【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告（0323-0405）

新闻

12天前

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0323-0405）

●最新公开通报动态

公开通报动态

●公开通报详情汇总

公开通报问题分析

公开通报问题汇总

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析

最新公开通报动态

1. 公开通报动态

依据“浙江省通信管理局官网”发布，3月30日，浙江省通信管理局依据相关法律法规，对APP、小程序违法违规收集使用个人信息等问题开展治理。经核查复检，尚有10款APP、小程序未按要求完成整改，浙江省通信管理局现予以通报。

依据“重庆市通信管理局官网”发布，3月31日，重庆市通信管理局依据相关法律法规的要求，组织第三方检测机构对属地移动互联网应用程序（APP/小程序）进行了检查，截至目前，仍有4款APP/小程序未按要求完成整改，上述APP/小程序应限期完成整改，逾期不整改的，重庆市通信管理局将依法依规进行处置。
依据“中央网络安全和信息化委员会办公室官网”发布，4月2日，中央网络安全和信息化委员会办公室等三部门2026年开展专项行动，深入治理七类个人信息违法违规问题，将会同相关部门，聚焦APP及SDK、互联网广告、教育、交通、卫生健康、金融等重点领域，以及侵犯个人信息违法犯罪案件，开展系列专项行动，集中整治以下突出问题：
1、APP、SDK：未公开规则、无法注销账号、未告知或虚假告知收集信息、未经同意强制收集、超范围收集位置/通讯录/短信等。
2、互联网广告：超范围收集信息、未明确广告及第三方信息提供、未提供更正/删除/拒绝等便捷渠道、个性化推荐关闭选项不完善、内部安全管理制度缺失。
3、教育：未制定未成年人信息处理规则、超范围收集家长学生信息、向第三方提供信息未获同意、违规强制使用人脸识别、安全管理制度缺失。
4、交通：无关场景收集位置/通讯录等、停车场扫码强制注册登录、向第三方提供信息未告知同意、泄露用户信息、安全管理制度缺失。
5、卫生健康：超范围收集位置、未有效核验身份致他人可查病历、未经同意公开患者信息、违规强制使用人脸识别、内部权限及技术防护不足、第三方运维人员管理不到位。
6、金融：以风控等名义超范围收集通讯录/设备信息等、助贷平台向第三方提供信息未告知同意、违规强制使用人脸识别、安全管理制度缺失。
7、违法犯罪案件：严惩行业“内鬼”，严打公共服务、金融借贷、医疗教育、生活出行等领域侵犯个人信息违法犯罪。

依据“国家计算机病毒应急处理中心官网”发布，4月3日，国家计算机病毒应急处理中心依据相关法律法规，检测发现71款移动应用存在违法违规收集使用个人信息情况。上期通报的国家计算机病毒应急处理中心检测发现的72款违法违规移动应用，经复测仍有19款存在问题，相关移动应用分发平台已予以下架。

公开通报详情汇总

1. 公开通报问题分析

依据近两周公开通报数据，发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1) 问题行业TOP3：

实用工具类

学习教育类

运动健身类

2) 隐私合规问题TOP3：

TOP1：认定方法 2-1 ：未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围

TOP2：认定方法3-8：未向用户提供撤回同意收集个人信息的途径、方式

TOP3：个保法-15：基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式

2. 公开通报问题汇总

针对国家近两周公开通报数据，依据问题类型，统计涉及APP数量如下：

问题分类	问题数量
191-2-1未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围	45
191-3-8未向用户提供撤回同意收集个人信息的途径、方式	24
个保法-15 基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式	24
个保法-51 未采取相应的加密、去标识化等安全技术措施	18
191-1-2在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则	17
191-1-3隐私政策等收集使用规则难以访问，如进入APP主界面后，需多于4次点击等操作才能访问到	17
191-3-4以默认选择同意隐私政策等非明示方式征求用户同意	17
个保法-17 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。	17
191-5-2既未经用户同意、也未做匿名化处理，数据传输至APP后台服务器，向第三方提供其收集的个人信息	16
个保法-23 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意	16
164-1 违规收集个人信息	12
191-6-1未提供有效的更正、删除个人信息及注销用户账号功能	10
19号令实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。国家对应用人脸识别技术验证个人身份另有规定的，从其规定。	6
个保法-31 个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意	6
191-1-1在APP中没有隐私政策，或者隐私政策中没有收集使用个人信息规则	4
191-6-2为更正、删除个人信息或注销用户账号设置不必要或不合理条件	4
191-6-3虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理	4
164-5 APP强制、频繁、过度索取权限	2
164-6 APP频繁自启动和关联启动	2
个保法-29 处理敏感个人信息应当取得个人的单独同意	2
个保法-30 个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外	2
164-2 超范围收集个人信息	1
164-3 违规使用个人信息	1
164-8 欺骗误导用户提供个人信息	1
191-3-1征得用户同意前就开始收集个人信息或打开可收集个人信息的权限	1
191-6 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息	1
个保法-24 通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式	1
个保法-50 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由	1
总计	272

针对国家近两周公开通报数据，依据APP类型，统计出现通报的APP数量如下：

APP类型	APP数量
实用工具类	15
学习教育类	10
运动健身类	10
本地生活类	8
其他	7
用车服务类	6
网上购物类	5
电子图书类	4
投资理财类	4
网络游戏类	4
网络社区类	3
婚恋相亲类	2
旅游服务类	2
拍摄美化类	2
短视频类	1
新闻资讯类	1
远程会议类	1
总计	85

漏洞风险分析

从全国的Android APP中随机抽取了594款进行漏洞检测发现，存在中高危漏洞威胁的APP为464个，即78.11%以上的APP存在中高危漏洞风险。而这464款漏洞应用中，有高危漏洞的应用共350款，占比75.43%，有中危漏洞的应用共457款，占比98.49%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：