导语:9月30日,湖南通管局依据相关法律法规,开展移动应用程序个人信息权益保护专项治理行动。
【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(0930-1011)
●最新监管动态
监管通报动态
●监管支撑汇总
梆梆安全监管支撑数据
国家监管数据分析
●漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP各类型占比分析
01最新监管动态
1. 监管通报动态
9月30日,湖南通管局依据相关法律法规,开展移动应用程序个人信息权益保护专项治理行动。经抽测,发现124款移动应用程序存在侵害用户权益和安全隐患问题,责令相关运营者限期整改,规定期限到期后,仍有41款移动应用程序未按期完成整改,现湖南通管局予以公开通报。
10月10日,上海通管局依据相关法律法规的要求,持续开展移动应用程序专项治理工作,经抽查,共发现27款APP(SDK)存在侵害用户权益行为,上海通管局现予以通报。
10月10日,北京通管局依据相关法律法规的要求,持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前,仍有11款移动互联网应用程序未整改或整改不到位,北京通管局予以全网下架处置。
10月17日,浙江通管局依据相关法律法规的要求,对APP、小程序违法违规收集使用个人信息等问题开展治理。截至目前,尚有4款APP、小程序未按要求完成整改,未在规定时间内整改落实不到位的,浙江通管局将依法依规组织开展相关处置工作。
02监管支撑汇总
1. 梆梆安全监管支撑数据
依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。
1)问题行业TOP3:
政务应用类
交通票务类
邮件快件寄递类
2)隐私合规问题TOP3:
TOP1:认定方式2-3 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账户、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
TOP2:认定方法 3-1 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
TOP3:认定方法 4-1 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
2. 国家监管数据分析
针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下:
| 问题分类 | 问题数量 |
| 191-2 未明示收集使用个人信息的目的、方式和范围 | 36 |
| 191-1 未公开收集使用规则 | 25 |
| 191-3 未经用户同意收集使用个人信息 | 20 |
| 164-6 APP频繁自启动和关联启动 | 16 |
| 191-6 未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息 | 13 |
| 191-4 违反必要原则、收集与其提供的服务无关的个人信息、收集与其提供的服务无关的个人信息 | 11 |
| 164-1 违规收集个人信息 | 3 |
| 191-5 未经同意向他人提供个人信息 | 3 |
| 164-2 超范围收集个人信息 | 2 |
| 164-5 APP强制、频繁、过度索取权限 | 1 |
| 26号文 规范安装卸载行为 | 1 |
| 总计 | 131 |
针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下:
| APP类型 | APP数量 |
| 实用工具类 | 30 |
| 投资理财类 | 26 |
| 学习教育类 | 14 |
| 网上购物类 | 5 |
| 问诊挂号类 | 3 |
| 餐饮外卖类 | 3 |
| 网络游戏类 | 3 |
| 即时通讯类 | 2 |
| 在线影音类 | 2 |
| 女性健康类 | 1 |
| 地图导航类 | 1 |
| 网络社区类 | 1 |
| 本地生活类 | 1 |
| 手机银行类 | 1 |
| 房屋租售类 | 1 |
| 即时通信类 | 1 |
| 总计 | 95 |
03漏洞风险分析
从全国的Android APP中随机抽取了3,562款进行漏洞检测发现,存在中高危漏洞威胁的APP为2,788个,即78.27%以上的APP存在中高危漏洞风险。而这2,788款漏洞应用中,有高危漏洞的应用共2,071款,占比74.28%,有中危漏洞的应用共2,686款,占比96.34%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下
各漏洞类型占比分析
针对不同类型的漏洞进行统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及应用数据任意备份风险。各漏洞类型占比情况如下图所示:
存在漏洞的APP各类型占比分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的21.94%,其次为教育学习类APP,占比13.24%,生活服务类APP位居第三,占比11.22%,漏洞数量排名前十的类型如下图所示:
如若转载,请注明原文地址
