近日，工信部发布了2024年第1批关于侵害用户权益行为的APP（SDK）通报，通报了秀动、闲鱼、高德地图等31款APP（SDK）存在侵害用户权益行为：

01/ APP的哪些行为会被通报？

从以往通报信息中可见，主要被通报的违法行为包括以下几种类型——

违规收集个人信息； App强制、频繁、过度索取权限；违规使用个人信息；超范围收集个人信息；强制用户使用定向推送功能；欺骗误导用户下载App；应用分发平台上的App信息明示不到位；欺骗误导用户提供个人信息；应用分发平台管理责任不到位；账号注销难；私自共享给第三方；不给权限不让用等等。

其中，“违规收集个人信息”、“App频繁、强制、过度索取权限”、“违规使用个人信息”是App被通报原因中的Top3。

1、违规非法收集个人隐私

这里所说的信息主要是指可以追踪、定位、识别个人身份的能力，多采用隐式方式获取。违规收集个人信息主要指如下场景：

（一 ） 未公开收集规则、目的、方式、范围

• 缺少隐私政策，或者隐私策略不规范；
• 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等；
• 隐私政策难访问、难阅读（文字过小过密、颜色过淡、模糊不清） ；
• App或者SDK收集目的、方式、范围披露不完整；
• 隐私策略变更时，未以显著方式通知用户；
• 申请权限或获取身份证号/银行账号等个人敏感信息时，未同步告知用户其目的或目的不明确。

（二） 未经用户同意就开始搜集个人信息

• 未经用户同意则收集；
• 用户明确表示不同意后仍搜集；
• 用户不同意后仍频繁征求用户同意，影响使用；
• 搜集信息超出用户授权范围或违反声明；
• 默认选择同意隐私政策 ；
• 定向推送信息，未显示可关闭选项 ；
• 未向用户提供取消“同意收集个人信息”的途径、方式；

2、APP频繁、强制、过度索取权限

常见的表现有：

• 频繁索取：用户明确拒绝了定位申请的情况下，App仍在后续运行期间，通过多种方式频繁向用户申请；
• 强制索取：App首次启动时，向用户索取IMEI权限用作设备ID。当用户选择拒绝授权，则会被直接退出；
• 过度索取权限：阅读工具索取通讯录权限等。

3、违规使用个人信息

常见的表现有：未向用户告知且未经用户同意，私自使用个人信息，将用户个人信息用于其提供服务之外的目的，特别是私自向其他应用或服务器发送、共享用户个人信息的行为。

基于APP常见的安全与合规问题，网安云推出一系列移动应用安全服务套餐。

从“编码规范”、“发布规范”、“代码安全”、“环境安全”、“组件安全”、“数据安全”等多个维度，为APP做全方位的应用安全检测。

并基于检测结果，采用代码混淆、代码加壳、防调试保护等技术手段，对APP进行安全加固。达到防止应用被静态分析和动态调试、保护应用内敏感数据、防止二次打包的目的。

既能降低被通报的风险、满足APP整改需求，同时也帮助该APP降低app因数据泄露等安全风险。

点此咨询：移动应用安全测试与加固服务

​