2020中国互联网移动应用隐私情况年度观察报告
2021-01-26 14:13:26   来源:互联网
内容摘要
随着我国全面进入移动互联网时代,便捷、即时、普惠的特点在移动互联网应用程序(APP)中得到充分体现。移动应用安全大数据平台的统计数据显示,当前全国范围内存有近500万款APP,累计总下载量已超万亿次。同时,公众用户每天在各类APP上平均花费时长达4.9小时,占日均上网时长的81.7%。APP的广泛应…

随着我国全面进入移动互联网时代,便捷、即时、普惠的特点在移动互联网应用程序(APP)中得到充分体现。移动应用安全大数据平台的统计数据显示,当前全国范围内存有近500万款APP,累计总下载量已超万亿次。同时,公众用户每天在各类APP上平均花费时长达4.9小时,占日均上网时长的81.7%。APP的广泛应用,在经济社会发展、服务民生领域发挥了不可替代的作用,但广大公众用户反映强烈的APP过度索权、强制授权、超范围收集个人信息等现象普遍存在。同时,未制定并公开隐私政策、未经用户同意收集个人信息、未提供注销账号功能等不规范行为屡见不鲜,个人信息泄露、滥用等情形时有发生,广大网民对此反映强烈。

2019年1月25日,中央网信办、工业和信息化部、公安部和国家市场监管总局四部门联合发文,在全国范围组织开展APP违法违规收集使用个人信息专项治理。监管单位高度重视贯彻落实个人信息保护相关法律法规,完善个人信息保护监督管理机制,打击违法违规收集使用个人信息行为,引导相关企业和公共服务机构强化保护措施,保障公民合法权益。中国电信践行央企责任积极参与,着力为广大网民构建清朗健康的网络空间,在2020年1月正式面向公众用户推出“云堤·隐私哨兵”APP隐私合规检测服务,上线12个月处理检测请求达到6367万次,检出约16.58%的移动应用存在权限风险等隐私合规问题,累计为用户提供106.1万次风险预警和处置建议,有效降低了个人信息泄露风险,引导广大用户提高个人信息保护意识。

本报告介绍了APP隐私合规检测的年度工作开展情况,客观展示了个人信息保护相关发展态势,对2020年应用主体、传播渠道、社会事件影响等方面的信息变化进行分析汇总。中国电信将以保护广大用户隐私安全为根本出发点,配合政府监管,协同APP运营企业,持续推进APP安全隐私治理工作,共筑良好移动互联网生态。

1. 全国移动互联网应用概况

1.1全国移动互联网应用总量综合统计

2020年末,移动应用安全大数据平台收录全国Android应用共计3307221款,iOS 应用共计2101025款,微信公众号5197144个,微信小程序643372个。针对Android应用进行分析,2020年全国新发现Android应用336104款,年增幅为11.31%。四个季度的应用增幅如下:

1611625046279745.png

2020年全国各季度应用新增量及增幅对比

1.2全国移动互联网应用地域分布情况

从区域分布来看,广东省App产量位居第一,占全国App总量的24.30%;其次是北京市,占总量的20.11%;上海市位列第三,占总量的9.84%。应用主要分布在经济较为发达的地区。以下是全国移动互联网应用地域分布TOP10:

1611625061911779.png

全国移动应用区域分布情况TOP10

1.3全国移动互联网应用行业分布情况

从行业分类来看,游戏类App应用数量占全国总量的23.79%,位居第一;工具软件类应用数量占全国总量的18.99%,位居第二;金融类应用数量占全国总量的14.97%,位居第三。

1611625077527130.png

全国移动应用行业分布情况TOP10

1.4全国移动互联网应用渠道排名情况

2020年末,移动应用安全大数据平台纳入监测的应用渠道数量超过900个。应用数量排名前三的应用渠道分别是:豌豆荚,共计应用708312款,占总应用数量的21.42%;360市场,共计应用637258款,占总应用数量的19.27%;应用宝,共计应用634319款,占总应用数量的19.18%;以下是各渠道应用排行前十的情况:

1611625092673338.png

全国应用在各渠道应用量排行TOP10

1.5全国活跃移动互联网应用功能类型分布情况

全国三个月内有更新的应用即活跃应用总计282550款,从功能类型来看,办公学习类App应用数量较多,占全国活跃应用总量的18.87%,位居第一;生活实用类应用数量占全国活跃应用的17.44%,位居第二;游戏应用类应用数量占全国活跃应用的16.31%,位居第三。

1611625105220395.png

全国活跃应用功能分类情况

2、 全国移动互联网应用个人信息合规性检测情况

2.1个人信息检测类型分布情况

2020年末,针对全国应用进行了个人信息合规性抽样检测,全国总计送检超过50万款应用。其中,66.48.%的应用存在“用户明确表示不同意仍收集个人信息”的违规情况。该违规行为可能存在强制收集用户个人信息。61.00%的应用存在“收集个人信息前未征得用户同意”的违规情况。该违规行为是指在用户使用App时,在用户不知情的情况下收集相关个人信息数据,容易造成用户在不知情的情况下隐私被盗取,被贩卖,被他人记录等结果;47.86%的应用存在“收集个人信息的频度超出业务功能实际需要”的违规情况。综合上述,监管机构应加强企业进行宣传个人信息相关的法律法规,加强对App的开发企业,运营企业的通报处罚力度。作为应用的责任主体,应自我做到遵纪守法,符合《自评估指南》中的所有要求;而用户应该加强自己的隐私保护意识,如果遇上“流氓”App应提高防护意识,注重个人的隐私。详见下图:

1611625121437544.png

个人信息违规类型分布

2.2个人信息检测行业分布情况

存在个人信息违规性问题的应用从行业分类来看:文化传媒类占检测总量的25.82%,位居第一;其次是教育类占检测总量的24.04%,位居第二;医疗卫生类占检测总量的14.29%,位居第三。

1611625136300452.png

个人信息检测违规应用行业分布

2.3个人信息检测功能类型分布情况

存在个人信息违规性问题的应用从功能类型分类来看,学习教育类占检测总量的13.78%,位居第一;其次是游戏应用类占检测总量的10.72%,位居第二;生活实用类占检测总量的9.57%,位居第三。2020年因疫情影响,线上教育快速发展,使用学习教育类App的用户越来越多,超过七成以上的学习教育类应用存在“用户明确表示不同意仍收集个人信息”的违规性问题,容易造成大量用户的个人信息泄露,用户在下载该类型应用时要提高自身的安全意识。

1611625153717914.png

个人信息检测违规应用功能类型分布

3. 全国移动互联网应用嵌入SDK情况

3.1各功能类型的移动应用平均集成SDK分析

App运营者为了节约开发成本、提高工作效率,一般都会使用多种第三方的SDK。而第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,导致App使用第三方的SDK存在一些安全问题。

2020年末,全国应用平均集成SDK个数为1.05个,应用平均集成SDK数量排名前列的功能类型分别是:社交通讯类,健康运动类,网上购物类。 以下是各功能类型应用平均集成SDK个数排行情况:详见下图:

1611625174955926.png

各功能类型平均集成SDK

3.2应用嵌入各类型SDK的分布情况

从应用嵌入第三方SDK的类型来看,嵌入了推送类SDK的应用数量最多,占比为30.23%,其次是统计类SDK,占比为18.33%;位列第三的是支付类SDK,占比为15.28%。详情如下:

1611625200415101.png

各类SDK分布情况

3.3行业应用嵌入SDK分布情况

从应用嵌入第三方SDK的行业分布来看,排列第一的是工具软件类应用,占比为29.82%;其次是游戏类应用,占比为16.14%,排列第三的是医疗卫生类应用,占比为14.13%。详情如下:

1611625215245321.png

行业嵌入SDKTop10分布情况

4. 隐私哨兵全年检测数据情况

4.1隐私哨兵介绍

隐私哨兵是一套移动互联网应用隐私合规风险检测与分析系统,基于AI检测技术,生成App隐私合规情报库,帮助手机用户快速发现手机所安装App的隐私泄露风险。

电信用户入口:电信营业厅App(安卓版)-电信手机号登陆-查询办理页-安全

移动、联通用户入口:电信营业厅App(安卓版)-移动、联通手机号登陆-首页中部-安全

1611625241612656.png

4.2隐私哨兵用户概况

隐私哨兵平台数据反馈,2020年1月至2020年12月,请求访问该平台的次数达到6367万次,其中,5月份的请求次数最高,达到1078万次。用户累计提交的apk次数累计达到5270万个次,其中,5月份达到峰值,共计为820万个次。2020全年共计有84万用户累计在平台完成了124万次检测,其中风险用户占比为28.25%。

1611625255179282.png

用户提交检测APK情况

4.3个人信息检测类型分布情况

从隐私哨兵个人信息检测结果来看,16.58%的移动应用存在权限风险,位居第一,权限风险包括权限过度申请风险和尝试使用未声明权限风险,移动应用存在上述权限风险时,将有可能侵犯到用户的个人隐私信息。隐私哨兵建议用户禁止APP调取不必要的权限,保护个人信息不受侵犯;其次是9.75%的移动应用存在个人信息风险,包括个人信息的传输和存储风险、私自收集使用个人信息风险,应用存在个人信息风险时,代表该应用没有遵照国家法律法规收集、传输、存储用户的个人信息,用户在使用该APP时,存在用户个人信息泄露风险。盗版仿冒风险,是指该APP疑似存在版权问题,故意伪装成正版应用欺骗用户;其他风险涵盖了国家监管机构公开通报的存在个人信息违法违规行为,尚未完成整改的APP个人信息风险。详情如下:隐私哨兵个人信息检测结果来看,16.58%的移动应用存在权限风险,位居第一;其次是9.75%的移动应用存在个人信息风险,详情如下:

1611625269937521.png

个人信息检测类型分布情况

4.4工信部通报移动应用的装机情况

2020年全年,工信部分七批次通报了侵害用户权益行为的APP,总计444款(详见附录)。隐私哨兵平台收录的检测数据显示,影响面最大的是QQ浏览器V11.0.6.6502版本,详情如下:

1611625281543456.png

工信部通报移动应用的装机情况

4.5隐私哨兵用户区域分布情况

从隐私哨兵用户区域来看,四川省用户数位居第一,占用户数总量的6.13%;区域排名中位居第二的是广东省,占用户数总量的5.80%;江西省位列第三,占用户数总量的5.66%。

1611625294308225.png

隐私哨兵用户区域分布情况

4.6隐私哨兵用户App装机情况

从隐私哨兵用户装机比例来看,装机量以支付宝每百人有83人安装,位居第一,其次是微信,每百人有82人安装,手机淘宝位居第三,每百人有75人安装,详情如下:

隐私哨兵用户App装机情况

4.7隐私哨兵5G用户使用情况

2020年5G业务高速发展,从隐私哨兵的5G用户来看,5G用户占比从2月的4.37%逐月递增,峰值出现在12月,5G用户占比达19.44%,详情如下:

隐私哨兵5G用户使用情况

5、个人信息安全事件大事记

5.1《App违法违规收集使用个人信息专项治理报告(2019)》发布

2020年5月,App专项治理工作组发布《App违法违规收集使用个人信息专项治理报告(2019)》(以下简称《报告》),2019年3月起,评估发现违法违规收集使用个人信息问题共计6976个,向256款App的运营者通报问题,督促其完成1267个重点问题的整改工作,建议有关监管部门下架未落实整改要求App共11款。《报告》称,四类具体问题中,“无隐私政策”“一次性打开多个权限”“申请权限未明示目的”三类问题降幅明显。就“收集与业务功能无关的个人信息”问题来看,由于存在界定“无关”范围的复杂性等问题,该问题目前发现比例较少,且处于波动阶段,应当作为后续治理工作的关注重点。

5.2 315曝光50多款APP涉嫌内置SDK插件窃取用户隐私

晚会上,央视点名了国内50多款手机软件涉嫌窃取用户隐私信息,其中借贷类APP成为隐私信息泄漏高发区。

被曝光的APP包括少数功能性APP如“最强手电”、“全能遥控器”,购物类APP如“91极速购”、“萝卜商城”,但更多的还是借贷类APP,如“栗子借款”、“我享借”、“美期分期”、“九秒贷”、“现金转转”、“够范分期”、“麦芽贷”、“取点花”以及“国美金融”等。

这些APP中植入了某种功能或服务插件(SDK),能窃取个人的所有隐私信息。SDK能够收集用户短信以及应用安装信息,甚至是网络交易的验证码,这些信息一旦被别有用心的人获取到,对个人而言,极有可能造成严重的经济损失。

5.3工信部针对频繁自启动问题约谈多家App企业

2020年6月,据央视新闻报道,有网友反映自己手机上安装的App很多存在频繁自启动、访问、读取手机信息的现象。其中一款名为“优学院”的移动教学软件十多分钟读取近25000次手机照片和文件;而腾讯“TIM”一小时内尝试自启动近七千次,并不断尝试读取通讯录。针对媒体曝光手机App侵害用户权益的问题,工信部组织第三方检测机构对手机应用软件进行检查,并对发现存在问题的企业进行了集中约谈。要求相关企业于6月17日前完成整改。

5.4公安部依法查处违法违规收集公民个人信息App服务单位

2020第一季度,全国公安机关网安部门充分发挥职能作用,加大公民个人信息保护力度,依法查处违法违规收集公民个人信息App服务单位386个,涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中,97个App被予以行政处罚,192个App被依法责令改正违法行为,51个App被下架、停运,有效保护了公民个人信息。

5.5国家计算机病毒应急处理中心监测发现20余款违规移动应用

2020年4月,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,20余款外卖、医疗和在线教育类移动应用存在涉嫌隐私不合规行为。这些移动应用的违法违规行为主要有三大方面:一是未向用户明示申请的全部隐私权限。二是未说明收集使用个人信息规则。三是未提供有效的更正、删除个人信息及注销用户账号功能。

5.6 2020年7月1日教育APP备案已截止,进入限期整改

截止2020年5月底,教育移动互联网应用程序备案管理系统公布了1543家企业的3388个教育App备案。教育部印发《教育移动互联网应用程序备案管理办法》。《办法》规定,省级教育行政部门开发的教育移动应用向教育部进行备案。小程序、企业号等平台第三方应用统一到平台方提交备案信息,并由平台方向教育部共享备案信息。7月1日起,将对未完成备案的教育App提供者予以通报,限时1个月进行整改。7月31日前未完成整改的,将撤销教育App备案。

5.7工信部通报七批侵害用户权益行为App

2020年,依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。截至2020年底,工信部共发布七批侵害用户权益行为App共计444款,好医生、智慧树、当当等在列,所涉问题集中在过度索取权限、私自收集个人信息、超范围收集个人信息、不给权限不让用、私自共享给第三方、强制用户使用定向推送功能、不给权限不让用等。

5.8用户手机数据被某APP删除

2021年1月12日,某网友在网上发布信息爆料,在与客服沟通领取“拼多多”红包后发现,其使用的vivo手机操作系统提示,“检测到‘拼多多’已删除照片或视频”,该网友表示,随后发现自己提供给客服的截图证据被删除,仅在已删除图片中可找到。

此事被曝光后,立即受到网民和媒体强烈关注,迅速登上了微博热搜榜。1月12日晚上19点拼多多发布了《关于个别用户反馈“vivo手机提示拼多多删除照片”的说明》,声明会删除客服聊天页面拍摄且编辑的照片原图。这则说明也表明了,App在获取“存储”权限后,确实具备读增删改图片等的能力。

6、全国移动互联网应用漏洞情况

6.1 各等级漏洞概况

2020年末,移动应用安全大数据平台利用安全检测引擎,对全国3307221款应用进行104项漏洞扫描,82.72%以上的应用存在漏洞风险。应用存在不同风险等级漏洞占比如下(注:同一个应用可能存在多个等级的漏洞):

1611625340647838.png

不同风险等级漏洞占比

6.2 各漏洞类型应用排行

全国3307221款Android应用通过移动应用安全平台进行风险检测,根据各漏洞类型来看,排名前三的漏洞类型分别是:“Janus漏洞”、“Java代码加壳检测”、“WebView远程代码执行漏洞”。详见下图:

1611625351151596.png

漏洞类型应用排行

6.3 各功能类型存在高危漏洞风险的应用排行

从功能类型来看,游戏类应用存在高危漏洞风险的应用数量占全国总量的18.78%,位居第一;生活实用类应用存在高危漏洞风险的应用数量占全国总量的14.01%,位居第二;办公学习类应用存在高危漏洞风险的应用数量占全国总量的10.46%,稳居第三。游戏类应用是存在高危漏洞最多的应用,如果受到攻击容易导致用户的隐私泄露或直接财产损失。监管机构应加强对游戏类应用的监管,同时应用开发者安全意识不足,应采取有效措施如通过使用应用加固,防范应对网络攻击,保障系统的平稳、安全运行。

1611625367295130.png

功能类型存在高危漏洞风险的应用占比排行

6.4 各行业分类存在高危漏洞风险的应用排行

从行业分类来看,存在高危漏洞风险的游戏类应用数量占总量的27.16%,位居第一;存在高危漏洞风险的生活服务类应用数量占总量的15.44%,位居第二;存在高危漏洞风险的教育类应用数量占总量的13.52%,位居第三。由此可见,游戏类应用在全国总应用中占比量最高,受众面广,同时也是存在高危漏洞风险占比最高的行业。

1611625382213562.png

行业分类存在高危漏洞风险的应用占比排行

7. 全国移动互联网应用恶意概况分析

7.1主要恶意程序风险描述

2020年末,全国含有恶意程序的应用318925款,其中恶意程序类型以“未授权弹出广告窗口流氓行为”为主,这些恶意程序主要存在对移动用户的隐私数据收集、恶意扣费、流量资源消耗、系统破坏和广告推送等多种恶意行为,对移动用户的个人信息及财产安全带来巨大的威胁。详见下图:

恶意程序类型统计表

以下是TOP3的恶意类型简介:

1.流氓行为:这类恶意程序通常会绑定广告插件,会在用户未授权的情况下,弹出广告窗口等。

2.窃取隐私:这类恶意程序会在在用户不知情或未授权的情况下,通过隐蔽执行的手段,窃取用户设备个人隐私信息的,直接导致用户个人隐私信息泄露。

3.恶意扣费:这类恶意程序会在后台执行恶意行为,消耗用户资费,或在用户不知情的情况下私自下载付费应用并完成支付,造成用户资费损失。

7.2恶意应用功能类型分布情况

从功能类型来看,存在恶意风险的游戏类应用数量占恶意应用总量的28.78%,位居第一;存在恶意风险的生活实用类应用数量占恶意应用总量的8.76%,位居第二;存在恶意风险的金融理财类应用数量占恶意应用总量的7.71%,位居第三。因此,存在恶意应用最多的功能类型是游戏类应用,相比排名第二的生活实用类占比高出三倍。详情见下图:

恶意应用功能类型分布

7.3恶意应用行业分布情况

从行业分类来看,游戏类存在恶意应用的数量占行业总量的30.47%,位居第一;工具软件类存在恶意应用的数量占总量的19.73%,位居第二;教育类存在恶意应用的数量占总量的17.37%,稳居第三。存在恶意应用最多的行业是游戏类应用。由于大多数恶意应用分布在小渠道中,用户在下载应用时,要注意不要下载类似“破解版”的游戏应用,应主动选择应用的官方渠道下载。详情如下图:

恶意应用行业分布

8. 总结

数字时代下,数据已成为企业竞争的必备要素,而用户的个人信息因具有特殊价值,成为了互联网企业竞相获取并加以利用的商业手段。由此引发的个人信息安全问题日趋多样化、复杂化。个人信息合规问题亦从头部企业逐步向中小型企业扩散,隐私合规问题的发现难度也逐渐加大。建立并监督落实APP违规索权治理机制,是移动互联网行业可持续发展和个人隐私保护工作的重中之重。中国电信致力打造行之有效的技术监督能力,并与众多合作伙伴一道,加强行业协作,共同推动APP开发运营者、应用分发平台、第三方服务提供者、设备厂商自觉履行社会责任,共同打造“便捷、高效、健康、安全”的移动互联网络。









免责声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。

关键字相关信息: