本文来自奇安信。
近日,奇安信病毒响应中心发布了2022年第一季度《App违规收集个人信息风险分析报告》(简称《报告》),对近30万个全国应用市场新增App活跃样本个人信息收集情况进行了详细的分析。
《报告》显示,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。
总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。在本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次,仅所有抽样检测存在违规风险的24款App就至少影响国内超过2亿用户。
《报告》发现,在所有存在“无提示收集个人信息”风险的App中,IMEI(国际移动设备识别码)、MAC(硬件地址)地址和IMSI(国际移动用户识别码)是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。
另一方面,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%,存在高频收集个人信息现象。
而在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。
尽管大量App仍存在违规收集个人信息的现象,但未必都是由App自身来完成的,很多时候是因为App集成了第三方SDK,而第三方SDK存在个人信息收集行为。如果相关App在用户协议中,没有告知其集成的第三方SDK存在的个人信息收集情况,同样也会构成“无提示收集个人信息”的违规风险。如果第三方SDK存在“高频次收集个人信息”的情况,那么相关App也会存在同样的违规风险。
《报告》显示,在所有存在“无提示收集个人信息”和“高频次收集个人信息”风险的App中,对用户信息进行违规收集的,84.0%属于第三方SDK行为,仅有16.0%属于App自身行为。
《报告》还发现,在某些存在违规收集用户个人信息风险的App中,集成了不止一款存在违规收集用户信息行为的第三方SDK。统计显示,在所有集成了违规收集个人信息SDK的App中,只集成了1款违规SDK的App占比为84.4%,集成了2款违规SDK的App占比为12.7%,另有2.9%的App集成3款及以上的违规SDK。
