App系统权限申请使用指南:风控场景外不得使用IMEI号

强制、频繁、过度索权一直被用户诟病,App提供者该如何规范申请使用系统权限?

9月20日,在2020国家网络安全宣传周“App个人信息保护”主题活动上,中国电子技术标准化研究院信安中心数据安全部主任胡影发布了《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》(下称《指南》)。

今年7月底,由全国信息安全标准化技术委员会秘书处编写的《指南》已面向社会公开征求意见。南都记者对比发现,和征求意见稿相比,最终发布的《指南》整体变化不大。比如,《指南》的对象由App运营者变更为App提供者。在《指南》的术语定义中,App提供者既包含App运营者也包括App所有者。

据介绍,《指南》给出了App申请、使用系统权限的基本原则和通用要求,以及通讯录、短信、通话记录、位置等十类安卓系统典型权限的申请使用要求。

南都记者注意到,针对安卓系统电话权限的申请,《指南》提出,除安全风控场景外,App不应使用读取电话状态权限读取不可变更的设备唯一标识符(如IMEI等),建议根据应用需要优先采用可变更的标识方案。

对于App权限申请的原则,除了最小必要原则以外,《指南》还提出了用户可知、不强制不捆绑、动态申请等原则。其中,动态申请是指,在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。

值得注意的是,《指南》对“频繁”索权的形式进行了界定。首先,单个场景在用户拒绝权限后,48小时内弹窗提示用户打开系统权限的次数超过1次;其次,每次重新打开App或使用某一业务功能时,都会再次向用户索要或以弹窗等形式提示用户缺少相关系统权限。

在今年的央视315晚会上,App的第三方插件(SDK软件开发工具包)擅自获取用户隐私的乱象受到大众关注,也成为监管重点。南都记者注意到,《指南》中也明确,App中嵌入的SDK在申请所需权限时,也应该在声明文件中严格按照格式规范逐个声明。此外,App宜对其集成的第三方SDK申请使用的权限进行审核。

胡影介绍,《指南》附录A给出了安卓和 iOS系统可收集个人信息权限范围,每个权限也提供了业务功能示例。同时,附录D也给出了地图导航等 30 种常见服务类型不建议申请的安卓系统权限。

此外,《指南》附录C还对权限申请的常见问题——权限申请目的不明、告知目的与实际不符、过度索权、强制捆绑授权、权限滥用等进行了界定,方便App提供者申请使用系统权限时参考。

据悉,除了为App提供者参考外,App开发者、移动互联网应用分发平台运营者和移动智能终端厂商也可以参考本《指南》。

点击查看全文:《网络安全标准实践指南—移动互联网应用程序(App)系统权限申请使用指南》

采写:南都记者 李慧琪

版权声明:HAO183 发表于 2020-09-20 18:56:18。
转载请注明:App系统权限申请使用指南:风控场景外不得使用IMEI号 | HAO183网址导航

暂无评论

暂无评论...