App违规收集个人信息风险分析报告

最新推荐文章于 2024-05-20 12:44:11 发布
最新推荐文章于 2024-05-20 12:44:11 发布
阅读量504 收藏
点赞数
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glb111/article/details/129917092
版权

声明

本文是学习App违规收集个人信息风险分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

研究背景

随着互联网和移动设备的发展,手机已成为人人都拥有的设备,各式各样的App更是丰富了人们的生活:从社交到出行、从网购到外卖,从办公到娱乐等,App已成为大众生活必需品。然而,App的流行使人们对App违规收集个人信息的风险更加担忧。

为切实加强用户个人信息保护,为人民群众提供更安全、更健康、更干净的信息环境,国家工业和信息化部为此发布了一系列的相关法律法规和监管标准通知,并在全国范围内组织开展App违法违规收集使用个人信息专项治理工作。

2022年第一季度,奇安信病毒响应中心共收录全国应用市场新增App活跃样本近30万个。本报告依据《App违法违规收集使用个人信息行为认定方法》等内容要求,使用奇安信自研安卓动态引擎QADE对新增APP样本进行抽样检测,重点评估“无提示收集个人信息”和“高频次收集个人信息”两种最为常见、影响较深的合规性问题。

  1. 检测引擎

本次检测采用奇安信完全自主研发安卓动态引擎QADE(后文统称奇安信QADE引擎)。奇安信QADE引擎既支持对App进行传统恶意检测,同时也支持对App违规收集个人信息及索权等合规性问题的检测,是“综合一体化”动态引擎。

  1. 检测依据

本次报告主要参考以下相关的国家法律法规作为检测标准依据:

《网络安全法》、《电信和互联网用户个人信息保护规定》、《GB/T 35273-2020信息安全技术个人信息安全规范》、《关于开展纵深推进App侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)、《App违法违规收集使用个人信息行为认定方法》

  1. 检测内容

本次报告重点检测了相关App在以下两方面的合规性问题:

无提示收集个人信息

无提示收集个人信息是指存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息的情况。

无提示收集个人信息,实际上就是在不告知用户,或用户不知情的情况下,秘密收集用户的各种个人信息,从而给用户带来个人信息泄露、个人信息被滥用等网络安全风险。很多App为了实现自身不当的商业利益,会选择不告知用户个人信息收集规则,或只告知用户部分个人信息收集规则。

高频次收集个人信息

高频次收集个人信息是指存在高频率(每百秒的收集次数)收集用户个人信息的情况。

高频次收集个人信息,会导致用户个人活动信息被过渡收集,从而危害用户个人信息和隐私安全,同时还会快速消耗用户手机电量和网络流量。

关于什么样的收集频次属于高频次收集,相关法律法规并没有特别明确的具体规定。在本报告中,每百秒内收集个人信息超过2次(包含2次),即认定为高频次收集。

  1. 数据范围

本次报告的检测周期为2022年1月1日至2022年3月31日,国内四个应用市场的新收录及更新的APP样本共近30万个。这四个应用市场分别是:豌豆荚、多多软件站、pc6应用市场和2265应用市场。

流行App违规风险形势分析

存在违规风险的App规模

2022年第一季度,在针对近30万个新增活跃App样本的抽样检测中,存在“无提示收集个人信息”风险和“高频次收集个人信息”风险的App,分别占到检测样本总量的21.3%和14.7%。总体来看,平均每5个App中,就会有一个存在个人信息收集方面的违规风险。

github5.com 专注免费分享高质量文档

本季度检出的所有存在违规风险的App中,至少有1款下载量超过1亿次,4款下载量超过1000万次,19款下载量超过100万次。仅这24款App就至少影响国内超过2亿用户。

存在违规风险的App类型

从App类型来看,在2022年第一季度的检测中,存在违规风险最多的App是网上购物类App,约占所有存在违规风险App总数的20.1%;其次是生活休闲类,占比为15.6%。办公商务类排名第三,占比13.6%。

github5.com 专注免费分享高质量文档

典型App违规风险行为分析

无提示收集个人信息类型分析

检测显示,在所有存在“无提示收集个人信息”风险的App中,IMEI、MAC地址和IMSI是App静默收集个人信息最主要的三个类型。其中,87.6%会无提示收集IMEI 信息,50.6%会无提示收集MAC地址,16.7%会无提示收集IMSI信息,而无提示收集其他个人信息的情况,仅占1.7%。

github5.com 专注免费分享高质量文档

名词解释

IMEI

国际移动设备识别码(英语:IMEI,International Mobile Equipment Identity),是用于在移动电话网络中识别每一部独立的手机等移动通信设备。

MAC地址

硬件位址(英语:Media Access Control Address),也称为局域网地址、MAC位址、以太网地址或物理地址,它是一个用来确认网络设备位置的位址。

IMSI

国际移动用户识别码(英语:IMSI,International Mobile Subscriber Identity),是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。

高频次收集个人信息情况分析

如前所述,在2022年第一季度检测的所有新增活跃App样本中,一百秒内收集用户个人信息超过2次(包含2次)的App占到了所有被检测App总量的14.7%。在所有存在高频次收集个人信息风险的App中,每一百秒收集个人信息次数大于等于2次,但低于5次的App约占44.0%;6~10次的占比28.7%,11~20次的占比18.8%,大于20次的占比8.5%。

特别的,我们在本季度的检测中,发现某款收集个人信息最为频繁App,竟然在一百秒内对IMEI信息收集了138次,平均每秒1.38次,相当于平均约每0.7秒就收集一次,可谓是对用户个人信息的“不间断”收集。

github5.com 专注免费分享高质量文档

延伸阅读

更多内容 可以 App违规收集个人信息风险分析报告. 进一步学习

联系我们

T-ZZB 1987—2020 易切削不锈钢盘条.pdf

glb111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
App违法违规收集使用个人信息监测分析报告.pdf
03-03
App违法违规收集使用个人信息监测分析报告.pdf
安卓APP:隐私合规检测常见问题建议总结
APP操盘手
05-24 6256
1.1 违规收集个人信息 1).APP隐私政策必须非常清楚、全面地说明(不要用可能收集、了解用户信息这种模糊不清晰的词语)收集用户个人信息的目的、方式和范围,用户个人信息包括但不限于mac地址、设备序列号、imei、imsi、软件安装列表、通讯录信息、短信信息等。 清楚的写明收集的信息 2).在用户浏览完隐私政策并点击同意按钮前,APP和SDK不要有任何收集行为或者关联动作,例如和服务器之间发送或者接收信息的行为。 3).隐私协议用户同意环节,必须明确使用“同意”、“拒绝/不使用”按钮,不要使用“好的”、
安全合规/法案--34--《APP违法违规收集使用个人信息行为认定方法》原文及解读
武天旭的博客
02-06 5820
一、以下行为可被认定为“未公开收集使用规则” 1.1、在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则。 【解读】 该条主要明确应有隐私政策和收集使用个人信息规则。 从建议的角度,可以在用户协议中设置收集使用个人信息版块加以简单介绍,并通过链接或突出提示的方式,提醒用户阅读《隐私政策》。 1.2、在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。
APP隐私合规评估报告
hxs9999的博客
05-07 303
使用自动化检测会出现判断不准,往往还需人工参与再次核验,人工进行隐私检测,需耗费较长时间,且需要技术参与,如HOOK系统API查看调用情况,调试应用获取堆栈等等,需要花费大量人力和时间成本。作为具有第三方检测资质的实验室,以最新隐私政策为指引,覆盖隐私信息获取、传输、存储等各类场景的检测项,囊括 6 大方向,共计 31个检测项,同时适用于Android、iOS平台和SDK等。检测服务采用「自动化与人工结合」的组合策略,检测完成后即可输出一份详尽的检测报告,提供不符合信息,准确定位问题点,让整改更加便捷;
APP隐私合规检测
qq_42154654的博客
12-21 513
服务领域涵盖:软件产品登记测试、项目验收测试、软件性能测试、软件安全性测试、软件确认测试、统计应用请求的权限信息,并依照风险对其进行分级,进行有重点的排查,避免权限冗余造成额外风险。针对移动应用整体内容的违规检测方案,自动化检测移动应用中的黄赌毒、暴恐、涉政涉党等违规内容。、测试外包及咨询服务、网络安全等保测评、信息工程监理服务、电工电子产品可靠性测试测评。从多维度、百余项检测项,对应用中潜在的安全漏洞进行全面分析,并给出合理整改建议。对移动应用中集成的第三方SDK进行检测,保证应用检测全面无死角。
APP被通报要求自我整改,怎么办?
calm13的博客
08-07 1633
近年来,网信办、工信部等监管部门对app隐私合规查的比较严。首次查出问题就通知自查整改,复测不通过就直接全网通报,终测不通过就直接全网下架了,对于APP开发者和运营者来说无疑是个头疼的问题。 如果APP被查,需要自我整改的话,大家应该怎么办呢?下面几个步骤或许对你有所帮助: 1、APP被查,如果存在问题,监管会下方处置通知书,里面会对问题进行详细说明; 2、知道问题后,迅速组织技术人员排查,不同问题处理方式也是不一样的,举个栗子: 问题1:XX APP或SDK在用户同意前就开始收集个人信息
App收集个人信息划定红线 数据权利亟待法律明确
weixin_34148340的博客
02-01 217
来源:法制日报1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》),决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。近年来,移动互联网应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了重要作用,对很多人来说,App几乎已成为生活中不可替代的一部分。...
app违法违规收集使用个人信息自评估指南.pdf
04-08
app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集...
app违法违规收集使用个人信息自评估指南
11-17
app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集使用个人信息自评估指南app违法违规收集...
App违法违规收集使用个人信息的分析与解读
08-12
app违法违规收集使用个人信息自评估指南 App违法违规收集使用个人信息的分析与解读App违法违规收集使用个人信息的分析与解读App违法违规收集使用个人信息的分析与解读App违法违规收集使用个人信息的分析与解读App...
app违法违规收集使用个人信息自评估指南.docx
04-18
App违法违规收集使用个人信息自评估指南(word版).pdfApp违法违规收集使用个人信息自评估指南(word版).pdfApp违法违规收集使用个人信息自评估指南(word版).pdfApp违法违规收集使用个人信息自评估指南(word版).pdfApp...
App 违法违规收集使用个人信息 自评估指南
t1996ys的博客
10-25 1276
安全合规/法案--33--《APP违法违规收集使用个人信息自评估指南》原文及解读
武天旭的博客
02-06 6814
一、隐私政策文本 评估项1:隐私政策的独立性、易读性 评估点 评估标准 1、是否有隐私政策 在APP界面中能够找到隐私政策,包括通过弹窗、文本键接、常见问题(FAQs)等形式。 【解读】 隐私政策必须经过被收集者的同意,发布隐私政策是保证个人信息主体知情权的重要手段。清晰的隐私政策,才能实现《网络安全法》要求的“明示收集、使用信息的目的、方式和范围”。
App违法违规收集使用个人信息合规评估,你了解多少?
Uguardsec的博客
05-26 503
一、背景 近年来,移动互联网得到迅速发展,移动互联网便捷、普惠的特点最大程度地在App上予以呈现,“微信”“淘宝”“百度地图”“支付宝”等App早已成为广大网民生活中的“必需品”,极大地便利和丰富了人们的生活。然而,伴随着App的繁荣发展,个人信息泄露、滥用、非法交易等问题开始凸显,App强制授权、过度索权、超范围收集个人信息的现象大量存在,广大网民对此反应强烈。遏制乱象、促进移动互联网健康发展,成为当下迫切的任务。 2019年1月25日,中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布《关
西南交通大学计算机考研难吗?西南交通大学计算机考研考情分析!
m0_72717598的博客
05-16 258
西南交通大学信息科学与技术学院成立于1985年(原计算机科学与工程系),学院下设五个系,即计算机科学与技术系,软件工程系,自动化系,通信工程系,电子信息工程系,20多年来,学院已培养出研究生700余名,本科生近5000名,毕业生遍布全国各地,其中不少已成为国内外知名专家、学者。创新精神和能力、专业兴趣和素养等。复试要对考生的既往学业情况、外语听说交流能力、专业素质和科研创新能力,以及综合素质和一贯表现等进行全面考查,主要考核内容包括思想政治素质和道德品质、外语听说能力、专业素质和能力、综合素质及能力。
要对数据源和同步后的数据进行数据量的对比
smile6868的博客
05-16 331
4. **数据对比**:在 Flink 中创建两个表,一个连接到数据源,另一个连接到目标系统,然后使用 Flink SQL 来比较这两个表的数据。3. **数据同步**:使用 Flink SQL CDC Connectors 或其他合适的连接器来同步数据源的数据到目标系统。5. **执行 Flink SQL**:在 Flink SQL 客户端或 Flink Web UI 提交上述 SQL 脚本。2. **数据同步**:如果你使用的是 Flink CDC Connectors,它会自动处理数据的增量同步。
大数据概述
JAZJD的博客
05-16 685
从最初的存储和处理海量数据,到后来的数据分析和可视化,再到如今的机器学习和人工智能驱动的大数据应用,大数据技术日新月异,不断突破创新。在信息科技方面,计算机硬件性能的提升、存储技术的进步、网络传输速度的加快等,为海量数据的产生、收集和处理提供了技术支撑。:大数据往往包含多种类型的数据,如结构化数据(数据库中的表格数据)、半结构化数据(XML、JSON等格式)、以及非结构化数据(文本、图像、视频等)。随着技术的进步和应用的深入,大数据必将释放出更大的价值,为社会带来更多的创新和变革。
Flume 的基本介绍和安装部署
最新发布
weixin_44480009的博客
05-20 517
Flume 是 Cloudera 提供的一个高可用的,高可靠的,分布式的海量日志采集、聚合和传输的框架服务Flume 基于流式架构,灵活简单,能够实时读取服务器本地磁盘的数据,将数据写入到 HDFS。
关于邻里互助APP风险分析
06-06
邻里互助APP需要用户提供一些个人信息,如姓名、电话号码、住址等,如果这些信息被恶意利用,可能会导致用户面临身份盗窃、诈骗等风险。 2. 账户安全风险。用户在邻里互助APP上会绑定银行卡等支付方式,如果APP的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值