文章总结: 本报告监测显示监管持续强化,多省市通报违规APP,隐私合规问题集中于告知不充分与撤回机制缺失;73.2%的抽样APP存在中高危漏洞,建议企业加强合规自查与漏洞修复,重点关注数据加密与权限管理。 综合评分: 77 文章分类: 数据安全,应用安全,政策法规,漏洞预警,网络安全
【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告(0420-0503)
梆梆安全
2026年5月13日 14:20 北京
在小说阅读器读本章
去阅读
以下文章来源于APP安全 ,作者梆梆安全
APP安全 .
移动互联网APP
【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(0420-0503)
●最新公开通报动态
公开通报动态
●公开通报详情汇总
公开通报问题分析
公开通报问题汇总
●漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP各类型占比分析
01
最新公开通报动态
1. 公开通报动态
- 依据“宁夏回族自治区通信管理局官网”发布,4月22日,宁夏回族自治区通信管理局依据相关法律法规,持续开展APP(小程序)个人信息保护和网络数据安全治理。2025年12月31日抽测发现9款APP(小程序)存在侵害用户权益问题,通知整改后仍有3款未改,宁夏回族自治区通信管理局现予通报。2025年11月27日通报8款小程序整改,至今7款未完成,宁夏回族自治区通信管理局现予全网下架。
- 依据“浙江省通信管理局官网”发布,4月23日,浙江省通信管理局依据相关法律法规的要求,对APP、小程序违法违规收集使用个人信息等问题开展治理,截至目前,经核查复检,尚有7款APP、小程序未按要求完成整改,浙江省通信管理局现予以通报。
- 依据“青海省通信管理局官网”发布,4月24日,青海省通信管理局依据相关法律法规的要求,对省内5A和4A景区开发(运营)的APP和小程序,开展侵害用户权益专项整治工作。截至目前,发现问题APP和小程序25款,其中已督促整改21款,尚有4款APP和小程序未按要求完成整改,青海省通信管理局现予以通报。
- 依据“中央网络安全和信息化委员会办公室官网”发布,4月27日,中央网络安全和信息化委员会办公室依据相关法律法规的要求,对APP(含小程序)收集使用个人信息行为进行检测。现对33款应用问题予以通报。
- 依据“四川省通信管理局官网”发布,4月30日,四川省和重庆市通信管理局依据相关法律法规的要求,组织第三方检测机构对川渝两地主流应用商店移动互联网应用程序(APP/小程序)进行了检查,截至目前,仍有8款APP/小程序未按要求完成整改,上述APP应限期完成整改落实工作,逾期不整改的,四川省和重庆市通信管理局将依法依规进行处置。
- 依据“国家计算机病毒应急处理中心官网”发布,4月30日,国家计算机病毒应急处理中心依据相关法律法规,检测发现67款移动应用存在违法违规收集使用个人信息情况。上期通报的国家计算机病毒应急处理中心检测发现的71款违法违规移动应用,经复测仍有17款存在问题,相关移动应用分发平台已予以下架。
02
公开通报详情汇总
1. 公开通报问题分析
依据近两周公开通报数据,发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。
1) 问题行业TOP3:
实用工具类
学习教育类
问诊挂号类
2) 隐私合规问题TOP3:
TOP1: 认定方法 2-1 :未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围
TOP2:认定方法3-8:未向用户提供撤回同意收集个人信息的途径、方式
TOP3:个保法-15:基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式
2. 公开通报问题汇总
针对国家近两周公开通报数据,依据问题类型,统计涉及APP数量如下:
| | | | — | — | | 问题分类 | 问题数量 | | 191-2-1 未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围 | 34 | | 191-3-8未向用户提供撤回同意收集个人信息的途径、方式 | 19 | | 个保法-15 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式 | 19 | | 个保法-51 未采取相应的加密、去标识化等安全技术措施 | 18 | | 164-1 违规收集个人信息 | 17 | | 191-6-1未提供有效的更正、删除个人信息及注销用户账号功能 | 17 | | 191-1-2在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则 | 15 | | 191-5-2既未经用户同意、也未做匿名化处理,数据传输至APP后台服务器,向第三方提供其收集的个人信息 | 15 | | 个保法-23 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意 | 15 | | 191-1-1在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则 | 13 | | 191-1-3隐私政策等收集使用规则难以访问,如进入APP主界面后,需多于4次点击等操作才能访问到 | 13 | | 191-3-4以默认选择同意隐私政策等非明示方式征求用户同意 | 13 | | 个保法-17 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。 | 13 | | 191-1 未公开收集使用规则 | 10 | | 191-6-2为更正、删除个人信息或注销用户账号设置不必要或不合理条件 | 9 | | 191-2 未明示收集使用个人信息的目的、方式和范围 | 8 | | 个保法-31 个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则;个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意 | 7 | | 191-6-3虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理 | 6 | | 个保法-50 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由 | 6 | | 164-5 APP强制、频繁、过度索取权限 | 4 | | 191-4 违反必要原则、收集与其提供的服务无关的个人信息 | 4 | | T0171-6 个人金融信息展示存在违规:a)未登录状态展示C3类个人金融信息;b)登录后全明文展示C3类个人金融信息(银行卡有效期除外);c)银行卡号、手机号码、证件识别信息、其他个人标识信息未做屏蔽;d)用户需要完整展示银行卡号、手机号码、证件识别信息、其他个人标识信息时未做用户身份验证 | 4 | | 个保法-24 通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式 | 4 | | 191-3 未经用户同意收集使用个人信息 | 3 | | 191-3-1征得用户同意前就开始收集个人信息或打开可收集个人信息的权限 | 3 | | 164-2 超范围收集个人信息 | 2 | | 191-5 未经同意向他人提供个人信息 | 2 | | 164-6 APP频繁自启动和关联启动 | 1 | | 个保法-30 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外 | 1 | | 总计 | 295 |
针对国家近两周公开通报数据,依据APP类型,统计出现通报的APP数量如下:
| | | | — | — | | APP类型 | APP数量 | | 实用工具类 | 27 | | 学习教育类 | 21 | | 问诊挂号类 | 11 | | 本地生活类 | 7 | | 网络社区类 | 7 | | 网上购物类 | 7 | | 旅游服务类 | 6 | | 拍摄美化类 | 5 | | 网络游戏类 | 5 | | 运动健身类 | 5 | | 手机银行类 | 4 | | 地图导航类 | 3 | | 其他 | 3 | | 网络借贷类 | 3 | | 用车服务类 | 3 | | 餐饮外卖类 | 2 | | 电子图书类 | 2 | | 演出票务类 | 2 | | 房屋租售类 | 1 | | 婚恋相亲类 | 1 | | 求职招聘类 | 1 | | 新闻资讯类 | 1 | | 远程会议类 | 1 | | 在线影音类 | 1 | | 总计 | 129 |
03
漏洞风险分析
从全国的Android APP中随机抽取了709款进行漏洞检测发现,存在中高危漏洞威胁的APP为519个,即73.2%以上的APP存在中高危漏洞风险。而这519款漏洞应用中,有高危漏洞的应用共404款,占比77.84%,有中危漏洞的应用共502款,占比96.72%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下:
各漏洞类型占比分析
针对不同类型的漏洞进行统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及Webview File同源策略绕过漏洞。各漏洞类型占比情况如下图所示:
存在漏洞的APP各类型占比分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.08%,其次为生活服务类APP,占比13.25%,教育学习类APP位居第三,占比11.66%,漏洞数量排名前十的类型如下图所示:
推荐阅读
Recommended
【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告(0406-0419)
梆梆安全助力互联网商企:支付渠道异常行为实时监测,筑牢应用生态合规防线
消费金融行业移动安全实践:梆梆安全助力构建可信应用生态
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:梆梆安全 《【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告(0420-0503)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论