【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告(0831-0913)
导语:【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告。
【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(0831-0913)
●最新监管动态
监管通报动态
●监管支撑汇总
梆梆安全监管支撑数据
国家监管数据分析
●漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP各类型占比分析
01 最新监管动态
1. 监管通报动态
9月3日,安徽通管局依据相关法律法规的要求,在8月检测发现29款APP存在违法违规收集使用个人信息情况。截至目前,尚有8款APP未完成问题整改。逾期不整改的,安徽通管局将依法依规进行处置。
9月5日,宁夏通管局依据相关法律法规,持续开展APP(小程序)个人信息保护和网络数据安全治理。在8月检测发现7款APP(小程序)存在侵害用户权益问题,截至目前,尚有5款小程序未整改,现予以通报。6月宁夏通管局通报了4款存在侵害用户权益行为的小程序并要求整改,截至目前,尚有4款小程序未完成整改,现予以全网下架处置。
9月5日,甘肃通管局依据相关法律法规的要求,持续开展移动互联网应用程序(含小程序)个人信息合规专项整治行动。截至目前,仍有9款应用程序未完成整改工作,现予以公开通报。7月宁夏通管局通报甘肃部分存在侵害用户权益的应用程序并要求整改。截至目前,仍有8款应用程序未按要求完成整改,现予以下架处置。
9月8日,山东通管局依据相关法律法规的要求,深入开展APP侵害用户权益专项整治工作。截至目前,仍有14款APP未完成整改工作,现予以通报。如再次逾期仍未整改到位,山东通管局将视情采取下架等措施。截至9月8日,有2款存在问题的APP经书面要求整改、通报再次要求整改后,仍未在规定时限内完成整改反馈,现予以下架。
9月10日,国家计算机病毒应急处理中心依据相关法律法规,检测发现69款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的70款违法违规移动应用,经复测仍有33款存在问题,相关移动应用分发平台已予以下架。
9月12日,北京通管局依据相关法律法规的要求,持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前,尚有23款移动互联网应用程序未整改或整改不到位,现予以公开通报。8月3日,北京通管局通报存在侵害用户权益行为的移动互联网应用程序(2025年第七期)。截至目前,仍有11款移动互联网应用程序未整改或整改不到位,现予以全网下架处置。
9月16日,河北通管局依据相关法律法规的要求,持续整治APP侵害用户权益的违规行为。截至目前,尚有27款APP未完成整改,现予以公开通报。整改落实不到位的,河北通管局将视情况采取下架、关停、行政处罚等措施。
9月16日,上海通管局依据相关法律法规的要求,持续整治APP(SDK)侵害用户权益的违规行为。截至目前,尚有42款APP(SDK)未完成整改,现予以下架处理。
02 监管支撑汇总
1. 梆梆安全监管支撑数据
依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。
1)问题行业TOP5:
实用工具类、网络游戏类、本地生活类、学习教育类、其他
2)隐私合规问题TOP3:
TOP1:认定方法 2-1 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
TOP2:认定方法 3-3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
TOP3:认定方法 3-9 违反其所声明的收集使用规则,收集使用个人信息。
2. 国家监管数据分析
针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下:
| 问题分类 | 问题数量 |
| 个保法-51 未采取相应的加密、去标识化等安全技术措施 | 44 |
| 164-1 违规收集个人信息 | 42 |
| 191-2 未明示收集使用个人信息的目的、方式和范围 | 41 |
| 164-5 APP强制、频繁、过度索取权限 | 40 |
| 个保法-15 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式 | 34 |
| 164-6 APP频繁自启动和关联启动 | 25 |
| 个保法-17 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。 | 24 |
| 191-3 未经用户同意收集使用个人信息 | 20 |
| 191-1 未公开收集使用规则 | 20 |
| 个保法-23 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意 | 17 |
| 个保法-31 个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意 | 9 |
| 164-2 超范围收集个人信息 | 8 |
| 164-3 违规使用个人信息 | 6 |
| 个保法-24 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式 | 4 |
| 191-6 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 | 4 |
| 164-4 强制用户使用定向推送 | 3 |
| 个保法-30 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外 | 1 |
| 191-5 未经同意向他人提供个人信息 | 1 |
| 总计 | 343 |
针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下:
| APP类型 | APP数量 |
| 实用工具类 | 45 |
| 本地生活类 | 20 |
| 用车服务类 | 20 |
| 其他 | 19 |
| 学习教育类 | 11 |
| 网络游戏类 | 10 |
| 网上购物类 | 10 |
| 在线影音类 | 6 |
| 电子图书类 | 5 |
| 求职招聘类 | 4 |
| 投资理财类 | 4 |
| 餐饮外卖类 | 2 |
| 即时通信类 | 1 |
| 浏览器类 | 1 |
| 旅游服务类 | 1 |
| 总计 | 159 |
03 漏洞风险分析
从全国的Android APP中随机抽取了5,912款进行漏洞检测发现,存在中高危漏洞威胁的APP为4,605个,即77.89%以上的APP存在中高危漏洞风险。而这4,605款漏洞应用中,有高危漏洞的应用共3,418款,占比74.22%,有中危漏洞的应用共4,469款,占比97.05%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下:
各漏洞类型占比分析
针对不同类型的漏洞进行 统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示:
存在漏洞的APP各类型占比分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的21.98%,其次为教育学习类APP,占比12.79%,生活服务类APP位居第三,占比10.69%,漏洞数量排名前十的类型如下图所示:
发表评论
提供云计算服务