APP个人信息合规,一向是APP安全的的重点之一。而在“个人信息合规”这一大范围内,系统权限合规这一项,是十分深入且重要的。2022年4月15日,国家市场监督管理总局、国家标准化管理委员会发布 “《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391—2022)”标准(以下简称《基本要求》),该标准适用于App运营者规范其个人信息收集活动,规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。
一、具体条款以及分析
6.5.1 系统权限-权限申请
(1) 应仅声明和申请实现App服务目的最小范围的系统权限,不应申请与App业务功能无关的系统权限;
条款分析:
1、使用App过程中,仅向用户申请打开App业务功能实际需要的敏感权限;
2、仅在配置文件中声明App业务功能实际需要的敏感权限。
(2) 在用户未使用相关业务功能时,不应提前申请与当前业务功能无关的权限;
条款分析:当用户使用到具体业务功能时,App才申请打开所需的相应权限,不提前索取与当前业务功能无关的权限。
(3) 申请权限时应同步告知用户权限申请目的,目的应明确具体且易于理解,不包含任何欺诈、诱骗、误导用户授权的描述;
条款分析:申请打开敏感权限时,需同步告知用户其业务目的,目的描述应真实、明确、易于理解,让用户在明确知晓申请目的的情况下自主选择授权。
(4) 不应以捆绑方式要求用户一次性同意打开多个系统权限;注4:安卓App 的目标API等级低于23(targetSdkVersion
条款分析:App的目标设备SDK版本(即targetSdkVersion值)应≥23,不要求用户一次性同意打开多个权限。