奇安信：2023年度App侵害用户权益检测报告

目 录 第一章 研究背景 ............................................................... 1 一、 检测引擎 .................................................................................. 1 二、 检测依据 .................................................................................. 2 三、 检测内容 .................................................................................. 2 四、 数据范围 .................................................................................. 3 第二章 违规收集个人信息分析 ......................................... 4 一、 违规收集个人信息 APP 分类情况 ........................................... 4 二、 无提示收集个人信息检出率情况 ........................................... 5 三、 无提示收集个人信息类型分布情况 ........................................ 5 四、 高频次收集个人信息情况分析 ............................................... 7 五、 违规个人信息收集者分析 ....................................................... 8 第三章 总结与建议........................................................... 10 一、 影响评估 ................................................................................ 10 二、 总结&建议 .............................................................................. 10 附录 奇安信病毒响应中心 ............................................... 11 附录 奇安信病毒响应中心移动安全团队 ......................... 12 附录 奇安信移动安全产品介绍 ........................................ 13 附录 名词解释 .................................................................. 14 1 第一章 研究背景 随着互联网和移动设备的发展，手机已成为人人都拥有的设备，其中各式各样的 APP 更是丰富了人们的生活，从社交到出行、从网购到外卖，从办公到娱乐等，APP 已成为大众生活必需品，但也因此暴露出 APP 收集个人信息的风险。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围组织开展 APP 违法违规收集使用个人信息专项治理。 2023 年度，奇安信病毒响应中心共收录全国应用市场新收录新更新 APP 近 80 万个。本报告依据《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337 号文件、《工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164 号文件和《APP 违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信完全自主研发安卓动态引擎 QADE（后文统称奇安信QADE 引擎）对 2023 年年应用市场新收录新更新的头部主流 APP抽样检测。该检测主要是为了评估当下 APP 侵害用户权益的问题，并提供相应的技术支持和参考。 一、 检测引擎 本次检测采用奇安信 QADE 引擎。奇安信 QADE 引擎是首款既支持对 APP 进行传统恶意检测，并支持对违规收集个人信息及索取权限检测等 APP 当下流行问题进行检测的综合一体化动态引擎。此次检测采用该引擎对违规收集个人信息进行检测。这个问题也是 APP 侵害用户权益问题中比较常见且影响较深的问题。 2 二、 检测依据 此次 APP 收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：  《网络安全法》  《电信和互联网用户个人信息保护规定》  《GB/T 35273-2020 信息安全技术个人信息安全规范》  《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337 号）  《工业和信息化部关于开展纵深推进 APP 侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164 号）  《APP 违法违规收集使用个人信息行为认定方法》 三、 检测内容 在对 2023 年度应用市场新收录的 APP 抽查发现，存在相当部分 APP 在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息;这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。所以，我们根据《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337 号文件、《工业和信息化部关于开展纵深推进APP 侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164 号文件、《关于开展纵深推进 APP 侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章对收录的 APP 进行检测，此次 APP 收集个人信息检测，我们使用了奇安信 QADE 引擎对以下侵害用户权益的检测内容进行自动化检测：  违规收集个人信息： 3 1. 无提示收集个人信息 检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。 2. 高频次收集个人信息 检测存在按频率(每百秒的收集次数)收集用户个人信息。 四、 数据范围 检测周期为 2023 年 1 月 1 日至 2023 年 12 月 31 日应用市场的新收录新更新数据，主要来源于 34 个应用市场，其中应用数量最多的分别是华为应用市场、360 手机助手应用市场和豌豆荚应用市场。 4 第二章 违规收集个人信息分析 一、 违规收集个人信息 APP 分类情况 本次检测到的违规收集个人信息问题的 APP 中，生活休闲和网上购物的 APP 违规占比最高，分别占比 18.5%和 12.0%。存在违规收集个人信风险的 A