央广网北京7月22日消息（记者 牛谷月）7月20日，国家计算机网络应急技术处理协调中心（CNCERT/CC）编写的《2020年中国互联网网络安全报告》（下称“报告”）正式发布。报告显示，2020年APP违法违规收集个人信息治理取得积极成效，但个人信息非法售卖情况仍较为严重，联网数据库和微信小程序数据泄露风险较为突出。

APP违法违规收集个人信息治理取得积极成效

报告显示，截至2020年年底，国内主流应用商店可下载的在架活跃APP达到267万款，安卓、苹果APP分别为105万款、162万款。为落实《中华人民共和国网络安全法》，进一步规范APP个人信息收集行为，保障个人信息安全，国家互联网信息办公室会同工业和信息化部、公安部、市场监管总局持续开展APP法违规收集使用个人信息治理工作，对存在未经同意收集、超范围收集、强制授权、过度索权等违法违规问题的APP依法予以公开曝光或下架处理；研究起草了《常见类型移动互联网应用程序（APP）必要个人信息范围规定（征求意见稿）》并面向社会公开征求意见，规定了地图导航、网络约车、即时通信等常见类型App的必要个人信息范围。APP违法违规收集使用个人信息乱象的治理持续推进，取得积极成效。

公民个人信息未脱敏展示与非法售卖情况仍较为严重

据报告，监测发现涉及身份证号码、手机号码、家庭住址、学历、工作等敏感个人信息暴露在互联网上，全年仅CNCERT/CC就累计监测发现政务公开、招考公示等平台未脱敏展示公民个人信息事件107起，涉及未脱敏个人信息近10万条。此外，全年累计监测发现个人信息非法售卖事件203起，其中，银行、证券、保险相关行业用户个人信息遭非法售卖的事件占比较高，约占数据非法交易事件总数的40%；电子商务、社交平台等用户数据和高校、培训机构、考试机构等教育行业通信录数据分别占数据非法交易事件总数的20%和12%。

联网数据库和微信小程序数据泄露风险问题突出

报告显示，2020年CNCERT/CC累计监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制，以及个人信息遭盗取和非法售卖等重要数据安全事件3,000余起，涉及电子商务、互联网企业、医疗卫生、校外培训等众多行业机构。分析发现，使用MySQL、SQL Server、Redis、PostgreSQL等主流数据库的信息系统遭攻击较为频繁。其中，数据库密码爆破攻击事件最为普遍，占比高达48%，数据库遭删库、拖库、植入恶意代码、植入后门等事件时有发生，数据库存在漏洞等风险情况较为突出。

报告称，近年来，微信小程序（以下简称“小程序”）发展迅速，但也暴露出较为突出的安全隐患，特别是用户个人信息泄露风险较为严峻。CNCERT/CC从程序代码安全、服务交互安全、本地数据安全、网络传输安全、安全漏洞等5个维度，对国内50家银行发布的小程序进行了安全性检测。检测结果显示，平均1个小程序存在8项安全风险，在程序源代码暴露关键信息和输入敏感信息时未采取防护措施的小程序数量占比超过90%；未提供个人信息收集协议的超过80%；个人信息在本地储存和网络传输过程中未进行加密处理的超过60%；少数小程序则存在较严重的越权风险。

此外，报告还汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。