强制、频繁、过度索权一直被用户诟病，App提供者该如何规范申请使用系统权限？

9月20日，在2020国家网络安全宣传周“App个人信息保护”主题活动上，中国电子技术标准化研究院信安中心数据安全部主任胡影发布了《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指南》（下称《指南》）。

今年7月底，由全国信息安全标准化技术委员会秘书处编写的《指南》已面向社会公开征求意见。南都记者对比发现，和征求意见稿相比，最终发布的《指南》整体变化不大。比如，《指南》的对象由App运营者变更为App提供者。在《指南》的术语定义中，App提供者既包含App运营者也包括App所有者。

据介绍，《指南》给出了App申请、使用系统权限的基本原则和通用要求，以及通讯录、短信、通话记录、位置等十类安卓系统典型权限的申请使用要求。

南都记者注意到，针对安卓系统电话权限的申请，《指南》提出，除安全风控场景外，App不应使用读取电话状态权限读取不可变更的设备唯一标识符（如IMEI等），建议根据应用需要优先采用可变更的标识方案。

对于App权限申请的原则，除了最小必要原则以外，《指南》还提出了用户可知、不强制不捆绑、动态申请等原则。其中，动态申请是指，在用户未触发相关业务功能时，不提前申请与当前业务功能无关的权限。

值得注意的是，《指南》对“频繁”索权的形式进行了界定。首先，单个场景在用户拒绝权限后，48小时内弹窗提示用户打开系统权限的次数超过1次；其次，每次重新打开App或使用某一业务功能时，都会再次向用户索要或以弹窗等形式提示用户缺少相关系统权限。

在今年的央视315晚会上，App的第三方插件（SDK软件开发工具包）擅自获取用户隐私的乱象受到大众关注，也成为监管重点。南都记者注意到，《指南》中也明确，App中嵌入的SDK在申请所需权限时，也应该在声明文件中严格按照格式规范逐个声明。此外，App宜对其集成的第三方SDK申请使用的权限进行审核。

胡影介绍，《指南》附录A给出了安卓和 iOS系统可收集个人信息权限范围，每个权限也提供了业务功能示例。同时，附录D也给出了地图导航等 30 种常见服务类型不建议申请的安卓系统权限。

此外,《指南》附录C还对权限申请的常见问题——权限申请目的不明、告知目的与实际不符、过度索权、强制捆绑授权、权限滥用等进行了界定，方便App提供者申请使用系统权限时参考。

据悉，除了为App提供者参考外，App开发者、移动互联网应用分发平台运营者和移动智能终端厂商也可以参考本《指南》。

点击查看全文：《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指南》

采写：南都记者 李慧琪

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

蒋琳5.01亿

南方都市报记者