1、 App 违规收集个人信息风险 分析报告 2022 年第一季度 奇安信病毒响应中心 2022 年 5 月 主要观点 App 违规收集个人信息的现象仍然十分普遍，平均每 5 个 App 中，就有一个存在违规收集个人信息的风险。其中，“无提示收集个人信息”和“高频次收集个人信息”问题最为显著，也是本次报告关注的重点问题。个别 App 平均约每 0.7 秒就会无提示收集一次用户个人信息，可谓是对用户个人信息的“不间断”的收集。部分存在违规收集个人信息风险的 App 社会影响面巨大，仅下载量排名靠前的 24 款App 就至少影响国内超过 2 亿用户。网上购物、生活休闲、办公商务等常用 App 的违规风

2、险问题最为突出。八成以上的违规个人信息收集行为，实际上是由于 App 集成了某些不规范的第三方SDK，或者是没有对第三方 SDK 收集个人信息的行为进行声明造成的。作为软件开发者，在集成第三方 SDK 时，应当遵守相关法律法规，拒绝使用存在违规风险的 SDK，从而努力规避自身的违规风险。摘 要 21.3%的新增活跃 App 样本存在“无提示收集个人信息”风险，14.7%存在“高频次收集个人信息”风险。平均每 5 个 App 中，就有一个存在违规收集个人信息风险。在本季度检出的所有存在违规风险的 App 中，至少有 1 款下载量超过 1 亿次，4 款下载量超过 1000 万次，19 款下载量超过

3、 100 万次。仅这 24 款 App 就至少影响超过 2 亿用户。存在违规风险最多的是网上购物类 App,，约占所有存在违规风险 App 总数的 20.1%；其次是生活休闲类，占比为 15.6%。办公商务类排名第三，占比 13.6%。在所有存在“无提示收集个人信息”风险的 App 中，87.6%会无提示收集 IMEI 信息，50.6%会无提示收集 MAC 地址，16.7%会无提示收集 IMSI 信息。在所有存在高频次收集个人信息风险的 App 中，每一百秒收集个人信息 25 次的 App约占 44.0%；610 次的占比 28.7%,1120 次的占比 18.8%，大于 20 次的占比 8.

4、5%。个别 App 竟然会在一百秒内对 IMEI 信息收集多达 138 次，相当于平均约每 0.7 秒就收集一次，可谓是对用户个人信息的“不间断”收集。对用户信息进行违规收集的，84.0%属于第三方 SDK 行为，仅有 16.0%属于 App 自身行为。在所有集成了违规收集个人信息 SDK 的 App 中，只集成了 1 款违规 SDK 的 App 占比为 84.4%，集成了 2 款违规 SDK 的 App 占比为 12.7%，另有 2.9%的 App 集成 3 款及以上的违规 SDK。关键词关键词：App、个人信息、SDK、违规风险 目 录 研究背景研究背景.1 第一章第一章 流行流行 APP

5、APP 违规风险形势分析违规风险形势分析.2 一、存在违规风险的 APP规模.2 二、存在违规风险的 APP类型.2 第二章第二章 典型典型 APPAPP 违规风险行为分析违规风险行为分析.3 一、无提示收集个人信息类型分析.3 二、高频次收集个人信息情况分析.3 第三章第三章 违规个人信息收集者分析违规个人信息收集者分析.5 附录附录 1 1 奇安信病毒响应中心奇安信病毒响应中心.6 附录附录 2 2 奇安信病毒响应中心移动安奇安信病毒响应中心移动安全团队全团队.6 附录附录 3 3 奇安信移动安全产品介绍奇安信移动安全产品介绍.6 1 研究背景 随着互联网和移动设备的发展，手机已成为人人都

6、拥有的设备，各式各样的 App 更是丰富了人们的生活：从社交到出行、从网购到外卖，从办公到娱乐等，App 已成为大众生活必需品。然而，App 的流行使人们对 App 违规收集个人信息的风险更加担忧。为切实加强用户个人信息保护，为人民群众提供更安全、更健康、更干净的信息环境，国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知，并在全国范围内组织开展 App 违法违规收集使用个人信息专项治理工作。2022 年第一季度，奇安信病毒响应中心共收录全国应用市场新增 App 活跃样本近 30 万个。本报告依据App 违法违规收集使用个人信息行为认定方法等内容要求，使用奇安信自研安卓动态引擎 Q