风险可量化、治理可协同：APP 分级指南重塑移动安全新秩序

文丨壹观察 宿艺

移动互联网时代，用户在“便捷”与“安全”之间，需要一个尽可能大的“重叠区”。

根据 QuestMobile 数据：截至 2025 年 5 月，移动互联网月活跃用户规模提升至 12.62 亿，同比增长了 2.2%。更重要的是，全网月人均使用时长同比增长了 8%，达到了 178.9 小时。

人们对 APP（包括小程序）的依赖不仅体现在时间上，还体现在全方位的依赖上，从衣食住行到办公、娱乐，全部都在 APP 上实现。

海量的 APP，可以是方便当代人畅游移动互联网的工具，可以是提高工作效率的生产力工具，但同时部分 APP 也正在成为“风险的载体”。一次不经意的安装，一次稀松平常的升级，一次简单权限许可，都有可能给安全留下“隐患”。

近日，工信部信通院发布《移动互联网应用程序（APP）风险分类分级指南》（以下简称《指南》），相当于为行业画了一张“风险导航图”，给行业带来三方面的积极影响：一是给出风险趋势警示，二是给出安全治理标尺，三是促进行业共治。

硬币两面，风险与便利如影随形

中国电信发布的《2024 年全国移动应用安全观测报告》显示，2024 年，全国Android 应用总量达 476 万款，iOS应用 319 万款，微信小程序和公众号总量突破 988 万。其中 76.2% 的 Android 应用存在高危漏洞，更令人担忧的是，下载量越小的应用，高危漏洞比例反而更高（72%）。

用户感受最多的就是隐私安全问题。当打开一个 APP 时，它往往会要求网络授权、位置授权、摄像头授权、麦克风授权甚至是短信的读取权限。不同意， APP 无法使用，一旦同意，就有可能出现个人信息被非法收集、滥用、泄露、篡改或不当处理的潜在威胁，甚至引发财产损失或身份盗用等问题。此外，APP通讯录授权，则很可能泄露个人社交图谱，危害亲友的个人信息，为营销骚扰、电诈提供便利。至于说摄像头、麦克风授权，则有可能让 APP 化身“监听器”。

还有一类 APP 存在主动性、针对性较强的恶意行为风险。用户下载该 APP 时，手机里的资料在悄无声息下被恶意应用开发者轻松获取，一旦用户有不当社交行为，或资料中有敏感的信息，都会被 APP 开发者当作把柄，并加以勒索。有的则是最初下载的 APP 没有问题，但是其开发者利用热更新篡改软件，绕开审核，对用户实施恶意侵害。

针对财产的安全风险也是当下的重灾区，除了最常见的自动续费、诱导扣费，还有诱导消费、虚假网赚、网络赌博等风险。最近比较频发的一类，是盗用国家机构或知名企业名称，利用高收益诱导用户投资或充值，真是令人防不胜防。

针对安全风险，主管部门持续推动依法治理、专项治理、科技治理、系统治理，并取得了一定的成果。根据官方公开数据整理，自 2019 年至 2025 年上半年，工信部关于侵害用户权益行为的 APP（SDK）通报的数量达 3136 个，下架的数量为 646 个。

同时监管部门也在实时发现问题 APP，从其 2025 年上半年通报 APP 类型分布，问题主要出现在实用工具、网络游戏、学习教育和本地生活等类型的 APP 和 SDK （软件开发工具包）。同时，也涉及到了今年比较火爆的 AIGC 应用。

虽然治理不断，但硬币的两面依然与日俱增。

APP 数量增长的同时，小程序、快应用、H5 页面、AI Agent 等新形态不断涌现，用户获取服务更便捷，获得的服务内容也更丰富。

但同时恶意开发者利用“热更新”“云控”等技术，绕开审查、逃避监管，使得安全的风险防控难度大大提升。显然，风险防控需要更高效的技术手段与行业共治。

有据可防：给行业一把“安全隐患标尺”

随着新的应用形态、AI 技术的发展，安全隐患也在不断“变异”，新情况频发。有效治理的前提，不仅要深刻了解当下的风险，还要根据行业发展趋势对未来的可能性做出精准的洞察。

《指南》认为，违规行为正在呈现隐匿性、多变性、广泛性的特征，引发一系列亟待解决的难题。

首先，新形态多样化，追责难。

小程序、快应用、Hybrid App 等，因为更便捷普遍受到用户喜爱，发展迅猛。以小程序为例，用户无需下载可以“直通”服务，开发者的开发时间短、成本低。但小程序也更容易绕开应用平台和终端的审核，违法小程序有“空”可钻。此外，小程序主要基于云端开发，服务内容可实时更新，开发者仅需简单操作即可实现单个小程序的多平台上线，极大地增加了问题审核和追溯的难度。

其次，技术被恶意使用，防范难。

技术是双刃剑，在开发者手里就是为用户创造价值，在恶人手中就变成了犯罪的武器。一些 APP 通常是利用常规服务欺骗应用商店以达到正常上架的目的，在用户下载后通过热更新环节，以非法内容替换原有服务，通过越权、漏洞利用等方式进行安全攻击，危害用户财产和隐私安全，让用户防不胜防。近两年这样的案例越来越多。

第三，AI 加速前行，新问题屡现。

2024 年被称为 AI 应用落地年。AI 在全方位、深层次、多维度重塑移动互联网应用的开发逻辑和服务模式的同时，也带来多重新风险：比如数据来源不实，大量虚假新闻被制造，误导性信息冲击舆论场；再比如利用 AI 技术轻松可以实时换脸，或者伪造声音、视频，实施敲诈勒索。

AI 创新带来的有技术问题，有模式问题，也有价值观问题，风险种类多且复杂度高，需要更有前瞻性地制定治理方案。

根据当前风险行为的特征不同，并结合当前阶段风险 APP 治理的重点，《指南》把 APP 风险拆成 6 大类、4 个等级。

其中 6 大类包括隐私安全、恶意行为、服务异常、财产安全、内容安全、未成年人安全，在二级目录中给出更为具体的 45 项，并且列出了违规场景。一级类目按风险性质划分，二级类目聚焦行为特征，逻辑层次清晰，覆盖全面且一目了然，增强了可操作性。

根据影响对象和损害程度将风险分为四级——低、中、高、极高。从损害对象的维度来看，国家安全>公共利益>系统安全>用户权益。从损害程度，按波及范围（少量/一定量/大量群体）和后果严重性分级。同时遵循就高原则，当多重风险并存时，按最高风险定级。

《指南》还有一个特征，就是动态适应性。一方面，纳入前沿风险，包括AIGC （如模型幻觉、数据滥用）、热更新、云控、小程序责任模糊等新形态，适用性更强。二是开放调整机制，明确分类需随政策、技术发展动态更新，确保《指南》的与时俱进。

这份《指南》的核心价值在于为移动互联网生态提供了一把隐患可量化、风险可分级、治理可对标的“安全标尺”。它终结了风险认知的模糊地带，统一度量衡、厘清边界线，让安全隐患变得有据可循（标准清晰）、有级可量（风险分级）、有标可防（分级施策），为 APP 开发者、分发平台、终端厂商乃至监管机构提供了共同的“风险语言”和行动标尺，极大提升了全链条风险识别、评估与协同治理的精准性和效率。

行业共治：从“单点拦截”到“全链协同”

透过《指南》的分类，我们看到移动互联网风险的多样性、复杂性、善变性，这已远超单一主体的防控能力。比如当恶意开发者用“热更新绕过审核”、以 AI 批量生成诈骗应用出现时，碎片化的防御体系必然失效。只有从“单点拦截”向“全链协同”，构筑起开发运营、应用分发、终端运行三道防线，通过分类分级厘清责任、分级响应实现协同，才能真正为用户的数字生活保驾护航。

开发者要做好合规设计的“源头保障”

开发阶段嵌入合规设计，如对 AIGC 功能明示数据用途，禁用热更新篡改代码。同时，参照《指南》风险类目自查，比如金融类 APP 参照“财产安全风险”条目。

应用分发平台履行管理职责夯实安全根基

分发平台加强 APP 上架审核和在架巡查，可以基于分级结果采取差异化管控，比如对于高风险、极高风险坚决“不予上架”；在上架审核中，要特别识别热更新马甲包、山寨 APP 等高风险形态；用 AI 模型扫描云控行为对“中风险” APP 限期整改；对多次违规开发者冻结账户，实施信用惩戒等等。

终端厂商为用户建立“安全防线”

现在市场上几大头部手机厂商都将安全问题置于首位，建立了极其严格的风险防控体系。

比如 OPPO 已上线端云协同的 APP 风险检测及预警能力，围绕 APP 上架、下架、终端侧下载、安装、启动等全周期，进行针对性管控。官方数据显示，目前 OPPO 软件商店日均拦截恶意资源下载达 260 万次，安装拦截 300 万次，运行拦截1500万次。其他手机厂商也在用户权益保护和风险治理方面持续发力，据了解 24 年 vivo 手机 APP 总体负反馈率较同期下降了 37%，其中盗版侵权类负反馈下降 14%，恶意扣费类负反馈下降 14%，功能兼容类负反馈下降 44%。

当然，在这三重防护之外，用户的个人防控意识与行动也不可或缺。尽量在正规应用商店下载、使用 APP，绕开来路不明的安装包。当 APP 索要授权时，一定要仔细查看授权是否合理，不必要的不授权，能“仅这一次”就选择一次，减少风险发生的几率。

《指南》在给标尺、给路径的基础上，还从战略层面给出建议：行业共治。也就是说从个人用户到开发者，从平台到终端厂商，应该建立起一套高效的协同机制，信息共享、能力互补、响应联动。比如开发者公开 SDK 权限声明，为终端厂商权限管控提供依据；平台共享恶意样本库（如涉赌 APP 特征），赋能终端厂商预装防护规则。

这其中值得一提的是安天移动，在三个层面为行业输出能力。第一层是凭借技术创新，2024 年全年累计告警应用风险 33.6 亿次，检出风险应用 3167 万款，拦截病毒威胁 12.6 亿次，防护用户超 3.2 亿。第二层积极推动行业建立健全安全技术规范，牵头编制了《App 生命周期安全管理指南》国家标准，把自己的经验分享给行业。第三，相继与荣耀等手机厂商伙伴通过联合实验室、专项合作等方式深入共建风险协同治理能力，通过技术协同实现 1+1>2 的防范能力，给行业共治打了个样儿。

《壹观察》评论

从移动互联网到万物互联时代，用户对不同场景下服务需求的连贯性与便捷性出现“跃迁式”提升，同时对信息安全与隐私保护也带来了前所未有的巨大挑战。这其实，也是工信部信通院发布联合产业各方发布《移动互联网应用程序（APP）风险分类分级指南》的重要原因。

中国是最大的移动互联网市场，也是全球移动互联和 AI 智能革新的“两极”之一。唯有建立行业共识、共治、共生的安全体系，才是我们整个产业完成“新质生产力”转型升级的“最优选”之一。而《指南》通过分类分级将模糊的“安全责任”转化为可量化、可分割、可追溯的精准责任矩阵：开发者守住源头、平台严控流通、终端筑牢堡垒。唯有如此，方能在移动互联网的“漏洞攻防战”中构建动态免疫网络与长期健康发展。