Aggregator

依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规，按照工业和信息化部工作部署要求，国家监管机构持续开展APP隐私合规和网络数据安全专项整治。

梆梆安全《安全隐私合规监管趋势报告》持续跟进国家监管机构通报数据，并依据近期监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及隐私合规问题进行分类说明，帮助企业更好的完成APP隐私合规建设。

最新监管通报动态

5月6日，中央网信办依据相关法律法规，组织对App、SDK收集使用个人信息行为进行检测，发现15款App、16款SDK存在违法违规行为，上述APP及SDK应限期完成整改，中央网信办将结合整改情况依法依规开展处置处罚。

5月9日，北京通管局依据相关法律法规，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治，截至目前，尚有7款移动互联网应用程序未整改或整改不到位，现予以公开通报。北京通管局关于问题移动互联网应用程序的通报（2025年第三期），经复检仍有9款移动互联网应用程序未整改或整改不到位，现予以全网下架处置。

5月13日，计算机病毒应急处理中心依据相关法律法规，通过检测发现65款移动应用存在违法违规收集使用个人信息情况。上期通报的违法违规移动应用67款（2025-04-20），经复测仍有31款移动应用存在问题，相关移动应用分发平台已予以下架。

监管支撑汇总

1.梆梆监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP5问题数据两方面来说明。

1）问题行业TOP4：

本地生活、学习教育、网上购物、网络借贷

2）隐私合规问题TOP5：

TOP1：认定方法 2-1 未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

TOP2：认定方法 3-3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

TOP3：认定方法 3-8 未向用户提供撤回同意收集个人信息的途径、方式；

TOP4：认定方法 3-9 违反其所声明的收集使用规则，收集使用个人信息；

TOP5：认定方法 3-1 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限。

2.国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

问题分类

问题数量

未明示收集使用个人信息的目的、方式和范围

60

未经用户同意收集使用个人信息

45

未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息

45

基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式

34

未公开收集使用规则

31

个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意

16

未采取相应的加密、去标识化等安全技术措施

14

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。

9

处理敏感个人信息应当取得个人的单独同意

7

个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

7

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

6

超范围收集个人信息

4

APP强制、频繁、过度索取权限

4

强制用户使用定向推送

3

违规收集个人信息

3

个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

3

个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意

2

未经同意向他人提供个人信息

1

APP频繁自启动和关联启动

1

总计

295

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

APP类型

APP数量

实用工具

31

电子图书

11

学习教育

9

在线影音

8

新闻资讯

6

拍摄美化

5

网络约车

5

网上购物

5

问诊挂号

5

地图导航

4

投资理财

4

网络社区

4

网络游戏

4

本地生活

3

即时通信

2

交通票务

2

求职招聘

2

餐饮外卖

1

短视频

1

房屋租售

1

网络借贷

1

网络直播

1

应用商店

1

用车服务

1

远程会议

1

运动健身

1

总计

119

在日趋严格的监管环境下，梆梆安全依托深厚的技术积累与实战经验，为企业提供全方位的隐私合规解决方案，以“自动化检测+人工审查”形式，提供从合规检测、风险评估到整改落地的个人信息隐私合规评估及咨询服务，帮助企业发现多业务场景下的应用违规行为，并针对性地输出整改建议，助力企业高效满足国家法规要求。

未来，梆梆安全将持续跟踪监管政策与行业实践，深化技术研究和服务创新，助力企业构建长效隐私合规机制，为数字化业务的安全稳健发展提供坚实保障。

Security researchers have uncovered a sophisticated malware campaign leveraging the legitimate Paste.ee platform to distribute XWorm and AsyncRAT payloads across global command-and-control (C2) infrastructure. First identified in May 2025, the operation uses heavily obfuscated JavaScript downloaders to retrieve secondary payloads from Paste.ee links, exploiting the service’s credibility to bypass initial detection layers. Hunt.io analysts confirmed […]

The post Threat Actors Abuse Paste.ee Platform to Deploy XWorm and AsyncRAT appeared first on Cyber Security News.

Two significant security vulnerabilities affecting the Dell PowerScale OneFS storage operating system, with the most severe flaw potentially allowing unauthenticated attackers to gain complete unauthorized access to enterprise filesystem data.  The critical vulnerability, tracked as CVE-2024-53298, affects PowerScale OneFS versions 9.5.0.0 through 9.10.0.1 and carries a maximum CVSS score of 9.8, indicating an extremely high […]

The post Dell PowerScale Vulnerability Let Attackers Gain Unauthorized Filesystem Access appeared first on Cyber Security News.

A sophisticated spear phishing campaign targeting Polish organizations, where threat actors successfully exploited the CVE-2024-42009 vulnerability in Roundcube webmail systems.  The attack enables JavaScript execution upon opening malicious emails, leading to credential theft through an advanced Service Worker-based approach. Security researchers attribute this campaign to UNC1151, a threat group associated with Belarusian government operations and […]

The post Hackers Exploiting Roundcube Vulnerability to Steal User Credentials appeared first on Cyber Security News.

HUMAN’s Satori Threat Intelligence and Research team, in collaboration with Google, Trend Micro, and Shadowserver, has uncovered and partially disrupted a massive cyber fraud operation named BADBOX 2.0. This operation, an evolved iteration of the original BADBOX malware disclosed in 2023, has infected over 1 million Android Open Source Project (AOSP) devices worldwide, marking it […]

The post BADBOX 2.0 Malware Hits Over a Million Android Devices in Global Cyber Threat appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.