alipay-deeplink-research/wechat_regulatory_article_v1.md

# 我以中国公民身份，向网信办正式举报了支付宝

> 208个API拦截、22个行为监控、97%接口无保护 — 举报全文公开

---

## 为什么写这篇文章

2026年3月18日凌晨，我以中华人民共和国公民身份，依据《个人信息保护法》第七十条赋予的举报权利，向中央网络安全和信息化委员会办公室（网信办）APP个人信息治理工作组正式提交了一份举报。

举报对象：支付宝（com.eg.android.AlipayGphone）
举报主体：支付宝（中国）网络技术有限公司 / 蚂蚁科技集团股份有限公司

同时，举报副本已同步发送至12321网络不良与垃圾信息举报受理中心和网信办数据安全管理部门。

这不是一次冲动行为。这是持续一个月的逆向工程分析、负责任披露被拒、文章被删除、PoC被服务器端封堵之后，一个中国公民依法行使权利的选择。

---

## 举报的四项核心事实

### 事实一：208个API拦截 — 远超支付功能所需

支付宝内置DexAOP字节码拦截框架（1606个Java文件、976个代理类），系统性拦截208类设备API：

| 类别 | 数量 | 与支付功能的关系 |
|------|------|-----------------|
| 蓝牙 | 17 | 无直接关系 |
| 电话/通信 | 17 | 无直接关系 |
| 通讯录 | 12 | 无直接关系 |
| 录音/麦克风 | 9 | 无直接关系 |
| 摄像头 | 5 | 仅扫码需要，预览帧拦截无必要 |
| 剪贴板 | 4 | 无直接关系 |
| 加密操作 | 3 | 监控其他组件的加密行为 |
| 其他 | 141 | 含WiFi/GPS/传感器/NFC等 |
| **合计** | **208** | |

《个人信息保护法》第六条要求"最小必要"。208个API拦截是"最小必要"吗？

举报中引用的法规：《个保法》第六条、《APP违法违规收集使用个人信息行为认定方法》第四条、《网络数据安全管理条例》第21条。

### 事实二：22个行为监控 — 截屏、剪贴板、通话状态

支付宝在启动3秒后激活行为监控系统，记录以下行为并每10条批量上报服务器：

**你截屏，它知道。你录屏，它知道。你接电话，它知道。你复制了什么，它知道。**

- 截屏检测（编号6）
- 录屏检测（编号7）
- 通话状态（编号11）
- 剪贴板变化（编号13）
- 蓝牙连接（编号8-10）
- 屏幕亮灭（编号0-1）
- 还有Activity生命周期等共22个事件

这些监控行为是否在隐私政策中逐项告知了用户？《个保法》第十七条要求"真实、准确、完整地向个人告知处理的个人信息种类"。

更关键的是：代码中有一个远程开关（OrangeConfig, key:132），服务器可以随时激活全部22个监控。用户无法知情，更无法控制。

### 事实三：PatchProxy — 你手机上的支付宝可以被远程改代码

这可能是最值得监管关注的发现。

支付宝通过PatchProxy（ChangeQuickRedirect）机制，允许蚂蚁集团服务器在不经过应用商店审核、不发布新版本、不通知用户的情况下，远程替换已安装APP中的任意方法——包括权限检查、支付验证、签名校验。

这意味着什么？

你安装支付宝时同意的隐私政策和功能行为，可以在你不知道的情况下被远程修改。你以为你在用A版本，实际上服务器已经把它变成了B版本。

《个保法》第十四条第二款："处理目的、处理方式等发生变更的，应当重新取得个人同意。"

PatchProxy显然违反了这一条。

### 事实四：97%内部接口无权限保护 — 含数字人民币钱包

扫描全部408个内部JSBridge接口，396个（97.1%）的权限检查方法返回null——也就是说，没有任何安全防护。

无保护的接口包括：
- 6个支付类接口（含数字人民币钱包DCEPWalletBridgeExtension）
- 5个认证类接口（登录、身份验证）
- 3个NFC接口（非接触式支付）
- 6个文件操作接口（上传/下载）

数字人民币是中国人民银行发行的法定数字货币。其钱包操作接口在支付宝APP内缺乏权限保护，这是一个严肃的金融安全问题。

---

## 举报全文

以下为提交给网信办的举报邮件全文（已脱敏身份证号）：

[因篇幅原因，举报全文请访问：https://innora.ai/zfb/privacy-analysis.html]

举报邮件发送至以下三个渠道：
1. 网信办APP治理专线：Appzhili@cac.gov.cn
2. 12321举报中心：abuse@12321.cn
3. 网信办数据安全：shujuju@cac.gov.cn

---

## 全球同步：25封监管更新邮件

在向中国网信办举报的同时，我们向全球22个监管机构发送了技术更新邮件，通报SecurityGuard SDK的最新逆向发现。

### 已有正式案件的机构（补充新证据）

| 机构 | 国家 | 案件号 | 更新内容 |
|------|------|--------|----------|
| PDPC | 新加坡 | #00629724 | 208 API + PatchProxy |
| CSSF | 卢森堡 | CSSFWB-2026-080 | GDPR Art.25 + Art.32 |
| HKMA | 香港 | CE20260313175412 | 支付接口无保护 |
| Apple | — | OE01052449093014 | 热更新政策违反 |
| FCA | 英国 | Whistleblowing | 金融安全风险 |
| OAIC | 澳大利亚 | Intake | 隐私影响 |
| CIRCL | 卢森堡 | #4782984 | 技术更新 |

### 欧盟隐私监管（GDPR攻击线）

EDPB、Irish DPC、意大利Garante、荷兰AP、德国BfDI — 5个欧盟数据保护机构收到了相同的GDPR违规分析，重点是PatchProxy违反了GDPR第25条（数据保护设计原则）。

### 金融监管 + CERT

MAS新加坡、OJK印尼、FMA新西兰、BNM马来西亚 + ANSSI法国、HKCERT、SingCERT、CERT-In — 8个机构收到了金融安全和技术分析更新。

---

## 这件事的时间线

| 日期 | 事件 |
|------|------|
| 2月16日 | 开始安全分析 |
| 2月25日 | 首次向蚂蚁集团报告漏洞 |
| 3月7日 | 第二次报告（17个漏洞详细报告） |
| 3月10日 | 蚂蚁集团回复："正常功能" |
| 3月11日 | 公开披露。4小时后收到律师函 |
| 3月12日 | 6个CVE提交MITRE + 189封全球通报邮件 |
| 3月15日 | 微信4篇文章被全部删除 + 服务器端封堵PoC |
| 3月17日 | SecurityGuard逆向完成 + 3个新CVE + GitHub公开 |
| **3月18日** | **向网信办正式举报 + 25封监管更新邮件** |

---

## 为什么要公开举报内容

1. **透明是最好的保护**。公开举报内容意味着：如果举报被无故忽视或压制，公众可以知道。
2. **技术真相不应该被删除**。此前4篇微信文章已被蚂蚁集团律师团队删除，但代码分析的结论不会因为删除文章而改变。
3. **作为中国公民，我有权举报**。《个保法》第七十条明确赋予了这一权利。行使法律赋予的权利，不需要道歉。

---

## 你可以做什么

1. **检查权限**：进入手机设置 → 隐私 → 应用权限，检查支付宝已获取的权限，撤销非必要权限
2. **关注进展**：我们会持续跟踪网信办和各国监管机构的回应
3. **传播真相**：如果你认为10亿用户有权知道自己的手机在被怎样监控——请转发

**完整技术报告**：https://innora.ai/zfb/privacy-analysis.html
**代码与工具**：https://github.com/sgInnora/alipay-securityguard-analysis

本文永久地址：https://innora.ai/zfb/regulatory-complaint.html
如果本文被删除，请访问上述地址。