约两成App存在违规收集个人信息风险 影响超两亿用户

时间:2022-05-20

“要厘清数据所有权、使用权、运营权、收益权等权利,在保障国家网络和数据安全的基础上激发企业创新活力。”在5月17日召开的“推动数字经济持续健康发展”专题协商会上,数据安全和个人隐私再次成为了关注的焦点。

然而就目前的形势来看,数据安全和个人隐私问题依旧十分突出,其中各大App对于用户隐私的过度收集就是典型代表。近日,奇安信病毒响应中心发布了2022年第一季度《App违规收集个人信息风险分析报告》(简称《报告》),对近30万个全国应用市场新增App活跃样本个人信息收集情况进行了详细的分析。

《报告》显示,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%14.7%

总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。在本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次,仅所有抽样检测存在违规风险的24款App就至少影响国内超过2亿用户。

《报告》发现,在所有存在“无提示收集个人信息”风险的App中,IMEI(国际移动设备识别码)、MAC(硬件地址)地址和IMSI(国际移动用户识别码)是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%

另一方面,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%,存在高频收集个人信息现象。

而在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%

值得注意的是,某款收集个人信息最为频繁App,竟然在一百秒内对IMEI信息收集了138次,平均每秒1.38次,相当于平均约每0.7秒就收集一次,可谓是对用户个人信息的“不间断”收集

尽管大量App仍存在违规收集个人信息的现象,但未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。

《报告》显示,在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中,对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。

也就是说,对第三方SDK的不规范使用,以及第三方SDK自身的不规范行为,是导致当前部分App存在违规收集用户个人信息风险的主要原因。检测还发现,有两款知名的第三方SDK,分别覆盖了存在违规行为的App总量的29.0%和21.0%。

《报告》还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。


联系老师 微信扫一扫关注我们 15527777548/18696195380 在线咨询
关闭