随着数字经济蓬勃发展,移动互联网应用程序(APP)作为数字化、网络化、智能化应用的重要载体,在便利人民群众生产生活、赋能千行百业数字化转型方面发挥着关键作用。2024年数据显示,我国移动互联网接入流量达3376亿GB,同比增长11.6%;移动互联网用户规模达15.7亿户,全年净增4575万户;月户均流量(DOU)达18.18GB/户月,同比增长7.4%。与此同时,小程序生态呈现爆发式增长,微信、支付宝和抖音的小程序月活跃用户分别达到9.36亿、6.85亿和2.66亿。AI原生APP月度活跃用户突破1.2亿,同比增长232%,用户粘性持续提升。
中国移动互联网产业近年来展现出强劲的发展活力,整体规模持续扩大,用户行为模式深刻变革,创新应用层出不穷。从产业规模来看,移动互联网接入流量保持两位数增长,用户规模接近16亿,显示出巨大的市场潜力和发展韧性。小程序作为轻量化应用形态,凭借其便捷、灵活的特点,已经渗透到社交、电商、生活服务等多个领域,成为连接用户与服务的重要桥梁。
AI技术的融合应用正在重塑移动互联网服务的形态和体验。头部互联网企业纷纷在APP中嵌入AI插件,通过智能推荐、语音交互、内容生成等功能提升用户体验。数据显示,AI原生APP用户月人均使用时长达到133分钟,月人均使用次数49.6次,表明AI技术有效提升了用户粘性和活跃度。智能体(AI Agent)生态的兴起,更是为移动应用创新开辟了新的可能性。
然而,繁荣发展的背后也隐藏着诸多安全挑战。首先,应用形态多样化增加了治理难度。除了传统APP外,Hybrid App、快应用、小程序、应用SDK、WAP站、Web应用等多种衍生形态层出不穷。以小程序为例,其"依附"于平台运行环境的特性,使得移动应用分发平台无法直接进行上架审核,终端也难以实时监测其运行状态,为违规行为提供了可乘之机。同时,基于云端开发的小程序可以快速实现多平台上线,大大增加了问题追溯的难度。
其次,技术创新的双刃剑效应日益凸显。以热更新技术为例,这项原本用于提高开发效率的技术,正被部分恶意开发者用于规避监管。数据显示,某些违规APP在上架审核时伪装正常,待用户安装后通过热更新加载恶意代码,实现"换装"和"变脸"。更有甚者,通过"云控+热更新"的方式控制恶意行为在特定条件下发生,极大增加了检测难度。
第三,AIGC技术的广泛应用带来了新的治理难题。一方面,AI模型训练数据规模庞大、来源复杂,如何在实践中落实个人信息保护原则面临操作难题;另一方面,AI生成内容的真实性难以辨别,为虚假信息传播、网络诈骗等提供了便利。AI工具的低使用门槛也使得批量生产恶意应用、动态改变恶意特征成为可能,给安全检测带来巨大压力。
面对这些挑战,传统的"一刀切"治理模式已难以适应行业发展需要。建立科学、精细的风险分类分级体系,实现精准治理、协同共治,成为推动移动应用生态健康发展的必由之路。
《集智专题报告》创新性地将APP风险系统梳理为6个一级类目和39个二级类目,全面覆盖了当前移动应用生态中存在的主要安全隐患。这一分类体系不仅为行业提供了统一的风险认知框架,也为精准治理奠定了基础。
隐私安全风险位居六大风险之首,主要包括违规收集个人信息、违规使用个人信息、强制使用定向推送功能和强制频繁过度使用权限四个子类。在实际应用中,这些风险表现为多种形态:有的APP在收集个人信息前未明示处理目的和范围;有的将个人信息擅自共享给第三方;有的通过默认勾选或欺骗性设计获取用户同意;还有的频繁申请与当前服务无关的权限,甚至在用户拒绝后仍不断弹窗骚扰。特别值得关注的是,生物识别、行踪轨迹等敏感个人信息的收集使用问题尤为突出,部分APP在收集这类信息时未能落实单独同意原则。
恶意行为风险包含12个子类,是分类最细、危害最直接的风险类型。其中,流氓行为、系统破坏和恶意对抗是基础性恶意行为,表现为长期占用系统资源、破坏终端正常运行或逃避安全检测等。热更新篡改作为一种技术对抗手段,正被越来越多地用于绕过平台审核,危害性不容小觑。数据显示,某些违规APP通过热更新技术在用户无感知情况下变更数据采集行为,与隐私政策告知内容严重不符。远程控制、勒索行为和恶意传播等则具有更明显的犯罪特征,可能导致用户设备被操控、数据被加密勒索或恶意代码被扩散。
服务异常风险主要涉及运营合规性和服务质量问题。包括运营资质缺失、备案资质不全、功能异常、客诉响应缺失、侵犯专有权利和主体经营异常等六类问题。在实际案例中,有的金融类APP未履行移动金融APP备案程序;有的在线教育APP因技术缺陷导致核心功能频繁崩溃;还有的主体公司已被吊销营业执照,却仍在提供服务。这类风险虽然直接危害性可能不及前两类,但会影响行业整体服务质量和用户信任。
财产安全风险涵盖诱导扣费、自动续费、电信诈骗、诱骗欺诈、诱导投资、金融违规、非法传销、虚假网赚和网络赌博等九个子类,与用户经济利益直接相关。数据显示,某些APP通过隐蔽执行或欺骗性设计导致用户被扣费;有的在自动续费前未按规定提前提醒;还有的以网络兼职、刷单返现为名实施诈骗。特别值得警惕的是,随着AI技术普及,利用深度伪造等手段实施的精准诈骗呈上升趋势。
内容安全风险分为传播违法信息和传播不良信息两类。前者包括危害国家安全、宣扬恐怖主义、传播淫秽色情等明确违法的内容;后者则涉及低俗、庸俗、媚俗等破坏网络生态的内容。在AI生成内容大行其道的背景下,如何有效识别和处置违规内容成为平台面临的新挑战。
未成年人安全风险专门针对未成年用户群体,包括内容危害、网络沉迷和隐私侵犯三个方面。实践中发现,有的APP在未成年模式下未提供适龄内容;有的未有效落实防沉迷措施;还有的处理未成年人个人信息时未遵循合法正当必要原则。随着未成年人网络保护条例的实施,这类风险的治理将更加严格。
这六大风险类目并非孤立存在,而是相互交织、互为因果。例如,隐私安全风险可能导致个人信息被用于精准诈骗,从而升级为财产安全风险;恶意行为风险中的热更新技术可能被用于传播违法内容。因此,治理工作需要系统思维,多管齐下。
在全面分类的基础上,《集智专题报告》创造性地提出了基于损害程度的风险分级体系,将APP风险划分为"低、中、高、极高"四个级别,为差异化治理提供了科学依据。
分级体系首先明确了五大影响对象:国家安全、社会公序良俗及公共利益、系统安全、公民、法人和其他组织的合法权益,以及用户合法权益。不同风险对各类对象可能造成的损害程度被划分为"一般损害"、"严重损害"和"特别严重损害"三级。以社会公序良俗及公共利益为例,波及部分地区、少量群体造成一般影响的属于"一般损害";波及多个地区、一定量群体造成严重影响的属于"严重损害";波及大量地区和群体造成特别严重影响的则属于"特别严重损害"。
根据影响对象和损害程度的组合,报告确立了风险级别划分规则。所有涉及国家安全的风险一律定为"极高"级别;对社会公序良俗及公共利益造成特别严重损害的,可能定为"高"或"极高";对系统安全、法人和其他组织合法权益、用户合法权益造成特别严重损害的,同样可能定为"高"或"极高"。这种分级方法体现了"总体国家安全观"和"以人民为中心"的发展思想,确保将有限治理资源优先用于防范最严重的风险。
具体到风险类别,分级结果呈现出明显差异。隐私安全风险中的违规收集和使用个人信息风险可能达到"高"级;恶意行为风险中的系统破坏、恶意对抗、热更新篡改等则可能达到"极高"级;财产安全风险中的电信诈骗、网络赌博等也被列为"极高"风险;而服务异常风险中的客诉响应缺失通常属于"低"或"中"级。这种差异化定位有助于避免治理中的"一刀切"现象。
分级体系的实践价值在于为APP全生命周期管理提供了精准施策的依据。在开发阶段,企业可参照分级结果优先防控高风险问题;在上架审核阶段,平台可对高风险APP采取更严格的审查措施;在运行阶段,终端厂商可对高风险行为实施更严厉的拦截。监管部门则可根据风险级别合理分配监测资源,提高治理效能。
值得注意的是,风险分级并非一成不变。随着技术进步和业态演变,某些风险的级别可能需要动态调整。例如,随着AI技术普及,基于深度伪造的诈骗手段危害性可能进一步升级;而随着法规完善和技术成熟,某些传统风险的重要性可能相对下降。因此,建立动态调整机制是确保分级体系科学性的关键。
《集智专题报告》的发布标志着我国移动应用治理进入分类分级、精准施策的新阶段。在这一框架下,政府、企业、行业组织和用户等各方主体正逐步形成协同共治的良好生态。
政府部门发挥着引领和监管作用。工业和信息化部等主管部门持续完善制度体系,先后出台《关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于进一步提升移动互联网应用服务能力的通知》等政策文件。截至2025年5月,累计责令整改10155款违规APP,公开通报3079款,下架646款,有效遏制了违规收集个人信息、"摇一摇"乱跳转等突出问题。科技治理手段也在不断创新,"面向移动互联网应用程序的检测及认证公共服务平台"实现了在架APP检测全覆盖;"智御"个人信息保护人工智能大模型的研制则为AI赋能合规开辟了新路径。
企业主体积极落实责任。头部APP企业纷纷设立用户权益保护部门,健全内部管理制度;应用分发平台细化审核标准,强化在架巡查;主流SDK提供商践行最小必要原则,增加配置选项;手机终端厂商完善权限提醒和运行管理功能。这种全链条的责任压实,有效构筑了风险防控的多道防线。
行业组织桥梁纽带作用凸显。中国信息通信研究院等机构联合多个标准化组织,建立了包含12项国标、90项行标、191项团标的标准体系,为企业合规提供明确指引。工业和信息化部移动应用创新与治理技术重点实验室聚焦热更新、生成式AI等热点问题开展研究,促进技术交流。电信终端产业协会等组织通过自律公约、优秀案例征集等活动,推动行业良性发展。
用户意识和参与度不断提升。随着宣传教育深入,越来越多的用户开始关注APP权限申请、隐私政策等内容,并通过投诉举报渠道维护自身权益。用户监督成为发现和处置违规行为的重要力量。
未来,随着分类分级体系的落地实施,移动应用治理将呈现以下趋势:治理对象从单一APP向小程序、快应用等多元形态扩展;治理环节从事后处置向全生命周期管理延伸;治理主体从政府主导向多元共治转变;治理手段从人工筛查向AI赋能升级。只有持续深化分类分级治理,才能有效应对AIGC、智能体等新技术带来的挑战,推动移动互联网行业行稳致远。
以上就是关于2025年中国移动互联网应用安全治理的分析。从蓬勃发展的产业现状,到系统全面的风险分类,再到科学精准的分级体系,最后到多元协同的治理生态,中国正在探索一条符合数字时代特点的移动应用治理新路径。《集智专题报告》提出的分类分级框架,不仅为行业提供了统一的风险语言和治理标尺,也为平衡安全与发展、创新与秩序提供了方法论指导。随着这一体系的完善和落实,我国移动互联网产业有望在规范中实现更高质量的发展,为用户提供更安全、更可靠的数字服务。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
