2024年移动应用隐私安全观测报告
AI智能总结
移动应用隐私安全观测报告 目录前言5第一章全国移动互联网应用分析71.1全国移动应用地域分布,1.2移动应用厂商地域分布81.3移动应用类型分布..9第二章重要法规与违规案例.122.1主要违规案例122.2重要法规、政策发布.14第三章2024年通报App分析163.1被通报的移动应用总体分布..163.2被通报的移动应用违规类型分布183.3其他被通报移动应用分布..19第四章移动应用隐私合规风险分析224.1移动应用合规检测功能类型分布....224.2移动应用功能类型违规问题统计4.3移动应用合规检测违规类型分析.244.4移动应用采集个人信息分析,.254.5移动应用存储个人信息统计,.264.6移动应用传输个人信息分析,274.7数据跨境目的地分布,28第五章移动应用安全风险分析30 2024年移动应用隐私安全观测报告5.1移动应用安全检测功能类型分布,5.2移动应用安全检测结果概览5.3AndroidApp安全检测风险类型分布325.4iosApp安全检测风险类型分布.33第六章移动应用安全加固分析,.356.1移动应用安全加固分析,..356.2移动应用加固厂商...366.3移动应用安全加固风险对比.37第七章应用申请权限与第三方SDK分析.387.1第三方SDK类型分析.387.2应用申请权限分析.40第八章网络社区类移动应用.438.1研究背景.438.2网络社区类应用概况.438.3网络社区类应用合规风险分析...468.4网络社区类应用安全风险分析.47第九章总结与建议.49第十章公司及产品介绍5110.1公司介绍.5110.1.1公司概况,5110.1.2公司愿景使命5110.1.3联系方式52 10.2产品介绍,10.2.1观澜·隐私安全检测平台,10.2.2观辰·隐私安全探针10.2.3观擎·隐私安全态势分析平台..5410.3安全服务介绍..5410.3.1个人信息保护影响评估(PIA)服务 前言 在数字化浪潮席卷全球的当下,移动应用(App)已然成为人们日常生活中不可或缺的“数字伙伴”。伴随移动互联网技术迅猛发展移动应用市场上App数量和类型也在不断更新送代。当前移动应用市场上App类型覆盖游戏娱乐、工具软件、本地生活服务等,满足用户在不同场景下的需求。用户在享受移动应用带来的便捷服务时,安全与隐私问题也日益凸显,如恶意软件、网络钓鱼、数据泄露等安全威胁层出不穷,个人信息被违规收集、滥用的情况屡见不鲜。不法分子将通过获取到的个人信息开展精准营销、恶意推送等商业活动十扰用户的正常生活。同时犯罪案例中,个人信息也被用于电信诈编、网络钓鱼等违法犯罪活动,给用户带来财产损失和精神压力,甚至威胁到国家安全和社会稳定。限少 面对移动应用隐私合规安全风险,国家监管部门高度重视,相继颁布相关标准及指导文件,强化治理移动应用隐私合规安全问题。在2024年,我国各级政府与相关监管部门陆续发布个人信息安全领域的重要法规、政策与相关标准,涉及数据跨境流动、金融服务类App、理者的责任和用户的知情权,推动了行业自律和合规发展。 在此背景下,厦门嘉佑安科信息技术有限公司依托自身在隐私安全领域的专业技术和丰富经验,依据《工业和信息化部关于开展APP 侵害用户权益专项整治工作的通知》工信部信管函【2019】337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函【2020】164号文件和《APP违法违规收集使用个人信息行为认定方法》等内容要求,基于嘉佑安科自主研发的观澜·隐私安全检测平台,对收录的移动互联网应用进行了深入的检测与分析,输出总结性年度观测分析报告。 通过本次移动应用隐私安全年度观测报告,厦门嘉佑安科期望能够为监管机构提供重要的参考依据,助力其更精准地开展监管工作;为App开发者和运营者敲响警钟,企业自身能够加强隐私合规意识和安全防护措施,提开个人信息处理的透明度,建立用户信任。同时安全意识和保护能力,共同营造一个安全、可信的移动应用生态环境。 声明:本报告的观点和结论仅代表当前的研究和分析成果,我们将保持对移动应用安全动态的持续追踪并期待未来能够提供更加全面和深入的视角。 第一章全国移动互联网应用分析 在过去的一年里,观泓·移动应用资产监测平台收集了超过两百万个App和近一百万个App厂商的数据。嘉佑安科依托观泓对数百个渠道进行了持续的实时监测,并对这些数据进行了深入的统计分析。观测报告深入剖析了移动应用的地域分布格局、App厂商的集中态势以及各类应用的占比情况等内容。这些分析成果,不仅为监管机构提供了极具价值的决策参考,还助力于更精准地把握产品的社会影响力,进而有效促进隐私合规意识的强化和产品安全性能的提升。 1.1全国移动应用地域分布 截至2024年12月31日,观泓移动应用资产监测平合新收录各类应用数万个。基于收录的应用数据,按照开发商及运营主体进行归属地划分,其中广东省、北京市、上海市所开发的应用数量排在全国的前三,厂东省应用数量位居第一,占全国应用总量的31.8%,其次是北京市,占总量的18.2%;上海市位列第三,占总量的11.7%。以下是全国移动应用地域分布Top8 1.2移动应用厂商地域分布 截至2024年12月31日,观泓·移动应用资产监测平台收录移动应用厂商近15万个,其中广东省、北京市、上海市厂商数量排在全国的前三,广东省厂商数量位居第一,占全国厂商总量的25.3%;其次是北京市,占总量的18.6%;上海市位列第三,占总量的12.5%。 从全国移动应用厂商的地域分布格局来看,厂商主要集中在东部沿海的发达区域,这里经济实力雄厚、科技资源丰富,为移动应用产业的发展提供了得天独厚的条件。近年来,西南地区以四川为代表,移动应用产业也呈现出蓬勃发展的态势。其中,成都市凭借其独特的区位优势、良好的政策环境和日益完善的产业链,更是集聚了近4万家移动应用开发厂商,成为西南地区移动应用产业的重要引擎。以下是全国移动应用厂商地域分布Top8: 1.3移动应用类型分布 截至2024年12月31日,按照四部委发布的《常见类型移动互联网应用程序必要个人信息范围规定》对应用按功能进行分类,将应用分为40个类型,其中网络游戏类应用数量占应用总量的37.5%位居第一;实用工具类应用数量占应用总量的10.7%,位居第二;本地生活类应用数量占应用总量的8.1%,位居第三。 以下是全国移动应用类型分布Top8 从近三个月的App活跃度来看,观泓·移动应用资产监测平台近三个月新增近20万移动应用,其中网络游戏类新增最多,占总新增数33.7%;图实用工具类和本地生活类新增差距不大,分别占14.5%和13.8%。以下是近三月全国移动更新占比: 从上图分析可得:尽管网络游戏类应用在新增占比上位居首位但相较于全年数量占比来看,其比例有所下降。这表明在第四季度, 网络游戏类移动应用的新增幅度相较于全年有所放缓。然而,由于网络游戏类应用本身具有较大的数量基础,因此其新增占比依然最高。与此同时,实用工具类应用的新增占比相较于全年数量占比有所提高反映出该类应用在第四季度的新增幅度呈上升趋势,显示出实用工具类应用在年底的活跃度较高。本地生活类应用的情况与实用工具类应 第二章重要法规与违规案例 随看移动应用数量的迅猛增长以及其地域分布的日益广泛,移动应用带来的安全风险和隐私违规风险日益突出。恶意软件、网络钓鱼、数据泄露等安全威胁层出不穷。加之网络环境的复杂性和技未手段的局限性,个人信息泄露的风险始终存在。国内外已发生多起个人信息安全相关案件,如Meta因数据泄露被爱尔兰数据保护委员会处以2.51亿欧元的罚款,以及国内某科技公司因未履行数据安全保护义务而被罚款。这些案例凸显了加强数据安全和隐私保护的紧迫性提醒企业和个人必须采取有效措施来防范潜在风险。 因此,国家监管部门需要出台相应的法律法规来约束违法行为,减少违规事件的发生,从而促进生态的健康发展。 2.1主要违规案例 2024年,全球领域下发生了很多隐私安全领域的各种违规案例,如下表所示: 从上述违规事件表可以看出,数据安全在全球范围内都极为重要且仍面临诸多挑战。无论是涉及数十亿用户数据的大规模泄露事件,还是关乎单个用户人脸信息的小范围安全问题,都函待引起高度重视,并在监管部门的严格监督下逐步减少发生频率。 数据安全和隐私保护领域的违规事件频发,凸显了加强监管和提升防护能力的紧迫性。例如,Meta因非法收集生物识别数据而向得克萨斯州支付了14亿美元的和解金,这一事件成为美国历史上最大的隐私和解案例之一,反映出企业在处理用户敏感信息时存在的严重 漏洞。此外,爱尔兰数据保护委员会对Meta因密码管理不当处以9100万欧元的罚款,进一步说明了即使是大型科技公司,也可能因数据安全措施不到位而面临巨额罚款和声誉损失。这些案例警示着企业和组织必须高度重视数据安全和隐私保护,建立健全的合规管理体系,以防范潜在的风险和损失,保障用户的合法权益。 只有当每个人的个人信息安全得到充分保障,数字经济生态才能实现健康、可持续的发展。为此我国各级政府除了加强日常监管外,还在不断补充相关法律法规与标准要求。 2.2重要法规、政策发布 2024年,我国各级政府与相关监管部门发布并生效了多条个人信息安全领域的重要法规、政策与相关标准,如下表所示: 2024年发布的这些重要法规反映了国家在网络安全和数据保护 方面的全面加强。 首先,对未成年人的网络保护得到了显著提升,从年初《未成年人网络保护条例》的实施,到后面发布的《适用于未成年人的移动智能终端指南团体标准》《移动互联网未成年人模式建设指南》,再到区域性的《上海属地网络平台履行未成年人网络保护义务合规指引》,都旨在为未成年人营造一个更安全、更健康的网络环境。 其次,数据安全和个人信息保护成为立法的重点,涉及数据跨境流动、金融服务类App、旅游大数据等多个领域,强调了数据处理者的责任和用户的知情权。此外,行业特定的法规如旅游大数据安全标准和金融服务类App的个人信息保护指南,进一步细化了各行业的安全要求,推动了行业自律和合规发展。 这些法规的出台和实施,体现了国家对数字经济安全和用户权益保护的高度重视,保护个人信息安全的同时,在进一步促进数字经济的健康发展和用户信任的建立。 第三章 2024年通报App 分析 3.1被通报的移动应用总体分布 2024年全国监管部门总计通报隐私违规App1879款,工信及各省通管1501款,网信办273款、病毒中心(CVERC)105款; 其中,工信部通报204款,占全国工信部门通报应用总量的13.6%;各地通管局共通报1297款,占全国工信部门通报应用总量的86.4%;全国有21个省级单位有发布通报,其中,山东省、浙江省、广东省通报应用排在全国工信部门通报应用的前三,分别占全国通报应用的17.1%、11.3%和9.1%,以下是各省份通管局通报应用总量综合情况分布图: 从上图开结合之前的移动应用地域分布图综合来看,东部沿海的发达区域(如山东省、浙江省、广东省、上海市)和近期的西南地区(如四川省、重庆市、贵州省)的移动应用被通报数量较多,且省级监管部门的通报频率几乎都在每月一次。这与之前的移动应用地域分布图相呼应,因为这些区域的移动应用数量多,应用开发商也较为集中。因此,监管部门需要重点关注这些区域,以确保移动应用的安全性和合规性,从而导致这些区域的通报数量占比呈现上图所示的趋势。 3.2被通报的移动应用违规类型分布 其中,通报数量前三名是:1、违规收集个人信息,2、App强制、频繁、过度索取权限,3、超范围收集个人信息。 对比2023年的通报类型情况可知,今年新增了关于欺骗误导、点击乱跳转、“摇一摇”等通报问题点,说明监管部门今年的重点在此类问题上。因为这些问题会较为严重地侵犯用户个人信息权益。例如,欺骗误导用户下载APP或提供个人信息,会导致用户在不知情的情况下泄露自己已的数据。点击乱跳转则可能使用
