安全隐私合规监管趋势及漏洞风险报告（0930-1011）

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0930-1011）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的 APP 各类型占比分析

01 最新监管动态

1. 监管通报动态

9 月 30 日，湖南通管局依据相关法律法规，开展移动应用程序个人信息权益保护专项治理行动。经抽测，发现 124 款移动应用程序存在侵害用户权益和安全隐患问题，责令相关运营者限期整改，规定期限到期后，仍有 41 款移动应用程序未按期完成整改，现湖南通管局予以公开通报。

10 月 10 日，上海通管局依据相关法律法规的要求，持续开展移动应用程序专项治理工作，经抽查，共发现 27 款 APP（SDK）存在侵害用户权益行为，上海通管局现予以通报。

10 月 10 日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，仍有 11 款移动互联网应用程序未整改或整改不到位，北京通管局予以全网下架处置。

10 月 17 日，浙江通管局依据相关法律法规的要求，对 APP、小程序违法违规收集使用个人信息等问题开展治理。截至目前，尚有 4 款 APP、小程序未按要求完成整改，未在规定时间内整改落实不到位的，浙江通管局将依法依规组织开展相关处置工作。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的 APP 数据，从 APP 行业分类及 TOP3 问题数据两方面来说明。

1 ) 问题行业 TOP3：

政务应用类

交通票务类

邮件快件寄递类

2 ) 隐私合规问题 TOP3：

TOP1：认定方式 2-3 在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账户、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

TOP2：认定方法 3-1 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

TOP3：认定方法 4-1 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及 APP 数量如下：

针对国家近两周监管通报数据，依据 APP 类型，统计出现通报的 APP 数量如下：

03 漏洞风险分析

从全国的 Android APP 中随机抽取了 3,562 款进行漏洞检测发现，存在中高危漏洞威胁的 APP 为 2,788 个，即 78.27% 以上的 APP 存在中高危漏洞风险。而这 2,788 款漏洞应用中，有高危漏洞的应用共 2,071 款，占比 74.28%，有中危漏洞的应用共 2,686 款，占比 96.34%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的 APP 占比如下

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为 Java 代码反编译风险、HTTPS 未校验主机名漏洞以及应用数据任意备份风险。各漏洞类型占比情况如下图所示：

从 APP 类型来看，实用工具类 APP 存在漏洞风险最多 , 占漏洞 APP 总量的 21.94%，其次为教育学习类 APP，占比 13.24%，生活服务类 APP 位居第三，占比 11.22%，漏洞数量排名前十的类型如下图所示：