一、 监管问题

1、网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》正式发布

SDK违法违规收集用户个人信息问题成为2020年个人信息保护监管的重点关注之一，针对这一问题信安标委于2020年11月27日正式发布《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》（简称为《SDK安全指引》）。《SDK安全指引》针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了App提供者、SDK提供者针对SDK安全问题的实践指引。

2、国家标准：《信息安全技术 个人信息安全影响评估指南》正式发布

2020年11月19日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第26号）上，GB/T39335-2020《信息安全技术个人信息安全影响评估指南》（简称为“《指南》”）国家标准正式发布。《指南》是《个人信息保护法（草案）》和《个人信息保护规范》标准落地的重要抓手，是我国个人信息安全保护标准体系的关键环节。它规定了个人信息安全影响评估的基本概念、框架、方法和流程，并提出了特定场景下进行评估的具体方法。适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。

3、工信部及地方通管局App个人信息保护整治

（1）工信部通报下架60款侵害用户权益App

工信部于2020年10月26日向社会通报了131款侵害用户权益的App，后于2020年11月9日通报了其中未按照要求整改的60款App。此处下架App数量为工信部历次通报之最，可以看出工信部惩治力度进一步增强。

（2）广东通管局责令整改85款App,行政处罚3款App

广东通管局对 “红娘婚恋”等85款App运营者发出《违法违规App处置通知》责令限期改正并通知各应用商店督促整改，对问题突出的“捷停车”“驾考家园”“凯立德导航”3款App运营企业做出警告并罚款的行政处罚决定。被查处的App存在两方面问题，一是App及其后台服务器存在“明文存储密码”“反编译”“SQL注入”等数据安全隐患问题；二是违反用户个人信息保护规定，包括“未公开明示收集规则”“默认勾选同意隐私协议”“未列明所集成SDK及其采集信息”“为注销账号、删除个人信息设置障碍”“未经用户同意共享给第三方”等侵犯用户对其个人信息处理享有的知情权、决定权，以及违反最小必要原则超前、超需、超频索取权限或采集信息，甚至不给必需权限不让用等强迫行为。

（3）北京通管局约谈3家知名App企业，责令限期整改

北京通管局在抽测中发现闪送、瓜子二手车以及聚美优品移动APP等三家公司存在违规收集使用用户信息、强制授权等问题。11月16日，北京市通信管理局约谈了相关公司负责人，就三家公司移动APP存在的问题发出书面整改通知，责令限期整改。

4、App治理工作组通报35款存在个人信息收集使用问题的App

2020年11月13日，App治理工作组通报了35款存在个人信息收集使用问题的App，包括新浪微博、航旅纵横等知名App。App治理工作组要求相关App运营者在30日内向工作组反馈整改情况。通报涉及的问题包括：App明文上传用户账户、密码；申请打开权限或收集个人敏感信息时，未同步告知目的；频繁索权；未明示第三方SDK收集使用个人信息的目的、类型等。

二、风险问题

1、 未明示App收集使用个人信息的目的、方式和范围  

（1）申请打开可收集个人信息的权限时，未通过自定义弹窗方式告知用户索权目的；

（2）未明示收集的用户学生证、用户详细地址、支付宝账号、社保账号、人脸特征等个人信息的目的、方式和范围。  

2、 未经用户同意收集使用个人信息

未同意隐私政策前收集GET_TASK获取了应用程序、IP地址、MAC地址、IMEI、IMSI、Android ID等个人信息。

3、 未明示App嵌入的第三方SDK收集使用个人信息的目的、方式和范围

（1）未逐一列出嵌入的第三方SDK收集使用个人信息的使用目的和收集个人信息类型；

（2）App嵌入的第三方SDK收集使用个人信息的类型、目的和范围与隐私政策所述不一致。

三、 技术动态

1、史宾格全自动化检测和AI辅助检测能力紧跟监管需求，新增多项能力，支持最新的监管法规要求

（1）《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》

（2）《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）