研究背景

随着互联网和移动设备的发展，手机已成为人人都拥有的设备，各式各样的App更是丰富了人们的生活：从社交到出行、从网购到外卖，从办公到娱乐等，App已成为大众生活必需品。然而，App的流行使人们对App违规收集个人信息的风险更加担忧。

为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围内组织开展App违法违规收集使用个人信息专项治理工作。

2022年第一季度，奇安信病毒响应中心共收录全国应用市场新增App活跃样本近30万个。本报告依据《App违法违规收集使用个人信息行为认定方法》等内容要求，使用奇安信自研安卓动态引擎QADE对新增APP样本进行抽样检测，重点评估“无提示收集个人信息”和“高频次收集个人信息”两种最为常见、影响较深的合规性问题。

检测引擎

本次检测采用奇安信完全自主研发安卓动态引擎QADE（后文统称奇安信QADE引擎）。奇安信QADE引擎既支持对App进行传统恶意检测，同时也支持对App违规收集个人信息及索权等合规性问题的检测，是“综合一体化”动态引擎。

检测依据

本次报告主要参考以下相关的国家法律法规作为检测标准依据：

《网络安全法》、《电信和互联网用户个人信息保护规定》、《GB/T 35273-2020信息安全技术个人信息安全规范》、《关于开展纵深推进App侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）、《App违法违规收集使用个人信息行为认定方法》

检测内容

本次报告重点检测了相关App在以下两方面的合规性问题：

无提示收集个人信息

无提示收集个人信息是指存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息的情况。

无提示收集个人信息，实际上就是在不告知用户，或用户不知情的情况下，秘密收集用户的各种个人信息，从而给用户带来个人信息泄露、个人信息被滥用等网络安全风险。很多App为了实现自身不当的商业利益，会选择不告知用户个人信息收集规则，或只告知用户部分个人信息收集规则。

高频次收集个人信息

高频次收集个人信息是指存在高频率（每百秒的收集次数）收集用户个人信息的情况。

高频次收集个人信息，会导致用户个人活动信息被过渡收集，从而危害用户个人信息和隐私安全，同时还会快速消耗用户手机电量和网络流量。

关于什么样的收集频次属于高频次收集，相关法律法规并没有特别明确的具体规定。在本报告中，每百秒内收集个人信息超过2次（包含2次），即认定为高频次收集。

数据范围

本次报告的检测周期为2022年1月1日至2022年3月31日，国内四个应用市场的新收录及更新的APP样本共近30万个。这四个应用市场分别是：豌豆荚、多多软件站、pc6应用市场和2265应用市场。

流行App违规风险形势分析

存在违规风险的App规模

2022年第一季度，在针对近30万个新增活跃App样本的抽样检测中，存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App，分别占到检测样本总量的21.3%和14.7%。总体来看，平均每5个App中，就会有一个存在个人信息收集方面的违规风险。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-47SjbAsU-1691328650067)(http://public.host.github5.com/media/a18e0d7ceba197a38d36f8aacd927a68.png)]

本季度检出的所有存在违规风险的App中，至少有1款下载量超过1亿次，4款下载量超过1000万次，19款下载量超过100万次。仅这24款App就至少影响国内超过2亿用户。

存在违规风险的App类型

从App类型来看，在2022年第一季度的检测中，存在违规风险最多的App是网上购物类App,约占所有存在违规风险App总数的20.1%；其次是生活休闲类，占比为15.6%。办公商务类排名第三，占比13.6%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WKD6EnfP-1691328650068)(http://public.host.github5.com/media/ee61b55ba5847379ac002b3337631ce5.png)]

典型App违规风险行为分析

无提示收集个人信息类型分析

检测显示，在所有存在“无提示收集个人信息”风险的App中，IMEI、MAC地址和IMSI是App静默收集个人信息最主要的三个类型。其中，87.6%会无提示收集IMEI 信息，50.6%会无提示收集MAC地址，16.7%会无提示收集IMSI信息，而无提示收集其他个人信息的情况，仅占1.7%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SjUwZnSW-1691328650069)(http://public.host.github5.com/media/79ceebce61eba1e7898a6dce55d968eb.png)]

名词解释

IMEI

国际移动设备识别码（英语：IMEI，International Mobile Equipment Identity），是用于在移动电话网络中识别每一部独立的手机等移动通信设备。

MAC地址

硬件位址（英语：Media Access Control Address），也称为局域网地址、MAC位址、以太网地址或物理地址，它是一个用来确认网络设备位置的位址。

IMSI

国际移动用户识别码（英语：IMSI，International Mobile Subscriber Identity），是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。

高频次收集个人信息情况分析

如前所述，在2022年第一季度检测的所有新增活跃App样本中，一百秒内收集用户个人信息超过2次（包含2次）的App占到了所有被检测App总量的14.7%。在所有存在高频次收集个人信息风险的App中，每一百秒收集个人信息次数大于等于2次，但低于5次的App约占44.0%；6~10次的占比28.7%,11~20次的占比18.8%，大于20次的占比8.5%。

特别的，我们在本季度的检测中，发现某款收集个人信息最为频繁App，竟然在一百秒内对IMEI信息收集了138次，平均每秒1.38次，相当于平均约每0.7秒就收集一次，可谓是对用户个人信息的“不间断”收集。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1WQZ3S5s-1691328650070)(http://public.host.github5.com/media/b950740367c97125d880acb48e9fe814.png)]

违规个人信息收集者分析

App对于用户个人信息的收集，未必都是由App自身来完成的，很多时候是因为App集成了第三方SDK，而第三方SDK存在个人信息收集行为。如果相关App在用户协议中，没有告知其集成的第三方SDK存在的个人信息收集情况，同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况，那么相关App也会存在同样的违规风险。

统计显示，在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中，对用户信息进行违规收集的，84.0%属于第三方SDK行为，仅有16.0%属于App自身行为。也就是说，对第三方SDK的不规范使用，以及第三方SDK自身的不规范行为，是导致当前部分App存在违规收集用户个人信息风险的主要原因。检测还发现，有两款知名的第三方SDK，分别覆盖了存在违规行为的App总量的29.0%和21.0%。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VOrSaqp6-1691328650071)(http://public.host.github5.com/media/f0995a3e294e0bddb767a4d094b5cf58.png)]

研究还发现，在某些存在违规收集用户个人信息风险的App中，集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示，在所有集成了违规收集个人信息SDK的App中，只集成了1款违规SDK的App占比为84.4%，集成了2款违规SDK的App占比为12.7%，另有2.9%的App集成3款及以上的违规SDK。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-slMs25CS-1691328650072)(http://public.host.github5.com/media/20384540d74ae4cfc8fbdf1c4d0ab08e.png)]

奇安信病毒响应中心

奇安信病毒响应中心是奇安信集团旗下的专业病毒鉴定及响应团队。中心以奇安信核心云平台为基础，拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验，基于集团自主研发的QOWL和QDE引擎，形成跨平台木马病毒查杀能力与漏洞修复能力，并且具有强大的大数据分析能力，可以实现全平台安全和防护预警能力。

奇安信病毒响应中心支撑奇安信全线安全产品的病毒检测，积极响应客户侧的安全反馈问题，可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒传播事件，多次参与重大活动安全保障工作，受到客户的高度认可。

奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究，不仅可以为奇安信移动安全产品提供常见的移动端病毒木马查杀能力，也可以精准识别时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件，并支持对App的合规化安全检测。

团队创新研发的高价值移动端攻击发现流程，已成功捕获到国内外多起针对移动平台的重大攻击事件，并发布了多篇移动黑产报告，披露了多个通过移动平台发起攻击的APT组织及其活动。特别的，近两年来，团队首发披露了包括诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph在内的多个全新的APT组织。团队的高级威胁的分析与追踪溯源能力在国内外均处于领先水平。