目 录 研究背景 .................................................................................................................................................. 2 （一） 检测引擎 ............................................................................................................................. 2 （二） 检测依据 ............................................................................................................................. 2 （三） 检测内容 ............................................................................................................................. 2 （四） 数据范围 ............................................................................................................................. 3 （五） 应用分布 ............................................................................................................................. 3 第一章 无提示收集个人信息情况分析 ............................................................................................. 4 （一） 无提示收集个人信息检出率情况 ..................................................................................... 4 （二） 无提示收集个人信息类型分布情况 ................................................................................. 4 第二章 高频次收集个人信息情况分析 ............................................................................................. 6 第三章 违规个人信息收集者分析 ..................................................................................................... 8 （一） 本次检测个人信息收集者情况 ......................................................................................... 8 （二） 存在集成多个第三方SDK收集情况 ............................................................................... 10 第四章 总结与建议 ........................................................................................................................... 11 （一） 影响评估 ........................................................................................................................... 11 （二） 总结&建议 ......................................................................................................................... 11 附录A 奇安信病毒响应中心 ............................................................................................................... 12 附录B 奇安信病毒响应中心移动安全团队 ....................................................................................... 12 附录C 奇安信移动安全产品介绍 ....................................................................................................... 12 附录D 名词解释 ................................................................................................................................... 12 2 研究背景 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的APP更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP已成为大众生活必需品，但也因此暴露出APP收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展APP违法违规收集使用个人信息专项治理。 2022年第二季度，奇安信病毒响应中心共收录全国应用市场新收录新更新APP近38万个。本报告依据《APP违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信自研安卓动态引擎QADE对2022年第二季度应用市场新收录新更新的头部主流APP抽样检测。该检测主要是为了评估当下APP收集个人信息的一些问题，并给予相应的提供技术支撑和参考。 （一） 检测引擎 本次检测采用奇安信完全自主研发安卓动态引擎QADE（后文统称奇安信QADE引擎）。奇安信QADE引擎是首款既支持对APP进行传统恶意检测，并支持对违规收集个人信息及索权等APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对无提示收集个人信息和高频次收集个人信息两个问题进行检测。这两个也是违规收集个人信息问题中比较常见且影响较深的问题。 （二） 检测依据 此次APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据： 1) 《网络安全法》 2) 《电信和互联网用户个人信息保护规定》 3) 《GB/T 35273-2020信息安全技术个人信息安全规范》 4) 《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号） 5) 《APP违法违规收集使用个人信息行为认定方法》 （三） 检测内容 在对2022年第二季度应用市场新收录的APP抽查发现，存在相当部分APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息，这些违规行为对用户来说无感知，但又严重侵害了用户个人隐私。所以，我们根据《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章，此次APP收集个人信息检测，我们使用了奇安信QADE引擎对以下两项检测内容进行自动化检测： 1) 无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。 3 2) 高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。 （四） 数据范围 检测周期为2022年4月1日至2022年6月30日应用市场的新收录新更新数据，主要来源五个应用市场，分别是pc6应用市场、豌豆荚应用市场、多多软件站、360手机助手和华为应用市场。 （五） 应用分布 本次检测到的违规收集个人信息问题的APP中，APP的类型分布总体情况可见图表： 对表图中的结果可知，违规收集个人信息在休闲益智类APP上风险较大，其次是网上购物。 4 第一章 无提示收集个人信息情况分析 （一） 无提示收集个人信息检出率情况 1) 在本次抽检的头部主流APP中，有27.2%的APP存在无提示收集个人信息，同2022第一季度相比，检出率环比增加5.9%。同时，我们在本次的抽检中发现，存在无提示收集个人信息的APP中，有4.6%的APP在2022第一季度中已被检测为无提示收集个人信息。 （二） 无提示收集个人信息类型分布情况 根据《GB/T 35273-2020信息安全技术 个人信息安全规范》中的个人信息内容定义，奇安信QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有3个。其中主要为个人常用设备信息IMEIi，其次为个人常用设备信息MAC地址ii、个人常用设备信息IMSIiii；同时，我们还发现存在个别APP还收集了用户的定位信息、剪切板信息iv和用户已安装应用信息。 1) 在此次检测中，APP无提示收集主要的三种个人信息类型占比情况如图： 5 2) 环比2022第一季度APP无提示收集个人信息类型分布，我们发现无提示收集中主要三种类型差距不大。 6 第二章 高频次收集个人信息情况分析 本次检测到的违规收集个人信息问题的APP，其中有25.1%的APP还存在高频次收集个人信息，这批APP在短短一百秒中存在至少收集2次, 其中最高一款APP在短短一百秒对IMEI收集了715次。 对比第一季度，我们发现，高频次收集个人信息检出率环比增加10.4%，增幅较大。 高频次收集个人信息主要还是集中在IMEI、IMSI和MAC地址，在收集IMEI的APP中，存在25%的APP收集了4次以上；在收集MAC地址和IMSI的APP中，大部分APP都收集了3次及以上。 本次检出的APP高频次收集个人信息次数情况较为严峻，其中存在18.7%的APP在短短一百秒内收集个人信息达20次以上，详细分布可见图表： 7 8 第三章 违规个人信息收集者分析 （一） 本次检测个人信息收集者情况 1) 本次检测到的违规收集个人信息问题的APP中，有76.7%的APP包含了第三方SDK收集情况，环比2022第一季度下降7.3%。这意味着当前多数APP自身不存在违规收集个人信息行为，主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。 注：“自身APP”代表APP自身存在违规收集个人信息问题。 2) 本次检测到的违规收集个人信息第三方SDK中，其中市场知名SDK占比较大。 3) 本次检出违规第三方SDK 230款，其中存在99款SDK在2022第一季度中已检出， 9 剩余131款为本次新增检出SDK。可以发现，SDK收