【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0817-0830）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的 APP 类型分析  

01 最新监管动态

1. 监管通报动态

8 月 21 日，上海通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。7 月，上海通管局公示了一批 162 款存在侵害用户权益行为的应用，经核查复检，尚有 58 款移动互联网应用程序未整改或整改不到位，现予以全国范围内主流应用市场下架处置。

8 月 25 日，网络安全通报中心依据相关法律法规，检测发现 38 款移动应用存在违法违规收集使用个人信息情况。上期通报的 33 款违法违规移动应用，经复测仍有 5 款存在问题，相关移动应用分发平台已予以下架。

8 月 29 日，浙江通管局依据相关法律法规的要求，持续开展个人信息保护系列专项行动。截至目前，仍有 14 款 APP 未完成整改工作，上述 APP 开发运营者应限期落实整改，逾期未完成整改的，浙江通管局将依法依规进行处置。

8 月 29 日，重庆通管局依据相关法律法规的要求，持续开展个人信息保护系列专项行动。截至目前，仍有 14 款 APP 未完成整改工作，上述 APP 开发运营者应限期落实整改，逾期未完成整改的，重庆通管局将依法依规进行处置。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的 APP 数据，从 APP 行业分类及 TOP3 问题数据两方面来说明。

1 ) 问题行业 TOP5：

网络游戏类、实用工具类、本地生活类、网上购物类、餐饮外卖类

2 ) 隐私合规问题 TOP3：

TOP1：认定方法 2-1 未逐一列出 App ( 包括委托的第三方或嵌入的第三方代码、插件 ) 收集使用个人信息的目的、方式、范围等；

TOP2：认定方法 3-3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

TOP3：认定方法 3-9 违反其所声明的收集使用规则，收集使用个人信息。

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及 APP 数量如下：

问题分类	问题数量
191-3 未经用户同意收集使用个人信息	32
191-2 未明示收集使用个人信息的目的、方式和范围	31
164-1 违规收集个人信息	18
164-5 APP 强制、频繁、过度索取权限	15
164-2 超范围收集个人信息	6
191-6 未按法律规定提供删除或更正个人信息功能 " 或 " 未公布投诉、举报方式等信息	5
191-1 未公开收集使用规则	2
191-4 违反必要原则、收集与其提供的服务无关的个人信息	1
总计	110

针对国家近两周监管通报数据，依据 APP 类型，统计出现通报的 APP 数量如下：

APP 类型	APP 数量
实用工具类	20
本地生活类	15
求职招聘类	15
网络游戏类	3
电子图书类	2
其他	2
网上购物类	2
学习教育类	2
在线影音类	2
即时通信类	1
投资理财类	1
用车服务类	1
总计	66

03 漏洞风险分析

从全国的 Android APP 中随机抽取了 3,082 款进行漏洞检测发现，存在中高危漏洞威胁的 APP 为 2,399 个，即 77.84% 以上的 App 存在中高危漏洞风险。而这 2,399 款漏洞应用中，有高危漏洞的应用共 1,790 款，占比 74.61%，有中危漏洞的应用共 2,345 款，占比 97.75%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的 App 占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为 Java 代码反编译风险、HTTPS 未校验主机名漏洞以及动态注册 Receiver 风险。各漏洞类型占比情况如下图所示：

存在漏洞的 APP 类型分析

从 APP 类型来看，实用工具类 APP 存在漏洞风险最多 , 占漏洞 APP 总量的 21.35%，其次为教育学习类 APP，占比 12.93%，新闻阅读类 APP 位居第三，占比 8.38%，漏洞数量排名前十的类型如下图所示：