移動應用的飛速發展，一方面為我們工作生活提供極大的便利，是推動我國經濟社會發展的新動能。另一方面，App存在種種違法違規收集使用個人信息的行為，例如：無公開的隱私政策或隱私政策不完整、超范圍收集個人信息，通過強制索權收集超過必要的個人信息等，使得互聯網用戶的個人信息面臨著被非法收集、濫用、泄露等風險。如何保護個人信息安全，已經成為刻不容緩需要解決的問題。

2016年11月頒布的《網絡安全法》建立了網絡數據安全相關制度，2019年5月《數據安全管理辦法》草案公開征求意見，2020年7月《數據安全法》草案公開征求意見，數據安全已經成為網絡安全乃至國家安全法制體系中的核心內容之一。隨著個人信息保護法律法規不斷完善以及相關國家標準陸續出臺，App運營者應切實將個人信息保護法律法規、國家標準的相關要求落實到產品中，加強行業自律，做好用戶個人信息保護，促進移動互聯網產業健康有序發展。

愛加密專注于移動互聯網、物聯網和工業互聯網的泛在應用安全防護生態體系。針對移動應用安全問題，愛加密可提供移動應用安全檢測、移動應用個人信息安全檢測、移動應用渠道監測、移動應用大數據平臺等產品，通過專業的檢測技術，幫助企業用戶快速實現移動應用的安全合規。此外，我們還會定期會發布相關移動安全觀測報告，以下為報告全文。

一、全國移動互聯網應用概況

1.1 全國移動互聯網應用總量綜合統計

截止到2020年12月31日，愛加密移動應用安全大數據平臺收錄全國Android應用共計3307221款，應用安裝包（apk）10437961個，iOS 應用共計2101025款，微信公眾號5197144個，微信小程序643372個。2020年度，全國總計新增應用336104款，年增幅為11.31%。四個季度的增幅分別如下：

2020年全國各季度應用新增量及增幅對比

1.2 全國移動互聯網應用地域分布情況

全國3307221款App中，有770647款可以根據明確的開發、運營主體進行歸屬地劃分，下列區域分布僅基于這770647款做分析。從區域來看，廣東省App產量位居第一，占全國App總量的24.30%；其次是北京市，占總量的20.11%；上海市位列第三，占總量的9.84%。以下是全國移動互聯網應用地域分布top10：

全國移動應用區域分布情況TOP10

1.3 全國移動互聯網應用行業分布情況

從行業分類來看，游戲類App應用數量占全國總量的23.79%，位居第一；工具軟件類應用數量占全國總量的18.99%，位居第二；金融類應用數量占全國總量的14.97%，位居第三。

全國移動應用行業分布情況TOP10

1.4 全國移動互聯網應用渠道排名情況

截止到2020年12月31日，愛加密移動應用安全大數據平臺納入監測的應用渠道數量總計約900+個。全國應用數量排名前三的應用商店分別是：豌豆莢，共計應用708312款，占總應用數量的21.42%；360市場，共計應用637258款，占總應用數量的19.27%；應用寶，共計應用634319款，占總應用數量的19.18%；以下是各渠道應用排行前十的情況：（應用商店各自有不同的開放查詢策略，排名僅做參考）

全國應用在各渠道應用量排行TOP10

1.5 全國移動互聯網應用下載量情況

截止到2020年12月31日，結合各渠道的下載量統計，考慮渠道的權重（渠道的影響力，公信力，專業度）等綜合因素進行分析，全國累計下載量排名前列的應用分別是：應用寶1520000萬+次，拼多多1340000萬+次，HMSCore 1240000萬+次，（注：下載量是指愛加密移動應用安全大數據平臺綜合智能分析的下載量，僅作參考） 以下是應用下載量TOP10排行情況：

全國移動應用下載量排行TOP10

1.6 全國活躍移動互聯網應用功能類型分布情況

截止到2020年12月31日，全國活躍應用（三個月有更新的應用）總計282550款，從功能類型來看，辦公學習類App應用活躍度較高，占全國活躍應用總量的18.87%，位居第一；生活實用類應用數量占全國活躍應用的17.44%，位居第二；游戲應用類應用數量占全國活躍應用的16.31%，位居第三。

全國活躍應用功能分類情況

二、全國移動互聯網應用漏洞情況

2.1 各等級漏洞概況

截止到2020年12月31日，愛加密移動應用安全大數據平臺利用安全檢測引擎，對全國3307221款應用，總計10437961個應用安裝包進行104項漏洞掃描，存在漏洞風險的應用安裝包為8634393個，82.72%以上的App存在漏洞風險。存在不同風險等級漏洞的App占比如下（同一個應用可能存在多個等級的漏洞）：

不同風險等級漏洞的App占比

2.2 各漏洞類型應用排行

全國3307221款Android應用通過移動應用安全平臺進行風險檢測，其中，有高危漏洞的App約2972934款，占應用總數的89.89%。本年度排名前三的漏洞分別是：“Janus漏洞”、“Java代碼加殼檢測”、“WebView遠程代碼執行漏洞”。詳見下圖：

漏洞類型應用排行

2.3 各功能類型存在高危漏洞風險的應用排行

從功能類型來看，游戲應用類存在高危漏洞風險的應用數量占全國總量的18.78%，位居第一；生活實用類存在高危漏洞風險的應用數量占全國總量的14.01%，位居第二；辦公學習類存在高危漏洞風險的應用數量占全國總量的10.46%，穩居第三。游戲應用類應用是存在高危漏洞最多的應用，如果受到攻擊容易導致用戶的隱私泄露或直接財產損失。監管機構應加強對游戲應用類App的監管，同時應用開發者安全意識不足，應采取有效措施如通過使用應用加固，防范應對網絡攻擊，保障系統的平穩、安全運行。

功能類型存在高危漏洞風險的應用占比排行

2.4 各行業分類存在高危漏洞風險的應用排行

從行業分類來看，游戲類存在高危漏洞風險的應用數量占全國總量的27.16%，位居第一；生活服務類存在高危漏洞風險的應用數量占全國總量的15.44%，位居第二；教育類存在高危漏洞風險的應用數量占全國總量的13.52%，位居第三。游戲類應用在全國總應用中占比量最高，受眾面廣，同時也是存在高危漏洞風險占比最高的行業，需要加強對相應應用的監管。

行業分類存在高危漏洞風險的應用占比排行

2.5 各區域存在高危漏洞風險的應用排行

從區域劃分來看，北京市存在高危漏洞風險的應用數量占全國總量的26.32%，位居第一；廣東省存在高危漏洞風險的應用數量占全國總量的25.04%，位居第二；上海市存在高危漏洞風險的應用數量占全國總量的9.33%，位居第三。

區域存在高危漏洞風險的應用占比排行

三、全國移動互聯網應用惡意概況分析

3.1 主要惡意程序風險描述

截止2020年12月，全國累計含有惡意程序的應用318925款，其中惡意程序類型以“流氓行為”為主，這些惡意程序主要存在對移動用戶的隱私數據收集、惡意扣費、流量資源消耗、系統破壞和廣告推送等多種惡意行為，對移動用戶的個人信息及財產安全帶來巨大的威脅。詳見下圖：

惡意程序類型統計表

以下是TOP3的惡意類型簡介：

1.流氓行為：這類惡意程序通常會綁定廣告插件，會在用戶未授權的情況下，彈出廣告窗口等。

2.竊取隱私：這類惡意程序會在在用戶不知情或未授權的情況下，通過隱蔽執行的手段，竊取用戶設備個人隱私信息的，直接導致用戶個人隱私信息泄露。

3.惡意扣費：這類惡意程序會在后臺執行惡意行為，消耗用戶資費，或在用戶不知情的情況下私自下載付費應用并完成支付，造成用戶資費損失。

3.2 渠道惡意應用分布情況

截止到2020年12月31日，惡意程序渠道分布量排列第一的是應用寶，占惡意程序總量的20.26%，其次是豌豆莢，占惡意程序總量的8.74%，排列第三的是免費市場，占惡意程序總量的8.71%，詳情如下圖：

渠道惡意應用Top10

3.3 惡意應用功能類型分布情況

從功能類型來看，游戲應用類存在惡意應用的數量占全國惡意應用總量的28.78%，位居第一；生活實用類存在惡意應用的數量占全國惡意應用總量的8.76%，位居第二；金融理財類存在惡意應用的數量占全國惡意應用總量的7.71%，位居第三。存在惡意應用最多的功能類型是游戲應用類，相比排名第二的生活實用類占比高出三倍，需要加強對這類惡意應用的排查。詳情見下圖：

惡意應用功能類型分布

3.4 惡意應用行業分布情況

截止到2020年12月31日，從行業分類來看，游戲類存在惡意應用的數量占行業總量的30.47%，位居第一；工具軟件類存在惡意應用的數量占總量的19.73%，位居第二；教育類存在惡意應用的數量占總量的17.37%，穩居第三。存在惡意應用最多的行業是游戲類應用。由于大多數惡意應用分布在小渠道中，用戶在下載應用時，要注意不要下載類似“破解版”的游戲應用，應主動選擇應用的官方渠道下載。詳情如下圖：

惡意應用行業分布

四、全國移動互聯網應用個人信息合規性檢測

4.1 個人信息檢測類型分布情況

截止到2020年12月31日，針對全國應用進行了個人信息合規性抽樣檢測，全國總計送檢50萬+款應用。其中，66.48.%的應用存在“用戶明確表示不同意仍收集個人信息”的違規情況。該違規行為可能存在強制收集用戶個人信息。61.00%的應用存在“收集個人信息前未征得用戶同意”的違規情況。該違規行為是指在用戶使用App時，在用戶不知情的情況下收集相關個人信息數據，容易造成用戶在不知情的情況下隱私被盜取，被販賣，被他人記錄等結果；47.86%的應用存在“收集個人信息的頻度超出業務功能實際需要”的違規情況。綜合上述，監管機構應加強企業進行宣傳個人信息相關的法律法規，加強對App的開發企業，運營企業的通報處罰力度。作為應用的責任主體，應自我做到遵紀守法，符合《自評估指南》中的所有要求；而用戶應該加強自己的隱私保護意識，如果遇上“流氓”App應提高防護意識，注重個人的隱私。詳見下圖：

個人信息違規類型分布

4.2 個人信息檢測行業分布情況

從行業分類來看，存在個人信息違規性問題的應用文化傳媒類占檢測總量的25.82%，位居第一；其次是教育類占檢測總量的24.04%，位居第二；醫療衛生類占檢測總量的14.29%，位居第三。

個人信息檢測違規應用行業分布

4.3 個人信息檢測功能類型分布情況

從功能類型分類來看，存在個人信息違規性問題的應用學習教育類占檢測總量的13.78%，位居第一；其次是游戲應用類占檢測總量的10.72%，位居第二；生活實用類占檢測總量的9.57%，位居第三。2020年因疫情影響，線上教育快速發展，使用學習教育類App的用戶越來越多，超過七成以上的學習教育類應用存在“用戶明確表示不同意仍收集個人信息”的違規性問題，容易造成大量用戶的個人信息泄露，該應用類型后期可作為重點監測目標對象。

個人信息檢測違規應用功能類型分布

五、全國移動互聯網應用嵌入SDK情況

5.1 各功能類型的App平均集成SDK分析

全國應用平均集成SDK個數為1.05個，應用平均集成SDK數量排名前列的功能類型分別是：社交通訊類，健康運動類，網上購物類。 以下是各功能類型應用平均集成SDK個數排行情況：詳見下圖：

各功能類型平均集成SDK

5.2 應用嵌入各類型SDK的分布情況

截止到2020年12月31日，從應用嵌入第三方SDK的類型來看，嵌入了推送類SDK的App數量最多，占比為30.23%，其次是統計類SDK，占比為18.33%；位列第三的是支付類SDK，占比為15.28%。詳情如下：

各類SDK分布情況

5.3 行業應用嵌入SDK分布情況

從應用嵌入第三方SDK的行業分布來看，排列第一的是工具軟件，占比為29.82%；其次是游戲，占比為16.145%，排列第三的是醫療衛生，占比為14.13%。詳情如下：

行業嵌入SDKTop10分布情況

六、全國移動互聯網應用加固情況分析

6.1 加固應用和未加固應用分布

截止到2020年12月31日，對應用、更新版本的應用、以及存量應用的加固情況進行統計，全國總計加固應用292572款，占8.85%，未加固應用占總量的91.15%。隨著移動端黑產的日益壯大，App如果不進行安全加固會無法確保應用安全，無法防止被破解、二次打包、惡意篡改等，安全加固是維護App安全的重要防護手段。

加固應用和未加固應用分布

6.2 未加固應用行業分布

通過對全國未加固應用行業進行統計發現，游戲類行業的App未加固率最高，占未加固應用的24.63%，其次是工具軟件類App，占未加固應用的17.97%，排名第三的是金融類App，占未加固應用的15.45%。在未加固的應用的行業分類中，游戲類應用占比最高，由于現在游戲類應用大多需要實名制認證，綁定了用戶的身份信息和手機號等。若不進行安全加固，應用極易被病毒植入、廣告替換、支付渠道篡改、釣魚、信息劫持等，會嚴重侵害開發者的利益或威脅到用戶的信息安全。詳見下圖：

未加固應用行業分布

七、個人信息安全保護措施

7.1 保護個人信息安全需要健全數據分級分類規則，完善網絡數據安全立法

1. 確立網絡數據安全分級分類的基本思路：傳統網絡數據安全側重于靜態保護，主要是防止網絡數據泄露、竊取、篡改、毀損，維護網絡數據的完整性、保密性和可用性。新一代網絡數據安全處于數字經濟繁榮發展和全面數字化轉型的新時代，需要適應動態保護的需求，確保數據在各類場景下收集、利用、流轉、開放、共享等不同行為時的安全與自由。場景差異會形成不同的正當價值和安全風險，分級分類保護應當成為網絡數據安全立法的基本思路。

2. 引導公共屬性數據相互共享和對外開放：公共屬性的數據也被稱之為公共利益數據，是由政府部門或者網絡運營企業收集、存儲，但屬于社會中各類人力資源、財產資源共同參與創造的，可以在政府和企業之間相互共享，也可以基于公共利益目的對外開放。公共屬性數據的共享與開放包括企業對政務數據的使用、政府機構對企業數據的使用、政府不同部門之間的數據共享。

3. 推動企業數據安全有序的利用與流轉：企業數據是企業通過合法形式取得的具有完全權屬、有限權屬、無權屬的各類數據。企業對于無權屬的他人數據只能按照約定目的和方式進行管理和使用，對于處理大量他人數據的網絡運營者應當依法建立數據安全體系，為他人提供數據收集、存儲、加工、分析、傳輸等服務的企業，應當通過向主管部門備案、建立相互隔離的數據安全環境等措施。對于完全權屬和有限權屬的數據，企業可以在權利范圍內進行交易、共享和開放。

4. 確保新技術對個人數據利用的安全：信息技術的創新發展提高了個人數據的利用效率和方式，出現了用戶畫像、個性化推薦、自動化決策、深度偽造、人臉識別等提升個人數據利用風險的新技術，也出現了差分隱私、多方計算等減少個人數據利用風險的新技術。在數據安全配套法規中，應當引導網絡運營者采取有利于個人數據安全利用的新技術，通過技術手段實現安全和發展的雙重目標，有效避免個人數據利用過程中出現的安全風險。對于各類挖掘個人數據潛在價值的新技術，應當進行數據安全風險評估，并在相關法規中建立場景化的數據利用規則。

7.2 保護個人信息安全需要全產業鏈的共同努力

在大數據時代，保護個人信息安全，提升App個人信息安全能力，加強用戶權益保護，需要全產業鏈的共同努力。

1.作為App開發和運營企業要做好自律，企業是維護網絡安全的主體，為實現一些功能，在收集個人信息收集時要做好平衡、把握好度，在相關功能實現后，企業應當將如何保護個人信息作為核心競爭力。

2.作為監管部門，由于互聯網技術革新快、應用技術廣泛多變的特性，監管部門需要及時更新相應的法律法規。通過專門立法，制定App運營者收集用戶信息的原則、程序，明確其對收集到的信息的保密和保護義務，不當使用、保護不力應當承擔的責任，以及監督檢查和評估措施。

3.對于用戶而言，需要提高個人信息保護意識以及如何選擇安全可靠的應用下載渠道。

請點擊閱讀原文下載報告全文，提取碼2h8x