App违规收集个人信息 风险 分析报告 2022年第一季度 奇安信病毒响应 中心 2022年5月 主要观点  App违规收集个人信息 的现象仍然十分普遍， 平均每 5个App中，就有一个 存在违规 收集个人信息 的风险。其中，“无提示收集个人信息 ”和“高频次收集个人信息 ”问题 最为显著，也是本次报告 关注的重点问题。 个别 App平均约每0.7秒就会无提示收集 一 次用户个人信息， 可谓是对用户个人信息的“不间断”的收集。  部分存在违规 收集个人信息风险的 App社会影响面巨大 ，仅下载量 排名靠前的 24款 App就至少影响 国内超过 2亿用户。 网上购物 、生活休闲 、办公商务 等常用 App的违 规风险问题最为突出 。  八成以上 的违规个人信息 收集行为，实际上是 由于 App集成了某些不规范的第三方 SDK，或者是没有对第三方 SDK收集个人信息的行为进行声明造成的。 作为软件开发 者，在集成第三方 SDK时，应当遵守相关法律法规，拒绝使用存在违规风险的 SDK， 从而努力规避自身的违规风险。 摘 要  21.3%的新增活跃 App样本存在“无提示收集个人信息”风险 ，14.7%存在“高频次收 集个人信息”风险 。平均每 5个App中，就有一个 存在违规收集个人信息风险。  在本季度检出的所有存在 违规风险 的App中，至少有 1款下载量超过 1亿次， 4款下载 量超过 1000万次， 19款下载量超过 100万次。仅这24款App就至少影响超过 2亿用 户。  存在违规风险最多的是网上购物类 App,，约占所有存在违规风险 App总数的 20.1%； 其次是生活休闲类，占比为 15.6%。办公商务类排名第三，占比 13.6%。  在所有存在“无提示收集个人信息”风险的 App中， 87.6%会无提示收集 IMEI 信息， 50.6%会无提示收集 MAC地址，16.7%会无提示收集 IMSI信息。  在所有存在高频次收集个人信息风险的 App中，每一百秒收集个人信息 2~5次的 App 约占 44.0%；6~10次的占比 28.7%,11~20 次的占比 18.8%，大于 20次的占比 8.5%。个 别App竟然会在一百秒内对 IMEI信息收集多达 138次，相当于平均约每0.7秒就收集 一次，可谓是对用户个人信息的 “不间断”收集。  对用户信息进行违规收集的， 84.0%属于第三方 SDK行为，仅有 16.0%属于 App自身 行为。  在所有集成了违规收集个人信息 SDK的App中，只集成了 1款违规 SDK的App占比 为84.4%，集成了 2款违规 SDK的App占比为 12.7%，另有 2.9%的App集成 3款及以 上的违规 SDK。 关键词：App、个人信息、 SDK、违规风险 目 录 研究背景 ................................ ................................ ................................ ................................ .................. 1 第一章 流行APP违规风险形势分析 ................................ ................................ ................................ . 2 一、 存在违规风险的 APP规模 ................................ ................................ ................................ ...... 2 二、 存在违规风险的 APP类型 ................................ ................................ ................................ ...... 2 第二章 典型APP违规风险行为分析 ................................ ................................ ................................ . 3 一、 无提示收集个人信息类型分析 ................................ ................................ .............................. 3 二、 高频次收集个人信息情况分析 ................................ ................................ .............................. 3 第三章 违规个人信息收集者分析 ................................ ................................ ................................ ..... 5 附录1 奇安信病毒响应中心 ................................ ................................ ................................ ................. 6 附录2 奇安信病毒响应中心移动安 全团队 ................................ ................................ ......................... 6 附录3 奇安信移动安全产品介绍 ................................ ................................ ................................ ......... 6 1 研究背景 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，各式各样的 App更是 丰富了人们的生活 ：从社交到出行、从网购到外卖，从办公到娱乐等， App已成为大众生活 必需品。然而， App的流行使人们对 App违规收集个人信息的风险 更加担忧 。 为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境， 国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知， 并在全国范围 内组 织开展 App违法违规收集使用个人信息专项治理 工作。 2022年第一季度， 奇安信病毒响应中心共收录全国应用市场 新增 App活跃样本 近30万 个。本报告依据《 App违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信 自研安卓动态引擎 QADE对新增 APP样本进行 抽样检测 ，重点评估 “无提示收集个人信息 ” 和“高频次收集个人信息 ”两种最为常见 、影响较深的合规性问 题。 1） 检测引擎 本次检测采用 奇安信完全自主研发 安卓动态引擎 QADE（后文统称奇安信 QADE引擎）。 奇安信 QADE引擎既支持对 App进行传统恶意检测， 同时也支持对 App违规收集个人信息 及索权等 合规性问题的检测 ，是“综合一体化 ”动态引擎 。 2） 检测依据 本次报告主要 参考以下相关的国家法律法规作为检测标准依据： 《网络安全法》 、《电信和互联网用户个人信息保护规定》 、《GB/T 35273 -2020信息安全 技术个人信息安全规范》 、《关于开展纵深推进 App侵害用户权益专项整治行动的通知》 （工 信部信管函〔 2020〕164号）、《App违法违规收集使用个人信息行为认定方法》 3） 检测内容 本次报告重点检测了相关 App在以下两方面的合规性问题 ： 无提示收集个人信息 无提示收集个人信息是指 存在无隐私说明提示或者未点同意隐私协议便开始收集用户 个人信息 的情况。 无提示收集个人信息，实际上就是在不告知用户，或用户不知情的情况下，秘密收集用 户的各种个人信息，从而给用户带来个人信息泄露、个人信息被滥用等网络安全风险。很多 App为了实现自身不当的商业利益，会选择不告知 用户个人信息收集规则， 或只告知用户部 分个人信息收集 规则。 高频次收集个人信息 高频次收集个人信息是指 存在高频率（每百秒的收集次数 ）收集用户个人信息 的情况。 高频次收集个人信息，会导致用户个人活动信息被过渡收集， 从而危害用户个人信息和 隐私安全， 同时还会快速消耗用户手机 电量和网络流量 。 关于什么样的收集频次属于高频次收集，相关法律法规并没有特别明确的具体规定。在 本报告中，每百秒内收集个人信息超过 2次（包含 2次），即认定为高频次收集。 4） 数据范围 本次报告的 检测周期为 2022年1月1日至 2022年3月31日，国内四个 应用市场的新 收录及更新的APP样本共近 30万个。这 四个应用市场 分别是：豌豆荚、多多软件站、 pc6 应用市场和 2265应用