TC260-PG-20204A
网络安全标准实践指南
—移动互联网应用程序(App)系统权限申
请使用指引
(征求意见稿-v1.0-202007)
全国信息安全标准化技术委员会秘书处
2020 年 7 月
前 言
《网络安全标准实践指南》(以下简称《实践指南》)是全国信息安全标准化技术委员会(以下简称“信安标委”)秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。
声 明
本《实践指南》版权属于信安标委秘书处,未经秘书处书面授权,不得以任何方式抄袭、翻译《实践指南》的任何部分。凡转载或引用本《实践指南》的观点、数据,请注明“来源:全国信息安全标准化技术委员会秘书处”。
技术支持单位
本《实践指南》得到中国电子技术标准化研究院、华为技术有限公司、清华大学、小米科技有限责任公司、阿里巴巴(北京)软件服务有限公司、三六零科技集团有限公司、中国移动通信集团有限公司、北京京东尚科信息技术有限公司、京东数字科技控股有限公司、上海钧正网络科技有限公司、浙江蚂蚁小微金融服务集团股份有限公司、北京三快科技有
限公司、深圳市腾讯计算机系统有限公司、北京百度网讯科技有限公司、浙江每日互动网络科技股份有限公司、北京字节跳动科技有限公司、北京小桔科技有限公司等单位的技术支持。
摘 要
本实践指南依据法律法规和政策标准要求,针对App申请使用系统权限存在的强制、频繁、过度索权,及捆绑授权、私自调用权限上传个人信息、敏感权限滥用等典型问题,给出了App申请使用系统权限的基本原则和安全要求,建议App运营者参考本实践指南规范App系统权限申请和使用行为,防范因系统权限不当利用造成的个人信息安全风险。
一、适用范围
本实践指南给出了移动互联网应用程序(App)申请、使用系统权限的基本原则和通用要求,以及通讯录、短信、通话记录、位置等 10 类安卓系统典型权限的申请使用要求。
本实践指南适用于App运营者规范系统权限申请和使用行为,也可为App开发者、移动互联网应用分发平台运营者和移动智能终端厂商提供参考。
本实践指南主要针对安卓和安卓下载appiOS的系统权限,全文内容均适用于安卓系统权限,第三章、第四章、附录A和附录B适用于iOS系统权限。
二、术语定义
1、移动互联网应用程序通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件,简称App。
2、移动互联网应用程序运营者
移动互联网应用程序的提供者或管理者,简称App运营者。
3、系统权限
移动智能终端操作系统向App开放的,对移动智能终端资源的访问许可。
注:本实践指南中的“系统权限”或“权限”均指与个人信息相关的敏感系统权限,常见敏感系统权限可参考附录A。
4、可收集个人信息权限
可访问用户个人信息,可能侵犯用户隐私的系统权限。
注:安卓可收集个人信息权限可参考附录A.1,iOS可收集个人信息权限可参考附录A.3。
5、特殊敏感权限
可访问移动智能终端特殊敏感功能的权限,一旦被恶意利用可能影响设备、系统、应用安全或侵犯用户隐私。
注:安卓特殊敏感权限可参考附录A.2。
三、权限申请的原则和要求
3.1 权限申请基本原则
a) 最小必要原则:仅申请 App 业务功能所必需的权限,不申请与 App 业务功能无关的权限。
b) 用户可知原则:申请的权限均应有明确、合理的使用场景,并告知用户权限申请目的。
c) 不强制不捆绑原则:不应强制申请系统权限,不要求用户一次性授权同意打开多个可收集个人信息权限。
d) 动态申请原则:App 所需的权限应在对应业务功能执行时动态申请。在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。
3.2 权限申请通用要求
a) 权限申请应满足“最小必要”原则,与业务功能无关的系统权限不向操作系统声明,例如无关的安卓系统权限不在l文件中声明。
b) 申请权限时应同步告知用户访问的个人信息类型和权限申请目的,目的应明确且易于理解,不包含广告及任何欺诈、诱骗、误导用户授权的描述。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论