广东省通信管理局|广东省移动智能终端应用软件（APP） 2020 安全白皮书

1.综述

1.1.全国 APP 概况

1.2.归属广东省开发运营的 APP 数量位居全国第一

1.3.APP 产业快速发展伴生着各类安全风险

2.APP 监管平台运行及安全监测情况

2.1.APP 监管平台运行概述

2.2.隐私合规监测情况

2.2.1.存在隐私违规问题的 APP 月度数量小幅性波动

2.2.2.“休闲娱乐”类 APP 的隐私违规问题较为突出

2.2.3.存在隐私违规问题的 APP 主要分布在深圳和广州

2.2.4.私自收集个人信息和注销账号难两类排名在隐私违规问

题前两位

2.3.恶意 APP 监测情况

2.3.1.恶意 APP 月度感染事件数量整体呈现周期性波动趋势

2.3.2.恶意 APP 行为特征以流氓行为类最为突出

2.3.3.恶意 APP 传播源数量呈现快速下降趋势

2.4.安全漏洞监测情况

2.4.1.存在安全漏洞的 APP 月度数量在六千上下波动

2.4.2.“休闲娱乐”类 APP 存在安全漏洞的问题较为突出

2.4.3.疑似存在安全漏洞的 APP 主要分布在深圳和广州

2.4.4.APP 安全漏洞以加固壳识别类型为主

2.5.被责令整改问题 APP 的主要情况

2.5.1.问题 APP 的类型分布

2.5.2.被责令整改 APP 的主要问题

3.广东 APP 监管总体情况与典型案例

3.1.APP 监管执法总体情况

3.2.APP 侵害用户权益的十大典型案例

3.2.1.某生活购物类 APP 侵害用户知情权和违反必要原则过度索取高敏感权限被行政处罚

3.2.2.某电商导购类 APP 侵害用户知情权和选择决定权默认开启多项权限被行政处罚并纳入不良名单

3.2.3.某停车服务类 APP 因设置不合理账号注销障碍、提前索权等问题被行政处罚

3.2.4.某购物服务类 APP 无故强迫用户授予非必要权限被责令整改

3.2.5.某驾考服务类 APP 未经用户同意收集使用个人信息（Android ID、MAC 地址等）被警告及罚款

3.2.6.某地图导航类 APP 未公示列明所集成第三方 SDK 及其收集使用个人信息规则被警告及罚款

3.2.7.某证券交易类 APP 存在“界面劫持”高危安全漏洞被责令整改

3.2.8.某购物类 APP 存在“webview 远程代码执行”高危安全漏洞被责令整改

3.2.9.某游戏类 APP 存在“Janus 签名机制漏洞”高危安全漏洞被责令整改

3.2.10.某金融类 APP 存在流氓行为、信息窃取等恶意行为被下架封堵

4.构建 APP 监管治理新格局

4.1.加强行政执法，加大监督惩处力度

4.2.加强技管结合，持续提升 APP 技术监测能力

4.3.指导组建安全生态联盟，构建 APP 绿色生态圈

4.4.倡议签署个人信息保护自律公约，促进行业自律

4.5.压实 APP 相关企业主体责任，维护用户合法权益

4.5.1.压实 APP 分发平台主体责任

4.5.1.1.落实 APP 上架实名登记

4.5.1.2.落实上架 APP 软件包和相关信息日志留存

4.5.1.3.加强 APP 安全上架审核及跟踪管理

4.5.1.4.规范 APP 上架基本信息公示

4.5.1.5.加强对 APP 提供者的监管政策宣贯

4.5.1.6.公开投诉举报方式并受理公众举报

4.5.1.7.履行 ICP 备案或取得相应电信业务许可

4.5.2.压实 APP 运营者主体责任

4.5.2.1.健全 APP 安全合规管理制度和工作机制

4.5.2.2.重视保障用户的知情权、选择决定权

4.5.2.3.严格遵循合法、正当、必要的原则

4.5.2.4.加强对所使用第三方插件、程序代码的安全审核，并做好第三方收集使用个人信息规则的公示

4.5.2.5.保障所收集使用的数据和个人信息的安全

4.5.2.6.不得恶意干扰用户终端环境和干扰用户使用 APP

4.5.2.7.及时响应处理个人信息删除、更正诉求

4.5.2.8.配合 APP 分发平台提供真实身份信息、联系方式、上架审查材料和公示信息

4.5.2.9.履行互联网信息服务备案（ICP 备案）手续，涉及电信业务的应取得相应电信业务许可

4.5.3. 压实第三方 SDK 提供者主体责任

4.6.提升用户风险防范意识，养成安全使用习惯

4.6.1.从 APP 运营者官网或正规应用商店下载 APP，不点击来源不明的链接下载安装软件

4.6.2.遵循最小授权原则管理 APP 权限

4.6.3.谨慎使用公共 WIFI，避免通过不安全充电设备进行充电

4.6.4.注意日常生活中的隐私保护

4.6.5.不要随意破解手机、开启 root 权限，以及刷装不明来源的第三方操作系统和桌面应用

4.6.6.遇到 APP 违法违规行为可向有关机构举报，涉及网络违法犯罪的应及时报案

5. 结束语

附录一：广东省通信管理局 APP 专项治理工作公开发布的报道

报道一：广东省通信管理局严查违规 APP 应用商店 为电信用户合法权益保驾护航 发布时间：2019 年 3 月 14 日

报道二：多款 APP 收集个人敏感信息 广东省通信管理局依法查处涉事企业 发布时间：2019 年 4 月 24 日

报道三：广东省通信管理局关于转发工信部开展 APP 侵害用户权益专项整治工作的通知 发布时间：2019 年 11 月 8 日

报道四：广东省通信管理局聚焦用户个人信息保护 纵深推进 APP 依法监管 发布时间：2020 年 1 月 21 日

报道五：广东省通信管理局查处一批违反用户个人信息保护规定 APP发布时间：2020 年 3 月 15 日

报道六：广东省通信管理局不断加大执法力度 狠抓 APP 数据安全和隐私合规 发布时间：2020 年 9 月 15 日

报道七：广东省通信管理局 APP 监管情况通报（2020 年 10 月）发布时间：2020 年 11 月 23 日

报道八：209 款 APP 被广东省通信管理局责令整改或关停（2020 年11-12 月） 发布时间：2021 年 1 月 11 日

报道九：215 款 APP 被广东省通信管理局责令限期整改（2021 年 1月）发布时间：2021 年 2 月 23 日

附录二：APP 监管部分重要依据

依据一：《中华人民共和国网络安全法》（摘录）

依据二：《中华人民共和国民法典》（摘录）

依据三：《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407 号）

依据四：《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202 号）

依据五：《APP 违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191 号）

依据六：工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知（工信部信管函〔2019〕337 号）

依据七：工业和信息化部关于开展纵深推进 APP 侵害用 户权益专项整治行动的通知（工信部信管函〔2020〕164 号）

依据八：《 YD/T 2439-2012 移动互联网恶意程序描述格式》