随着智能手机用户越来越多，各类App的数量也随之不断增长。其中很多App在方便我们生活的同时，却也可能侵扰着我们的信息安全。

　　近日，由中央网信办、工信部、公安部、市场监管总局组成的App专项治理工作组发布通告，对81款存在个人信息收集使用问题的App进行了集中曝光，下一步还将继续加大治理和处罚力度。

　　1.既未经用户同意，也未做匿名化处理，通过嵌入的Nearme、友盟等SDK向第三方提供设备IMEI号、Android ID等个人信息；

　　3.未逐一列出嵌入的Nearme、友盟等第三方SDK收集使用个人信息的目的、类型；

　　1.在“意见反馈”业务功能中，强制要求用户打开可收集个人信息的相机权限，不给就拒绝提供该业务功能。

　　2.在申请打开存储、电话、短信、位置等可收集个人信息的权限时，未同步告知用户目的；

　　2.在申请打开电话、位置、麦克风、相机等可收集个人信息的权限时，未同步告知用户其目的；

　　2.在申请打开位置、电话等可收集个人信息的权限时，未同步告知用户其目的；

　　4.将targetSDKversion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法安装使用；

　　1.未经用户同意，也未做匿名化处理，通过嵌入的字节跳动等SDK向第三方提供设备MAC地址、设备序列号等个人信息；

　　4.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　2.未明示收集用户社保账号、手机号码、邮箱地址等个人信息的目的、方式和范围；

　　3.收集设备IMEI号、Android ID等个人信息的频度超出业务功能实际需要；

　　4.既未经用户同意，也未做匿名化处理，通过嵌入的腾讯等SDK向第三方提供设备IMEI号等个人信息；

　　5.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　1.在申请打开电话、存储、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　2.未提供有效的更正、删除个人信息及注销用户账号功能：向隐私政策中说明的个人信息保护邮箱发送邮件，直接被系统退信；

　　1.在申请打开电话、存储、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　3.未逐一列出嵌入的支付宝、高德地图、友盟等第三方SDK收集使用个人信息的目的、类型；

　　5.隐私政策难以访问：仅在注册或登录界面展示隐私政策链接，注册或登录后，无法再找到到隐私政策；

　　1.在申请打开位置、电话等可收集个人信息的权限时，未同步告知用户其目的；

　　2.将targetSDKversion值设置小于23，要求用户一次性同意打开多个可收集个人信息的权限；

　　2.在申请打开电话、存储、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　1.征得用户同意前就开始收集设备Android ID等个人信息并发送至第三方服务器；

　　3.在申请打开电话、短信、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　4.未建立并公布有效的个人信息安全投诉、举报渠道：投诉、举报的邮件未在15个工作日内完成核查和处理。

　　2.未明示收集的用户性别、生日、地址、电话等个人信息的目的、方式和范围；

　　4.在申请打开电话、存储、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　1.超出用户授权范围收集使用个人信息：以添加手机联系人为由申请打开通讯录权限，用户打开该权限后，上传用户通讯录全部信息；

　　2.在申请打开电话、存储等可收集个人信息的权限，以及收集用户身份证号等个人敏感信息时，未同步告知用户其目的。

　　1.未逐一列出嵌入的新浪微博、小米推送、QQ互联移动应用等第三方SDK收集使用个人信息的目的、类型；

　　2.为注销用户账号设置不合理条件：需提交用户联系方式、注册时间、注册所在地、登录过的设备型号、充值证明等信息，才允许注销；

　　1.未逐一列出嵌入的百度、新浪微博、米推等第三方SDK收集使用个人信息的目的、类型；

　　1.未逐一列出嵌入的阿里、腾讯、友盟等第三方SDK收集使用个人信息的目的、类型；

　　2.收集的用户生日等个人信息及申请打开的位置、短信权限与现有业务功能无关。

　　1.未逐一列出嵌入的阿里、腾讯、小米等第三方SDK收集使用个人信息的目的、类型；

　　3.在申请打开电话、存储等可收集个人信息的权限时，未同步告知用户其目的。

　　2.未逐一列出嵌入的个推、百度地图等第三方SDK收集使用个人信息的目的、类型。

　　2.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　2.既未经用户同意，也未做匿名化处理，通过客户端嵌入的头条等SDK向第三方提供设备IMEI号等个人信息；

　　4.在申请打开电话、位置、相机等可收集个人信息的权限时，未同步告知用户其目的；

　　2.将targetSDKversion值设置小于23，要求用户一次性同意打开多个可收集个人信息的权限；

　　3.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　2.在申请打开存储、电话等可收集个人信息的权限时，未同步告知用户其目的。

　　2.将targetSDKversion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法使用；

　　2.将targetSDKversion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法使用；

　　2.未逐一列出嵌入的微信、QQ登录、新浪微博等第三方SDK收集使用个人信息的目的、类型；

　　2.在申请打开通讯录、通话记录等可收集个人信息的权限时，未同步告知用户其目的；

　　3.既未经用户同意，也未做匿名化处理，将设备IMEI号等个人信息直接传输至第三方服务器 。

　　1.既未经用户同意，也未做匿名化处理，通过客户端嵌入的Crashlytics等SDK将数据传输到境外服务器；

　　2.未逐一列出嵌入的Crashlytics等第三方SDK收集使用个人信息的目的、类型；

　　3.未逐一列出嵌入的百度地图等第三方SDK收集使用个人信息的目的、类型。

　　2.未逐一列出嵌入的高德地图、友盟、个信等第三方SDK收集使用个人信息的目的、类型。

　　1.既未经用户同意，也未做匿名化处理，通过客户端嵌入的支付宝、腾讯灯塔、友盟等SDK向第三方提供用户设备IMEI号、IMSI号、地理位置等个人信息；

　　2.未逐一列出嵌入的支付宝、腾讯灯塔、友盟等第三方SDK收集使用个人信息的目的、类型；

　　1.在申请打开位置等可收集个人信息的权限，以及收集用户身份证等个人敏感信息时，未同步告知用户其目的。

　　1.在申请打开存储、电话等可收集个人信息的权限时，未同步告知用户其目的；

　　2.未逐一列出嵌入的字节跳动等第三方SDK收集使用个人信息的目的、类型;

　　2.在申请打开存储等可收集个人信息的权限，以及收集用户身份证号等个人敏感信息时，未同步告知用户其目的。

　　2.在申请打开存储等可收集个人信息的权限，以及收集用户身份证号、护照等个人敏感信息时，未同步告知用户其目的。

　　2.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　1.未逐一列出嵌入的友盟移动统计等第三方SDK收集使用个人信息的目的、类型；

　　1.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　1.用户撤销位置权限授权，明确表示不同意收集该类个人信息后，仍通过其他途径收集用户地理位置等个人信息并发送至第三方服务器；

　　1.未逐一列出嵌入的百度地图、微博等第三方SDK收集使用个人信息的目的、类型；

　　2.在申请打开存储、电话等可收集个人信息的权限时，未同步告知用户其目的。

　　2.在申请打开存储、日历、电话等可收集个人信息的权限时，未同步告知用户其目的；

　　3.未提供有效的注销用户账号功能：提供的注销账号渠道，无法完成账号注销。

　　1.未逐一列出嵌入的友盟、腾讯、百度等第三方SDK收集使用个人信息的目的、类型；

　　2.在申请打开位置、电话、存储等可收集个人信息的权限，以及收集用户身份证号、银行账号等个人敏感信息时，未同步告知用户其目的；

　　3.既未经用户同意，也未做匿名化处理，通过嵌入的百度等SDK向第三方提供地理位置等个人信息。

　　1.未逐一列出嵌入的腾讯、高德地图、阿里等第三方SDK收集使用个人信息的目的、类型；

　　2.在申请打开位置、相机、电话等可收集个人信息的权限，以及收集用户身份证号等个人敏感信息时，未同步告知用户其目的。

　　1.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　1.将targetSDKversion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限；

　　3.既未经用户同意，也未做匿名化处理，通过客户端嵌入的头条等SDK向第三方提供设备IMEI号等个人信息；

　　2.未逐一列出嵌入的Talkyun等第三方SDK收集使用个人信息的目的、类型；

　　2.未建立并公布有效的个人信息安全投诉、举报渠道：在线反馈问题显示“客服不在线，系统将自动断开会线分钟拨打客服电话，均提示“坐席忙，继续等待请按1，结束请挂机”；

　　3.未逐一列出嵌入的极光推送等第三方SDK收集使用个人信息的目的、类型。

　　1.因用户不同意收集非必要的性别、出生日期等个人信息，拒绝提供所有业务功能；

　　2.未逐一列出嵌入的新浪微博、友盟、百川多媒体等第三方SDK收集使用个人信息的目的、类型；

　　3.在申请打开存储、位置等可收集个人信息的权限时，未同步告知用户其目的。

　　2.在申请打开存储、电话、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　1.既未经用户同意，也未做匿名化处理，客户端向第三方传输设备IMEI号、IMSI号等个人信息；

　　1.在申请打开位置等可收集个人信息的权限，以及收集支付宝账号等个人敏感信息时，未同步告知用户其目的；

　　2.在申请打开电话、存储等可收集个人信息的权限时，未同步告知用户其目的。

　　1.未逐一列出嵌入的QQ互联移动应用、腾讯TBS、支付宝等第三方SDK收集使用个人信息的目的、类型；

　　2.在申请打开电话、存储等可收集个人信息的权限时，未同步告知用户其目的；

　　1.未逐一列出嵌入的米推、腾讯、新浪微博等第三方SDK收集使用个人信息的目的、类型；

　　2.收集的用户生日、学校、公司、职业、情感状态等个人信息与所提供的业务功能无关。

　　1.未逐一列出嵌入的友盟、阿里等第三方SDK收集使用个人信息的目的、类型；

　　1.既未经用户同意，也未做匿名化处理，通过客户端嵌入的字节跳动、搜狗等SDK向第三方提供设备IMEI号等个人信息；

　　2.在申请打开位置、相机等可收集个人信息的权限时，未同步告知用户其目的；

　　3.未逐一列出嵌入的字节跳动、搜狗等第三方SDK收集使用个人信息的目的、类型；

　　1.在申请打开位置、存储等可收集个人信息的权限时，未同步告知用户其目的；

　　2.未明示收集的用户身份证号、手机号码等个人敏感信息的目的、方式和范围。

　　1.既未经用户同意，也未做匿名化处理，通过客户端嵌入的友盟、头条等SDK向第三方提供设备IMEI号等个人信息；

　　2.在申请打开电话、存储、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　3.未逐一列出嵌入的友盟、头条等第三方SDK收集使用个人信息的目的、类型；

　　2.未逐一列出嵌入的高德地图、bugly等第三方SDK收集使用个人信息的目的、类型；

　　3.在申请打开电话、位置等可收集个人信息的权限时，未同步告知用户其目的；

　　注：上表中运营者名称，来自App自行提供的隐私政策中的名称，或应用商店所注开发者名称。

　　App专项治理工作组组长 程多福：从这次通报的两批81款App来看，它主要涉及到学习教育类、网络游戏类、网络金融类、拍照美容类。我们发现了140款App，存在一些超出必要范围信息收集等典型问题在反弹，在个人隐私保护这部分还存在问题。发现了200多个超出必要范围收集、未经同意向第三方发送等典型问题。

　　程多福介绍，下一步将重点针对疫情防控和复工复产相关App、小程序、收集使用儿童个人信息的App、涉及使用人脸识别技术的App、涉及疑似使用“监听麦克风”“监控文字输入”等方式的App进行集中治理。对拒不整改、改头换面逃避打击等情节严重的违法违规行为，将加大处罚力度。

　　使用导航需要通话权限、玩游戏需要交出短信权限，不给权限应用就无法打开，这种超过实际需求索要权限的情况，眼下在手机应用市场上相当普遍。日前，上海市公安局网安总队对5000款移动App开展安全检查，检测出具有安全隐患的App应用多达3400多款。

　　大四学生小刘下载了一款植物大战僵尸2，本以为单机游戏，不需要连接网络，然而游戏索要了包括通话状态等在内的设备信息，甚至还要求访问设备上的照片、媒体内容和文件。一旦用户选择拒绝其中一项，这款游戏就会自动退出。

　　用户让这些App获取权限后，又会带来哪些危害？民警挑选了几款App进行测试，其中一款社交类App打开后并未索取任何权限，然而测试人员利用软件却捕捉到其窃取了手机中通讯录的24个联系人，并且还将联系人信息进行了上传。

　　另一款直播类App则是跳出了索要通讯录、查看短信等权限的要求，但查看其网络行为后可以发现，其不仅收集，还擅自将这些信息上传到了第三方的服务器。

　　上海市公安局网安总队研导科民警 苗婕：这属于非法采集公民的个人信息，可能涉及公民个人信息的买卖、泄漏，把这些信息分析后能还原出网民或者用户的身份、职业，就更方便他们针对性进行网络诈骗的活动。

　　在此次手机应用软件专项整治中，上海市公安局累计检测了5000余款移动App，其中涉嫌诈骗的违法App应用233款，涉嫌超范围采集公民个人信息的App应用128款。

　　上海市公安局网安总队研导科副科长李骧表示，对于情节轻微的予以提醒，要求他们整改。如果情况较严重，视情节开展查处 ，包括警告和罚款。

　　中国电信云堤·隐私哨兵是一套完整的移动互联网应用隐私合规风险检测与分析系统。它基于AI检测技术，深度挖掘隐私风险源头，提供移动应用隐私场景检测能力，支持全类型移动应用文件的检测，帮助您快速、精准的发现应用隐私风险。