【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告(0706-0719)
【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(0706-0719)
●最新监管动态
监管通报动态
●监管支撑汇总
梆梆监管支撑数据
国家监管数据分析
●漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP类型分析
01
最新监管动态
1. 监管通报动态
7月10日,安徽通管局依据相关法律法规,对省内APP进行了拨测检查。截至目前,尚有10款APP未完成问题整改,上述APP应限期落实整改要求。逾期不整改的,安徽通管局将依法依规组织开展相关处置工作。
7月11日,病毒中心依据相关法律法规和要求,检测发现68款移动应用存在违法违规收集使用个人信息情况,现予以通报处置。上期通报的违法违规移动应用64款(2025.6.19),经复测仍有22款移动应用存在问题,相关移动应用分发平台已予以下架。
7月15日,山东通管局依据相关法律法规,深入开展APP侵害用户权益专项整治工作。截至目前,仍有15款APP逾期未完成整改,上述APP如再次逾期仍未整改到位,山东通管局将视情采取下架等措施。截至7月14日,有4款存在问题的APP,被通报后仍未完成整改,现予以下架处置。
7月15日,陕西通管局依据相关法律法规,对陕西属地APP进行检查。截至目前,尚有1款APP未按照要求完成整改,上述APP应限期落实整改要求。逾期不整改的,陕西通管局将依法依规组织开展相关处置工作。
7月16日,内蒙古通管局对主流应用商店属地移动APP侵害用户权益行为开展专项整治行动。截至目前,经复测发现仍有4款问题APP未按要求完成整改,现予以下架处置。
02
监管支撑汇总
1. 梆梆监管支撑数据
依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP5问题数据两方面来说明。
1)问题行业TOP5:
酒店服务、实用工具、网上购物、旅游服务、房屋租售
2)隐私合规问题TOP5:
TOP1:26号文一-(三)-9 明示个人信息处理规则。通过简洁、清晰、易懂的方式告知用户个人信息处理规则,如发生变动,应及时告知用户最新情况。突出显示敏感个人信息的处理目的、方式和范围,建立已收集个人信息清单,不得采用默认勾选、缩小文字、冗长文本等方式诱导用户同意个人信息处理规则;
TOP2:164号文5 APP强制、频繁、过度索取权限;
TOP3:164号文1 违规收集个人信息;
TOP4:164号文2 超范围收集个人信息;
TOP5:164号文6 APP频繁自启动和关联启动。
2. 国家监管数据分析
针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下:
问题分类 | 问题数量 |
未经用户同意收集使用个人信息 | 50 |
基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式 | 35 |
未公开收集使用规则 | 34 |
未采取相应的加密、去标识化等安全技术措施 | 31 |
未明示收集使用个人信息的目的、方式和范围 | 30 |
违规收集个人信息 | 26 |
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。 | 14 |
个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意 | 13 |
未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 | 13 |
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意 | 12 |
未经同意向他人提供个人信息 | 12 |
违规使用个人信息 | 12 |
超范围收集个人信息 | 9 |
APP强制、频繁、过度索取权限 | 8 |
APP频繁自启动和关联启动 | 5 |
个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由 | 3 |
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式 | 3 |
个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外 | 1 |
应用分发平台上的APP信息明示不到位 | 1 |
APP频繁自启动和关联启动 | 1 |
欺骗误导用户提供个人信息 | 1 |
窗口关闭用户可选 | 1 |
总计 | 315 |
针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下:
APP类型 | APP数量 |
其他 | 13 |
实用工具类 | 11 |
网络约车类 | 11 |
餐饮外卖类 | 8 |
酒店服务类 | 6 |
问诊挂号类 | 5 |
学习教育类 | 5 |
网上购物类 | 4 |
新闻资讯类 | 4 |
在线影音类 | 4 |
婚恋相亲类 | 3 |
即时通信类 | 3 |
旅游服务类 | 3 |
投资理财类 | 3 |
网络社区类 | 3 |
网络游戏类 | 3 |
地图导航类 | 2 |
邮件快件寄递类 | 2 |
安全管理类 | 1 |
本地生活类 | 1 |
短视频类 | 1 |
房屋租售类 | 1 |
交通票务类 | 1 |
手机银行类 | 1 |
网络直播类 | 1 |
应用商店类 | 1 |
运动健身类 | 1 |
总计 | 102 |
03
漏洞风险分析
从全国的Android APP中随机抽取了2,940款进行漏洞检测发现,存在中高危漏洞威胁的APP为2,337个,即79.49%以上的APP存在中高危漏洞风险。而这2,337款漏洞应用中,有高危漏洞的应用共1,660款,占比71.03%,有中危漏洞的应用共2,312款,占比98.93%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下:
各漏洞类型占比分析
针对不同类型的漏洞进行了统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示:
存在漏洞的APP类型分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.27%,其次为商务办公类APP,占比10.65%,教育学习类APP位居第三,占比10.61%,漏洞数量排名前十的类型如下图所示:
