本次检测采用奇安信QADE引擎。奇安信QADE引擎是首款既支持对APP进行传统恶意检测，并支持对违规收集个人信息及索取权限检测等APP当下流行问题进行检测的综合一体化动态引擎。

此次检测采用该引擎对违规收集个人信息进行检测。这个问题也是APP侵害用户权益问题中比较常见且影响较深的问题。

此次APP收集个人信息检测，我们参考了以下相关的国家法律法规作为检测标准依据：

• 《网络安全法》

• 《电信和互联网用户个人信息保护规定》

• 《GB/T 35273-2020信息安全技术个人信息安全规范》

• 《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》（工信部信管函〔2019〕337号）

• 《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）

• 《APP违法违规收集使用个人信息行为认定方法》

在对2023年度应用市场新收录的APP抽查发现，存在相当部分APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息;这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。

所以，我们根据《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》工信部信管函〔2019〕337号文件、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》工信部信管函〔2020〕164号文件、《关于开展纵深推进APP侵害用户权益专项整治行动的通知》第三条以及《网络安全法》第四章对收录的APP进行检测，此次APP收集个人信息检测，我们使用了奇安信QADE引擎对以下侵害用户权益的检测内容进行自动化检测：

• 违规收集个人信息：

    1.无提示收集个人信息

检测存在无隐私说明提示或者未点同意隐私协议便开始收集用户个人信息。

    2.高频次收集个人信息

检测存在按频率(每百秒的收集次数)收集用户个人信息。

检测周期为2023年1月1日至2023年12月31日应用市场的新收录新更新数据，主要来源于34个应用市场，其中应用数量最多的分别是华为应用市场、360手机助手应用市场和豌豆荚应用市场。

本次检测到的违规收集个人信息问题的APP中，生活休闲和网上购物的APP违规占比最高，分别占比18.5%和12.0%。存在违规收集个人信风险的APP类型分布具体情况可见下图：

在本次检测抽检的头部主流APP中，发现34262个APP存在无提示收集个人信息，占比4.3%。纵观2023年上半年和下半年的检出情况，下半年的检出率（2.0%）较上半年检出率（5.9%）稍呈下降趋势。具体分布如下图所示：

根据《GB/T 35273-2020信息安全技术个人信息安全规范》中的个人信息内容定义，奇安信QADE引擎进行了收集个人信息的类型检测。我们发现此次检测到的无提示收集个人信息的类型主要有4个。其中主要为个人常用设备信息Android IDⁱ，其次为个人常用设备信息IMEIⁱⁱ、个人常用设备信息MAC地址ⁱⁱⁱ和个人常用设备信息Serial Number^iv；同时，我们还发现存在个别APP还收集了用户的定位信息、用户当前电话号码和用户已安装应用信息。

在此次2023年度检测中，APP无提示收集信息类型排名前四的依次为：Android ID（占比73.9%）、IMEI（占比58.5%）、MAC地址（占比34.6%）以及Serial Number(占比27.3%)。具体APP无提示收集个人信息的类型及占比分布如下图所示：

从2023年上半年和下半年来看，Android ID、IMEI、MAC地址和Serial Number这四类无提示收集个人信息的APP占比在逐步减少。其中Android ID从76.5%下降到65.6%，占比下降了10.9个百分比，IMEI下降了10.8个百分比。MAC地址占比下降最多，下降了15.8个百分比。

从不同类型无提示收集信息的APP在上半年和下半年的占比情况来看，占比最大的无提示收集信息类型始终是Android ID，其次为IMEI和MAC地址。具体分布如下图所示：

本文中，我们将一百秒内，单个APP收集个人信息次数大于等于2次的行为定义为存在“高频次收集个人信息”问题。

2023年度检测中，违规收集个人信息的APP中有58.8%的APP还存在高频次收集个人信息，高频次收集个人信息情况依然较为严重，下半年高频次收集个情况和上半年相比情况稍好，下半年高频次收集下降了13.6个百分比。其中最高一款APP在短短一百秒对个人信息IMEI收集了440次。

高频次收集个人信息主要还是集中在Android ID、IMEI和MAC地址中，在收集Android ID和IMEI的APP中，平均每个APP都收集了至少4次。

本次检出的高频次收集个人信息的APP中，大部分APP高频次收集次数主要集中在2~5次，占比65.5%，其次是6~10次占比20.0%和11~20次占比8.8%，超过20次的占比也达到了5.7%。详细分布可见图表：

本次检测到的违规收集个人信息问题的APP中，有74.4%的APP包含了第三方SDK收集情况。下半年和上半年相比，第三方SDK收集情况并无太大变化。这意味着当前多数APP自身不存在违规收集个人信息行为，主要还是集成了第三方SDK后而造成的APP出现违规收集个人信息问题。

在本次2023年度检测中，在违规收集个人信息第三方SDK中，排名靠前的SDK都为市场知名SDK，其中一知名SDK占比高达23.2%，具体分布如图：

本次检测到的包含第三方SDK违规收集个人信息问题的APP中，大部分APP都是由于集成了一款违规SDK而导致违规，这部分占比71.2%，少部分APP集成至少两款违规收集个人信息的第三方SDK，占比28.8%。具体占比情况如图：

此次检测到侵犯用户权益的APP中（存在违规收集个人信息），我们发现其中有21款APP下载量在亿次以上，有111款APP下载量在千万次以上，183款APP下载量在百万次以上。可见APP侵害用户权益问题的影响面非常广，至少影响到上亿用户。

从2023年度检测的结果来看，在国家相关的法律法规下，今年侵害用户权益APP的检出率较低，整体趋势处于下降趋势；但从侵害用户权益APP的下载量来看，影响面仍较广，这也代表该问题仍需要继续保持治理。

在此次检测的发现的主要问题，虽有一部分APP是自身产生的违规收集个人信息情况，但更多的是由于集成了第三方SDK导致。因此我们也建议一方面第三方SDK厂商在整改后，在如何更好的引导APP开发者按新版按要求更快速更便捷的进行升级解决做的更好，在做好自己的这个点的同时，也能和APP开发者这个上游点能联动形成一条安全线。另一方面APP开发者也要有相应的个人信息安全意识，按照国家法律法规，不进行违规收集个人信息。