集智专题报告：移动互联网应用程序（APP）风险分类分级指南（2025年）

版权声明本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院”。违反上述声明者，本院将追究其相关法律责任。 前言当前，数字经济蓬勃发展，信息技术创新日新月异，移动互联网应用程序（APP）作为数字化、网络化、智能化应用的重要载体，在便利人民群众的生产生活，赋能、赋值、赋智千行百业，推动经济社会数字化转型等方面发挥了重要作用。同时，随着APP应用场景日益丰富，个人信息收集、使用更为广泛，加强个人信息保护已成为业界高度关注的重要问题之一。我国高度重视个人信息保护，已出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，相关行业主管部门持续完善配套制度体系，组织制定一系列国家、行业及团体标准，为产业各方提供明确指引。相较于其他行业领域，移动互联网产业具有以下特点：一是APP数量多、创新能力强，小程序、快应用、H5页面、AI Agent等新形态不断涌现；二是版本更新频繁，单个APP平均每月更新2到3次；三是主体多、链条长，覆盖APP、SDK、安全厂商、移动应用分发平台、智能终端等上下游企业；四是技术对抗性强，恶意开发者利用“热更新”“云控”等技术，绕开审查、逃避监管。这些特性导致追溯责任和定位问题源头极为困难，对APP治理中全链条、全流程风险管理提出了更高要求。APP治理需持续深化对行业发展规律的洞察，聚焦行业发展中衍生的新问题、用户使用中亟需解决的痛点问题，持续健全完善综合治理体系，筑牢APP开发运营、应用分发、终端运行“三道防线”， 督促APP企业从源头强化责任意识、提升服务质量，同时发挥应用分发平台、智能终端等主体的重要作用，通过各链条联防共治，共同提高行业整体服务水平。鉴于此，本报告基于对APP风险特征、风险影响对象、风险影响程度等要素的分析，提出APP风险分类分级指南。本报告旨在为监管部门、APP、SDK、安全厂商、应用分发平台、智能终端等上下游企业以及用户提供可参考的风险评估框架，促进各方对APP风险类别及其危害形成共识，为进一步围绕不同类别和级别的APP风险开展协同治理奠定坚实基础。 目录一、产业持续健康发展，生态治理稳步推进 ............................. 1（一）产业规模持续增长，多元创新激发产业活力 .................... 1（二）监管治理扎实推进，用户权益保护走深向实 .................... 2（三）行业协作持续深化，多措并举促进规范发展 .................... 3二、应用创新蕴含风险，安全治理应对挑战 ............................. 4（一）APP 衍生形态多样，责任界定难度加大 ........................ 5（二）技术应用成为双刃剑，恶意利用亟需防范 ...................... 5（三）AIGC 技术应用广泛，监管治理挑战加剧 ....................... 6三、加强分类分级管理，促进行业共识共治 ............................. 7（一）APP 风险分类分级，协作治理正当其时 ........................ 7（二）明确分类分级原则，促进准确识别风险 ........................ 8（三）紧密贴合实际场景，划分具体风险类目 ........................ 8（四）分级依照风险程度，充分考虑产业影响 ....................... 16附 录 A 相关法规 .................................................. 22附 录 BAPP 风险场景 .............................................. 25 1表 目 录表1风险类目.....................................................................................................8表2 APP风险损害程度.................................................................................. 17表3 APP风险级别划分.................................................................................. 19表4风险分级参考...........................................................................................19 1一、产业持续健康发展，生态治理稳步推进（一）产业规模持续增长，多元创新激发产业活力近年来，我国移动互联网产业展现出强劲的发展活力，整体规模、用户行为、创新应用等方面均发生了深刻变革，成为推动经济社会数字化转型的关键力量。移动互联网整体产业规模持续增长。2024年，移动互联网接入流量达3376亿GB，比上年增长11.6%。截至2024年底，移动互联网用户达15.7亿户，全年净增4575万户；全年移动互联网月户均流量（DOU）达18.18GB/户月，比上年增长7.4%。移动互联网在用户覆盖和流量使用上均保持稳定增长步伐，为产业发展奠定了坚实基小程序爆发式增长，成为移动互联网产业中的重要一环。微信小程序于2017年正式发布，其即点即用的便捷化方式带动整体规模快速增长，2018年微信小程序数量已达到58万个。研究数据显示，2024年12月，微信、支付宝和抖音的小程序月活跃用户分别达到9.36亿、6.85亿、2.66亿1。小程序以便捷、灵活、轻量等特点，满足了用户在生活、工作、娱乐等方面的多样化需求。AI应用呈现快速发展态势。APP内嵌AI插件成为吸引用户的重要形式，大量互联网头部企业迅速接入。在AI加持下，APP用户规模及用户黏性持续增长，研究数据显示，2024年12月，AI原生APP月度活跃用户已经突破1.2亿，同比增长232%，同时，用户粘1来源：《2024 年全景生态流量年度报告》, QuestMobile 础。 2性也持续增长，整体月人均使用时长达133.0分钟，月人均使用次数也达到49.6次2。AI正在深刻改变移动应用市场的格局，成为推动行业发展的重要力量，伴随智能体生态的逐渐兴起，其未来发展潜力巨大3。（二）监管治理扎实推进，用户权益保护走深向实工业和信息化部立足行业管理职责定位，标本兼治、综合施策，深入推进APP治理，扎实做好用户权益保护工作。依法治理方面，落实国家法律法规要求，联合中央网信办、公安部、市场监管总局等部门不断健全APP监管治理相关制度体系，发布《常见类型移动互联网应用程序必要个人信息范围规定》《互联网弹窗信息推送服务管理规定》《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》等规章制度。先后出台《关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于开展信息通信服务感知提升行动的通知》《关于进一步提升移动互联网应用服务能力的通知》等政策文件，为企业开展经营活动提供更加明确的指引。专项治理方面，自2019年以来，纵深推进APP侵害用户权益专项整治，组织开展APP技术抽测47批次，持续整治违规收集个人信息、强制索取权限等侵害用户权益的问题。截至2025年5月，累计责令整改10155款，公开通报3079款违规APP，下架646款整改不到位的APP。经过集中整治，群众普遍反映强烈的弹窗信息关2来源：《2024 年 AIGC 应用发展年度盘点》，QuestMobile3来源：QuestMobile《2025 中国移动互联网春季报告》 3闭按钮“小如蝼蚁”“摇一摇”乱跳转、“不下载不让看全文”等突出问题得到有效规范，APP使用体验更清爽、更顺畅、更便捷。科技治理方面，组织建设了“面向移动互联网应用程序的检测及认证公共服务平台”，与国内主流移动应用分发平台建立了数据采集机制，实现对APP上架数量、下载量、活跃度等情况的动态监测，具备在架APP检测全覆盖能力，大幅提升APP监测检测、溯源追踪、风险预警、信息共享等技术能力。建立全国SDK管理服务平台信息库，覆盖行业80%的主流产品，有效指引APP开发者对比选择SDK产品。组织研制发布“智御”个人信息保护人工智能大模型，构建AI赋能APP合规新范式。系统治理方面，压实APP、SDK、应用分发平台、智能终端等上下游企业主体责任。指导重点APP企业成立用户权益保护负责部门，建立健全管理制度，开发部署技术手段，加强人员教育培训。督促移动应用分发平台发挥“守门员”作用，细化APP上架审核标准，提升APP风险检测能力，强化在架APP巡查力度。推动主流SDK落实最小必要原则，提供个人信息收集的配置选项。推动手机终端厂商对调用位置、摄像头、麦克风等敏感权限进行提醒，强化APP运行管理和风险防护，共同营造健康服务环境。（三）行业协作持续深化，多措并举促进规范发展科研院所、行业协会等多方力量积极发挥自身优势，通过制定标准规范、强化技术推广、促进行业自律等助力行业健康有序发展。标准规范方面，中国信息通信研究院联合全国网络安全标准化 4技术委员会、中国通信标准化协会、电信终端产业协会等标准化组织，制定《信息安全技术 移动智能终端安全技术要求和测试评价方法》《移动应用分发平台 服务管理要求》《APP用户权益保护测评规范》等系列标准，形成12项国标、90项行标、191项团标的标准体系，为企业理解政策法规、加强技术成果应用提供重要参考。技术推广方面，工业和信息化部移动应用创新与治理技术重点实验室围绕匿名化、隐私计算等关键技术应用，聚焦热更新、生成式人工智能服务、智能网联汽车个人信息保护等产业热点问题开展开放课题研究，组织召开“凝智前行”系列研讨交流会，促进产学研之间的技术交流及推广应用。行业自律方面，通过公益培训宣讲、优秀案例征集、发布自律公约等活动，加强法律法规宣贯解读，推广典型经验做法，增进各方交流互动，引导创建规范有序的行业生态。如，电信终端产业协会组织发布《移动应用软件高API等级预置与分发自律公约》，推动国内预置和上架应用的targetSdkVersion（Android API等级）达到30级以上，应用生态全面升级转向安卓11及以上版本，全面提高移动智能终端及应用安全水平。二、应用创新蕴含风险，安全治理应对挑战数字经济时代，移动互联网领域创新活跃，各类新技术新应用不断涌现，为用户带来更加便捷、智能、个性化的服务体验，但也加剧了违规行为的隐匿性、多变性，引发一系列亟待解决的难题。 5（一）APP衍生形态多样，责任界定难度加大便捷化移动互联网应用快速迭代，不断催生Hybrid App、快应用、小程序、应用SDK、WAP站、Web应用等多种衍生形态。以小程序为例，作为一种轻量化应用衍生形式，小程序凭借开发便捷、使用灵活等特性，广泛应用于多个行业领域，但也面临潜在安全隐患。一方面，与独立运行的APP不同，小程序必须“依附”小程序平台的运行环境获得服务，如通过小程序平台间接获取相应系统权限。在这种模式下，移动应用分发平台无法对小程序进行上架审核，终端也无法实时监测小程序的运行状态，使违法违规小程序有概率绕过现有安全检测监测机制正常运行。另一方面，小程序主要基于云端开发，服务内容可实时更新，开发者仅需简单操作即可实现单个小程序的多平台上线，极大地增加了问题审核和追溯的难度。类似地，Hybrid App、Web应用等基于云端内容提供服务的APP衍生形态均存在责任链条复杂、难以审核追溯的问题。如何规范新形态APP的行为，夯实相关主