【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告（0420-0503）

2026-05-21

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0420-0503）

●最新公开通报动态

公开通报动态

●公开通报详情汇总

公开通报问题分析

公开通报问题汇总

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析

最新公开通报动态

1. 公开通报动态

依据“宁夏回族自治区通信管理局官网”发布，4月22日，宁夏回族自治区通信管理局依据相关法律法规，持续开展APP（小程序）个人信息保护和网络数据安全治理。2025年12月31日抽测发现9款APP（小程序）存在侵害用户权益问题，通知整改后仍有3款未改，宁夏回族自治区通信管理局现予通报。2025年11月27日通报8款小程序整改，至今7款未完成，宁夏回族自治区通信管理局现予全网下架。
依据“浙江省通信管理局官网”发布，4月23日，浙江省通信管理局依据相关法律法规的要求，对APP、小程序违法违规收集使用个人信息等问题开展治理，截至目前，经核查复检，尚有7款APP、小程序未按要求完成整改，浙江省通信管理局现予以通报。
依据“青海省通信管理局官网”发布，4月24日，青海省通信管理局依据相关法律法规的要求，对省内5A和4A景区开发（运营）的APP和小程序，开展侵害用户权益专项整治工作。截至目前，发现问题APP和小程序25款，其中已督促整改21款，尚有4款APP和小程序未按要求完成整改，青海省通信管理局现予以通报。
依据“中央网络安全和信息化委员会办公室官网”发布，4月27日，中央网络安全和信息化委员会办公室依据相关法律法规的要求，对APP（含小程序）收集使用个人信息行为进行检测。现对33款应用问题予以通报。
依据“四川省通信管理局官网”发布，4月30日，四川省和重庆市通信管理局依据相关法律法规的要求，组织第三方检测机构对川渝两地主流应用商店移动互联网应用程序（APP/小程序）进行了检查，截至目前，仍有8款APP/小程序未按要求完成整改，上述APP应限期完成整改落实工作，逾期不整改的，四川省和重庆市通信管理局将依法依规进行处置。
依据“国家计算机病毒应急处理中心官网”发布，4月30日，国家计算机病毒应急处理中心依据相关法律法规，检测发现67款移动应用存在违法违规收集使用个人信息情况。上期通报的国家计算机病毒应急处理中心检测发现的71款违法违规移动应用，经复测仍有17款存在问题，相关移动应用分发平台已予以下架。

公开通报详情汇总

1. 公开通报问题分析

依据近两周公开通报数据，发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1) 问题行业TOP3：

实用工具类

学习教育类

问诊挂号类

2) 隐私合规问题TOP3：

TOP1：认定方法 2-1 ：未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围

TOP2：认定方法3-8：未向用户提供撤回同意收集个人信息的途径、方式

TOP3：个保法-15：基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式

2. 公开通报问题汇总

针对国家近两周公开通报数据，依据问题类型，统计涉及APP数量如下：

问题分类	问题数量
191-2-1 未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围	34
191-3-8未向用户提供撤回同意收集个人信息的途径、方式	19
个保法-15 基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式	19
个保法-51 未采取相应的加密、去标识化等安全技术措施	18
164-1 违规收集个人信息	17
191-6-1未提供有效的更正、删除个人信息及注销用户账号功能	17
191-1-2在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则	15
191-5-2既未经用户同意、也未做匿名化处理，数据传输至APP后台服务器，向第三方提供其收集的个人信息	15
个保法-23 个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意	15
191-1-1在APP中没有隐私政策，或者隐私政策中没有收集使用个人信息规则	13
191-1-3隐私政策等收集使用规则难以访问，如进入APP主界面后，需多于4次点击等操作才能访问到	13
191-3-4以默认选择同意隐私政策等非明示方式征求用户同意	13
个保法-17 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。	13
191-1 未公开收集使用规则	10
191-6-2为更正、删除个人信息或注销用户账号设置不必要或不合理条件	9
191-2 未明示收集使用个人信息的目的、方式和范围	8
个保法-31 个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意	7
191-6-3虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理	6
个保法-50 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由	6
164-5 APP强制、频繁、过度索取权限	4
191-4 违反必要原则、收集与其提供的服务无关的个人信息	4
T0171-6 个人金融信息展示存在违规：a)未登录状态展示C3类个人金融信息；b)登录后全明文展示C3类个人金融信息（银行卡有效期除外）；c)银行卡号、手机号码、证件识别信息、其他个人标识信息未做屏蔽；d)用户需要完整展示银行卡号、手机号码、证件识别信息、其他个人标识信息时未做用户身份验证	4
个保法-24 通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式	4
191-3 未经用户同意收集使用个人信息	3
191-3-1征得用户同意前就开始收集个人信息或打开可收集个人信息的权限	3
164-2 超范围收集个人信息	2
191-5 未经同意向他人提供个人信息	2
164-6 APP频繁自启动和关联启动	1
个保法-30 个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外	1
总计	295

针对国家近两周公开通报数据，依据APP类型，统计出现通报的APP数量如下：

APP类型	APP数量
实用工具类	27
学习教育类	21
问诊挂号类	11
本地生活类	7
网络社区类	7
网上购物类	7
旅游服务类	6
拍摄美化类	5
网络游戏类	5
运动健身类	5
手机银行类	4
地图导航类	3
其他	3
网络借贷类	3
用车服务类	3
餐饮外卖类	2
电子图书类	2
演出票务类	2
房屋租售类	1
婚恋相亲类	1
求职招聘类	1
新闻资讯类	1
远程会议类	1
在线影音类	1
总计	129

漏洞风险分析

从全国的Android APP中随机抽取了709款进行漏洞检测发现，存在中高危漏洞威胁的APP为519个，即73.2%以上的APP存在中高危漏洞风险。而这519款漏洞应用中，有高危漏洞的应用共404款，占比77.84%，有中危漏洞的应用共502款，占比96.72%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：