Aggregator

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，40款移动应用存在违法违规收集使用个人信息情况，具体通报如下：

1、未逐一列出收集、使用个人信息的目的、方式、范围。涉及16款移动应用如下：

《壹达外卖》（版本6.0.202509021，应用宝）、《眼护士》（版本3.8.34，OPPO软件商店）、《医护到家-快天使医护到家用户版》（版本2.152，应用宝）、《护士之约》（版本2.2.64，vivo应用商店）、《体检宝》（版本9.5.2，vivo应用商店）、《AQ》（版本1.0.36.8000，应用宝）、《药安食美》（版本1.1.5.3，应用宝）、《云到》（版本5.5.6，OPPO软件商店）、《快滴顺风车》（版本3.2.0，OPPO软件商店）、《妙看极速版》（版本7.8.5，OPPO软件商店）、《优e司机极速版》（版本6.30.5.0018，应用宝）、《药约約》（版本2.7.58，百度手机助手）、《体检报告助手》（版本9.6.4，应用宝）、《爱康约体检查报告》（版本8.2.7，豌豆荚）、《淘粉吧》（版本12.69.0，豌豆荚）、《高佣联盟》（版本6.4.42，豌豆荚）。

2、在申请打开可收集个人信息的权限时，未同步告知用户其目的。涉及1款移动应用如下：

《掌上药店》（版本6.3.9，百度手机助手）。

3、征得用户同意前就开始收集个人信息。涉及2款移动应用如下：

《返利淘联盟》（版本8.6.9，豌豆荚）、《e看牙》（版本4.37.2，豌豆荚）。

4、实际收集的个人信息超出用户授权范围。涉及16款移动应用如下：

《壹达外卖》（版本6.0.202509021，应用宝）、《眼护士》（版本3.8.34，OPPO软件商店）、《医护到家-快天使医护到家用户版》（版本2.152，应用宝）、《护士之约》（版本2.2.64，vivo应用商店）、《体检宝》（版本9.5.2，vivo应用商店）、《药安食美》（版本1.1.5.3，应用宝）、《云到》（版本5.5.6，OPPO软件商店）、《快滴顺风车》（版本3.2.0，OPPO软件商店）、《妙看极速版》（版本7.8.5，OPPO软件商店）、《Party Play》（版本3.16.0，vivo应用商店）、《优e司机极速版》（版本6.30.5.0018，应用宝）、《药约約》（版本2.7.58，百度手机助手）、《体检报告助手》（版本9.6.4，应用宝）、《爱康约体检查报告》（版本8.2.7，豌豆荚）、《淘粉吧》（版本12.69.0，豌豆荚）、《高佣联盟》（版本6.4.42，豌豆荚）。

5、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及1款移动应用如下：

《药安食美》（版本1.1.5.3，应用宝）。

6、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及2款移动应用如下：

《手机血压血糖管理》（版本1.0.16，应用宝）、《手机测血压血糖》（版本1.0.10，应用宝）。

7、实际收集的个人信息超出相关功能的必要范围。涉及10款移动应用如下：

《熊猫霸王餐》（版本1.3.6，应用宝）、《AQ》（版本1.0.36.8000，应用宝）、《小镇外卖》（版本3.1.3，华为应用市场）、《云到》（版本5.5.6，OPPO软件商店）、《果冻宝盒》（版本4.7.9，OPPO软件商店）、《淘返联盟》（版本2.7.9，小米应用商店）、《悦拜》（版本4.7.3，小米应用商店）、《返利机器人》（版本1.0.1，应用宝）、《慢慢买》（版本4.9.60，小米应用商店）、《快鸟返利》（版本2.9.10，小米应用商店）。

8、未向用户提供个人信息相关投诉渠道或功能。涉及5款移动应用如下：

《赏帮赚》（版本5.2.7，豌豆荚）、《护士通》（版本3.4.5，vivo应用商店）、《花生返利》（版本1.7.6，vivo应用商店）、《血压血糖宝》（版本1.0.17，应用宝）、《掌上药店》（版本6.3.9，百度手机助手）。

9、未向用户提供更正或补充其个人信息的具体途径。涉及3款移动应用如下：

《金牌护士》（版本5.1.10，华为应用市场）、《血压血糖仪》（版本1.0.9，小米应用商店）、《熊猫药药》（版本3.6.3，vivo应用商店）。

10、未向用户提供删除其个人信息的具体途径。涉及3款移动应用如下：

《金牌护士》（版本5.1.10，华为应用市场）、《血压血糖仪》（版本1.0.9，小米应用商店）、《熊猫药药》（版本3.6.3，vivo应用商店）。

11、未向用户提供注销账户的途径和方式。涉及1款移动应用如下：

《游戏接单》（版本2.0.4，应用宝）。

12、注销账户的流程中设置不合理的条件或提出额外要求。涉及1款移动应用如下：

《护士通》（版本3.4.5，vivo应用商店）。

13、未提供退出或关闭个性化展示模式的选项。涉及1款移动应用如下：

《Party Play》（版本3.16.0，vivo应用商店）。

14、广告存在误导、欺骗用户行为。涉及2款移动应用如下：

《血压血糖免费测》（版本1.3.0，华为应用市场）、《赚赚》（版本2.5.0，应用宝）。

上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的34款违法违规移动应用，经复测仍有9款存在问题，相关移动应用分发平台已予以下架。

（注：以上所列移动应用检测时间为2025年9月28日至2025年10月16日）

来源：国家网络安全通报中心

公安部近日公布40款违法违规收集个人信息的移动应用，再次揭示出部分企业在用户数据管理方面存在意识薄弱与机制缺失的问题。随着《网络安全法》《数据安全法》《个人信息保护法》的深入实施与监管力度持续加大，隐私合规已成为企业必须履行的法律责任和社会义务。

通报名单涵盖医疗、外卖、电商等多个涉及高敏感数据处理的行业。部分应用在多个违规类别中重复出现，反映出企业在合规体系建设方面存在系统性不足。此外，诸如“未设置用户投诉渠道”“注销流程设置不合理障碍”等问题，进一步暴露出对用户权利保障的忽视。此类行为不仅损害用户体验，更可能引发法律纠纷与品牌信誉风险。

基于本次通报中涉及的14类违规问题，梆梆安全将其归纳为以下主要类型：

告知-同意机制缺失：包括未明确告知个人信息收集目的、未在申请权限时同步说明用途、以及在未征得用户同意前提前收集信息；

超范围收集与使用：表现为实际收集信息超出用户授权或业务功能必要范围，或在系统配置中声明与功能无关的权限；

用户权利保障不足：如未提供投诉、更正、删除、注销等功能，或在注销流程中设置不合理条件；

透明度与可控性缺失：包括未提供关闭个性化展示模式的选项，以及广告中存在误导、欺骗用户的行为。

当前，不少企业仍停留在“被动合规”阶段，仅在面临监管检查时采取临时应对措施，缺乏持续、体系化的合规运营机制。在监管不断趋严的背景下，移动应用运营者亟需建立覆盖全生命周期的个人信息保护体系。

梆梆安全依托在移动安全领域十余年的技术积累与实战经验，系统构建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业系统化构建合规能力，实现持续符合监管要求。

梆梆安全移动应用合规检测框架

行业实践

某运营商省公司深耕本地通信市场，依托集团强大的技术研发与运营能力，建立起覆盖移动语音、数据传输、宽带接入及多媒体服务的综合业务体系并持续创新，致力于为超千万本地用户及政企客户提供高效、安全、智能的通信服务。伴随5G与移动互联网的深入发展，其电子渠道业务在快速扩张的同时，也面临欺诈行为频发、黑灰产攻击手段持续演进、数据与合规监管日益严格等挑战。

为建立覆盖 “事前预警—事中拦截—事后追溯” 的全流程风控机制，该客户与梆梆安全展开合作，依托全渠道应用安全监测平台，构建电子渠道移动业务风控模型。项目显著增强了移动终端环境下的风险感知与应对能力，有效支撑业务平稳运行，为电子渠道业务的安全、合规与可持续发展奠定坚实基础。

在电子渠道业务高速发展的行业环境下，安全形势日趋复杂严峻。随着5G网络与移动互联网的全面渗透，电信行业电子渠道业务呈现爆发式增长。

一方面，客户信息泄露、交易数据篡改等安全事件屡有发生，监管部门陆续颁布法律法规对数据安全与交易合规提出了更为严格的要求；

另一方面，黑灰产攻击手段不断升级，跨平台、自动化的新型欺诈模式使得风险防控难度显著提升。

该运营商省公司面临欺诈风险频发、合规压力加大、传统风控手段效果不彰等多重挑战：

电子渠道中存在的账户盗刷、虚假交易、恶意注册等问题，严重威胁客户资金安全与企业声誉。

监管部门对电信行业执行严格的合规管理，要求企业在身份核验、交易数据留存、反洗钱监测等关键环节建立健全机制，以保障业务合法合规。

原有基于规则引擎的风控体系，已难以适应欺诈模式的动态变化。面对黑灰产利用AI技术模拟真人操作、跨平台协同作案等新型攻击方式，风险识别存在明显滞后，漏报率居高不下。

为有效应对电子渠道业务的风险挑战，实现安全与效率的平衡，该运营商省公司联合专业技术团队，启动了移动端电渠业务风控系统建设项目。该项目旨在借助大数据分析、机器学习等智能技术，构建覆盖事前预警、事中拦截、事后追溯的全流程风控体系，实现欺诈行为的精准识别，降低合规风险，提升用户体验，为电渠业务的可持续健康发展奠定坚实基础。

一项目实施

梆梆安全基于该运营商省公司的网络与信息安全核心平台，构建了电子渠道移动业务风控模型。在移动业务基础上，采集业务场景风险数据与安全攻击数据，结合大数据分析引擎及机器学习算法进行数据处理与分析，实时监控移动应用各类运行时攻击，并提供安全风险阻断与处置、事后攻击溯源分析等服务。

依托梆梆安全全渠道应用安全监测平台原子能力所构建的电子渠道移动业务风控模型，协助该运营商省公司的APP及小程序建立移动端运行时动态安全监测体系，并与静态安全防护形成联动，实现对安全威胁的实时感知与处置。

通过在前端应用（APP、小程序）中集成探针，实时检测前端数据及风险（客户端数据采集范围涵盖设备信息、系统信息、应用列表、进程信息、GPS、Wifi信息、IP信息），同时后端接入日志信息并进行解析与检测，助力该运营商省公司感知客户端风险，达成端到端的安全协同，实施多样化的业务渠道风险防御。

端到端风险交叉验证

黑灰产的攻击行为常伴随应用服务客户端的伪造或篡改，因此对客户端环境威胁进行检测，可辅助乃至直接判定请求的风险属性。平台通过客户端植入探针实施环境威胁检测，利用API请求将客户端检测结果上报至服务器端，在服务器端结合请求流量/日志特征开展威胁攻击交叉验证，从而增强风险检测能力，形成从客户端至服务端的全链路风险识别机制。

应对高级拟人化攻击

通过对产品接入的访问流量/日志进行机器学习建模，学习并构建不同正常访问基线，掌握访问渠道特征、设备指纹特征等，进而对常规方法难以识别的高级黑灰产攻击行为实现模型化特征识别，达成较传统防护站点更为精细的检测模型自动配置，通过机器学习实现人工难以完成的精细化运维能力。

复杂网络环境数据采集

产品通过反向代理与镜像流量，全面支持串行及旁路两种数据接入模式，同时支持以访问日志形式接入客户数据。产品充分考量复杂多变的客户网络环境与多样流量情形，提供多种接入方式以适应各类业务场景，力求实现最大范围的业务覆盖。

二项目价值

1. 构建全方位风控体系：针对移动终端操作风险实施监测、预警、阻断与溯源，弥补了业务反欺诈及风控系统在移动终端风险监测方面的不足，有效检测包括人脸识别绕过、优惠券薅羊毛等在内的业务安全风险。

2. 重点时段安全保障：在攻防演练、重保等场景中，依托平台可持续发现并分析威胁攻击行为，并对攻击行为进行实时监测与预警。以攻防演练期间成果为例，累计发现应用威胁数万次，检测出异常环境风险设备数万台，识别安全事件500余起，事件设备近200台，涉及18个地域，攻击源数百个，处置设备数十台。

3. 业务安全合规保障：日常运营过程中，平台一方面能够主动识别业务所遭受的攻击，并及时向业务部门反馈；另一方面可协助业务部门开展攻击事件的溯源与取证工作，全面保障电渠业务的安全性及合规性。

在运营商行业持续推进数字化转型、电子渠道业务规模不断扩大的背景下，移动应用安全与实时风控能力已成为保障用户信任与业务稳健发展的核心要素。梆梆安全依托在通信行业多年积累的风控实战经验与技术沉淀，致力于为运营商客户构建一体化安全防护体系，助力其实现电子渠道业务的高质量、合规性与可持续发展。

行业实践

某大型航司旗下官方APP为用户提供航班预订、值机及会员服务等一站式出行服务。随着业务线上化程度加深，该APP面临恶意攻击、盗版仿冒与数据窃取等多重安全威胁。为此，航司引入梆梆安全提供的移动应用安全与合规解决方案，涵盖安全加固、渠道监测、通信协议保护与个人信息合规检测等服务，全面构建覆盖应用生命周期的安全防护体系，有效提升安全自治与主动防御能力，保障业务合规稳健运行。

某航司客户旗下电子商务公司为该航司旗下全资子公司，成立于2014年，总部设于上海，主要负责该航司电子商务平台的开发与运营。该公司所开发的官方APP专注于为乘客提供航班预订、在线值机、会员服务等一站式航空出行服务。

自上线以来，该APP持续面临恶意攻击、盗版仿冒及数据窃取等多重安全威胁，不仅对企业造成经济损失，也对其品牌声誉带来风险。为系统应对上述挑战，该航司亟需构建一套完整的移动应用安全与合规防护体系，以保障业务运营的安全性与合规性。

一项目实施

基于航司客户的安全需求，梆梆安全为其提供涵盖安全加固、通信协议保护、渠道监测以及个人信息隐私合规检测在内的综合解决方案。

安全加固

在安全加固方面，对航司APP的Android、iOS、鸿蒙NEXT、小程序及H5等多端应用实施全面防护，有效提升其防反编译、防二次打包、防数据泄露与防动态调试等安全能力。

渠道监测

渠道监测服务持续对盗版应用、仿冒应用及航司自身运营数据进行监测，并每月输出渠道监测报告，帮助航司掌握外部渠道动态，及时洞察并应对潜在风险。

通信协议保护

通过集成通信协议SDK至航司APP，为其通信过程提供数据加密与完整性保护能力。同时，依托密钥白盒技术，实现对通信密钥的安全保护。

合规检测

在个人信息隐私合规检测方面，依据工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）、四部委《APP违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）以及《关于开展2025年个人信息保护系列专项行动的公告》等监管要求，对航司APP开展全面检测。检测完成后，提供详尽的隐私合规检测报告，明确列出可能存在的违法违规收集使用个人信息问题，并针对性提出整改建议，协助航司完成相关整改工作。

二项目价值

1. 搭建全面移动应用安全防护体系：通过安全加固服务，显著提升航司APP的整体安全防护能力，有效抵御反编译、二次打包、内存注入、动态调试、数据窃取、交易劫持及应用钓鱼等常见攻击手段，切实保障代码与数据资产安全，维护航司品牌形象与市场信誉。

2. 渠道侵权与仿冒动态监测机制：依托渠道监测服务，实现对应用发布后运营数据与市场环境的持续追踪，及时发现盗版、仿冒等侵权情况，有效防止用户因下载恶意应用而导致信息泄露，保障用户权益与公司声誉不受侵害。

3. 端到端通信链路安全保障：通过集成通信协议保护SDK，构建客户端与服务端之间安全可信的通信通道，防止传输数据被窃取、解析、篡改或非法利用，确保业务数据的完整性、机密性与可用性。

4. 个人信息合规风险系统性管控：系统提升航司APP在个人信息处理方面的合法合规水平，显著降低因违规操作引发的监管通报或应用下架风险，为业务持续健康发展构建合规基础。

在交通行业数字化与服务智能化不断深化的背景下，移动应用安全与个人信息保护已成为保障旅客体验与行业信用的关键支撑。梆梆安全将持续发挥技术优势，致力于为交通领域客户构建安全、可信、合规的移动业务生态，助力航司及更多交通企业在数字时代实现高质量、可持续的发展。