2022年度 App收集个人信息检测报告

摘要  2022年度，奇安信对新收录的 APP进行抽样合规检测，发现当下较多的APP存在违规问题，违规 APP的数量占到了本次检测 APP数量的25.3%。  违规APP中类型占比最高的是生活休闲类。  检测发现违规的 APP中有78.8%都包含了第三方 SDK违规收集的行为，说明第三方 SDK违规是造成 APP违规的主要原因。  检测发现部分违规 APP在100秒中对个人信息至少收集了2次，这部分 APP占违规APP数量的24.7%。  违规APP的影响较为广泛，本次检测发现违规 APP的总下载量超过了上亿次。目录第一章研究背景 ................................ ............................... 1 一、检测引擎 ................................ ................................ .................. 1 二、检测依据 ................................ ................................ .................. 1 三、检测内容 ................................ ................................ .................. 2 四、数据范围 ................................ ................................ .................. 2 五、应用分布 ................................ ................................ .................. 3 第二章无提示收集个人信息情况分析 .............................. 4 一、无提示收集个人信息检出率情况 ................................ ........... 4 二、无提示收集个人信息类型分布情况 ................................ ........ 4 第三章高频次收集个人信息情况分析 .............................. 7 一、高频次收集个人信息检出率情况 ................................ ........... 7 二、高频次收集个人信息次数分布情况 ................................ ........ 8 第四章违规个人信息收集者分析 ................................ ..... 9 一、第三方SDK收集情况 ................................ ............................... 9 二、集成多个第三方 SDK收集情况 ................................ ............. 10 第五章总结与建议 ................................ ........................... 11 一、影响评估 ................................ ................................ ................ 11 二、总结&建议 ................................ ................................ .............. 11 附录奇安信病毒响应中心 ................................ ............... 12 附录奇安信病毒响应中心移动安全团队 ......................... 13 附录奇安信移动安全产品介绍 ................................ ........ 14 附录名词解释 ................................ ................................ .. 15 1 第一章研究背景随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的 APP更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等， APP已成为大众生活必需品，但也因此暴露出 APP收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展 APP违法违规收集使用个人信息专项治理。 2022年度，奇安信病毒响应中心共收录全国应用市场新收录新更新 APP近118万个。本报告依据《 APP违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信自研安卓动态引擎QADE对2022年度应用市场新收录新更新的头部主流 APP抽样检测。该检测主要是为了评估当下 APP收集个人信息的一些问题，并给予相应的提供技术支撑和参考。一、检测引擎本次检测采用奇安信完全自主研发安卓动态引擎 QADE（后文统称奇安信 QADE引擎）。奇安信 QADE引擎是首款既支持对 APP 进行传统恶意检测，并支持对违规收集个人信息及索权等 APP当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对无提示收集个人信息和高频次收集个人信息两个问题进行检测。这两个也是违规收集个人信息问题中比较常见且影响较深的问题。二、检测依据 2 此次APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：  《网络安全法》  《电信和互联网用户个人信息保护规定》  《GB/T 35273-2020信息安全技术个人信息安全规范》  《关于开展纵深推进 APP侵害用户权益专项整治行动的通知》（工信部信管函〔 2020〕164号）  《APP违法违规收集使用个人信息行为认定方法》三、检测内容在对2022年度应用市场新收录的 APP抽查发现，存在相当部分APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息，这些违规行为对用户来说无感知，但又严重侵害了用户个人隐私。所以，我们根据《关于开展纵深推进 APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章，此次 APP收集个人信息检测，我们使用了奇安信 QADE引擎对以下两项检测内容进行自动化检测：  无提示收集个人信息：检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。  高频次收集个人信息：检测存在按频率 (每百秒的收集次数 )收集用户个人信息。四、数据范围检测周期为 2022年1月1日至2022年12月31日应用市场 3 的新收录新更新数据，主要来源八个应用市场，分别是 PC6应用市场、豌豆荚应用市场、多多软件站应用市场、 360手机助手应用市场、华为应用市场、历趣应用市场、 7230手游网应用市场和 APK8安卓网应用市场。五、应用分布本次检测到的违规收集个人信息问题的 APP中，生活休闲类型的APP违规占比最高，占比 43.5%；第二是是网上购物类型的 APP，占比9.2%；第三是办公商务类型的 APP，占比8.4%。可见违规问题最多的还是集中在生活休闲类型 APP上。存在违规收集个人信风险的APP类型分布具体情况可见下图： 4 第二章无提示收集个人信息情况分析一、无提示收集个人信息检出率情况在本次检测抽检的头部主流 APP中，有25.3%的APP存在无提示收集个人信息。纵观 2022年四个季度的检出情况，第二季度检出率（ 21.2%）较第一季度检出率（27.2%）稍有增高，第三季度检出率（20.7%）和第四季度检出率（13.3%）都呈下降趋势。可见，APP无提示违规手机个人信息检出情况在逐渐好转。具体分布如下图所示：二、无提示收集个人信息类型分布情况根据《GB/T 35273-2020信息安全技术个人信息安全规范》中的个人信息内容定义，奇安信 QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有3个。其中主要为个人常用设备信息 IMEIi，其次为个人常用设备信息 MAC地址ii和个人常用设备信息 IMSIiii；同时，我们还发现存在个别 APP还收集了用户的定位信息、剪切板iv信息和用户已安装应用信息。 5 在此次2022年年