“弈合规”简介：“弈合规”是安天移动安全旗下旨在从合规政策、行业要求、市场环境等方面帮助开发者建立信息优势，辅助开发者进行决策的移动互联网法规研究平台，注册地址：https://wenwen.avlsec.com

当前，App为实现业务功能所需，申请和使用系统权限并收集个人信息成为常态，但问题也随之出现，App强制、频繁、过度索取用户权限成为普遍性问题，App不合理索取用户权限主要表现为不给权限不让安装、App向用户索取超过最小必要权限以外的权限、用户明确拒绝权限之后又反复多次索取。从监管部门的通报中不难发现，App强制、频繁、过度索取用户权限在通报问题中占据着极大比例。本文介绍了App申请手机权限时容易出现的合规问题，并根据法律法规给出了相关优化建议，开发者可以以此为参照，避免应用中出现此类风险行为，确保产品合规、安全。

一、法规背景

近年来，随着监管部门越来越重视App用户权益的保障，相继出台了多项文件、规范，工信部、网信办、公安部、市场监督管理总局、国家计算机病毒应急处理中心、App专项治理工作组等部门针对App侵害用户权益问题开展了多次整治工作，推进一系列制度落地。     《中华人民共和国个人信息保护法》是我国第一部个人信息保护方面的专门法律。其中第五条明确规定：信息服务提供者收集个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式收集个人信息。第六条明确规定：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。     《信息安全技术个人信息安全规范》指出：移动互联网应用个人信息收集活动，应当遵循权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与这七项个人信息安全基本原则。《常见类型移动互联网应用程序必要个人信息范围规定》明确了常见移动应用软件的基本功能服务，并对常见的三十九类移动应用软件为实现基本功能服务所需获取的个人信息范围作出规定，强调移动互联网应用程序运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用APP基本功能服务。      同时，工信部164号文件明确对App强制、频繁、过度索取用户权限问题的整治任务，重点整治App在安装、运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，应用自动退出或关闭的行为；重点整治短时长、高频次，在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关权限的行为；重点整治未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行为。

二、App申请手机权限时应注意哪些问题？

#1 应在《隐私政策》中明示申请权限的业务功能目的、方式、范围

应用在向用户展示隐私政策或弹窗提示申请权限的业务目的时，应清晰告知用户所申请的设备权限、对应的业务功能、调用权限的目的、询问时机以及用户可否关闭权限等信息。或在应用开启时以弹窗形式对需要申请的核心权限、目的加以提示，如下图所示：#2 不应强制、频繁、过度索取权限

“强制索取权限”问题具体表现：App安装和运行时，向用户索取与当前服务场景无关的权限，用户拒绝授权后，应用退出或关闭。      弈合规建议：开发者应当在下载时通过《隐私政策》或者应用内弹窗等方式向用户详细说明App为实现基本业务功能需要调取的必要权限及目的，并保证权限调取均与服务功能相关。当用户拒绝无关权限时，仍可以正常注册登录。

弈合规建议：App运行阶段，在用户明确拒绝权限申请后，不应向用户频繁（如48小时内）弹窗申请与当前服务场景无关的权限，影响用户正常使用。App在用户明确拒绝权限申请后，重新运行时，App不应向用户频繁弹窗申请开启与当前服务场景无关的权限，影响用户正常使用。

不应过度索取权限， “过度索取权限”问题具体表现：App在用户未使用相关功能或服务时，提前申请开启通讯录、定位、短信、录音、相机等权限，或超出其业务功能或服务外，申请通讯录、定位、短信、录音、相机等权限，或者在应用下载时一次性申请全部手机权限。       弈合规建议：App首次打开或运行中，未见使用权限对应的相关功能或服务时，不应提前向用户弹窗申请不必要权限。例如用户点击某应用在线客服功能入口中时，向用户弹窗申请了开启相机、麦克风权限，但此时业务并未实际使用麦克风、相机，不应调用相机、麦克风权限。

#3应用程序技术层面措施

3.1受系统特性的限制，当应用的targetSDKVersion版本低于23时，应用在安装时一次性获取全部申请权限。若用户不同意，则无法正常安装，如下图所示：3.2读取权限信息时遵循最小必要原则某一权限可能对应多项个人信息，开发人员在编写申请与个人信息相关权限，通过系统函数接口自动收集用户个人信息代码时，只能访问《常见类型移动互联网应用程序必要个人信息范围规定》列明的最小范围个人信息，而不能收集该权限对应的其它个人信息；从代码库复制的代码需审核其个人信息收集的情况，采用cookie技术时，所收集的个人信息也应遵循以上要求。

3.3重视应用检测工作App运营者应重视应用投入市场前的检测工作，检测应用的基本功能服务在申请权限和读取的个人信息是否在《常见类型移动互联网应用程序必要个人信息范围规定》规定的范围内，同时重点关注应用内嵌入的第三方SDK、代码是否也遵循了相关规定。

三、结语

近年来个人信息保护成为监管部门和社会关注热点，用户权益保障与个人信息安全息息相关，App申请、使用权限是否合理合规，关系到开发者自身产品安全，也是开发者保护用户个人信息的重要体现。      当前，针对App侵权问题，监管部门通过制定标准、技术检验、专项整治等措施，大力整治违规收集使用个人信息、弹窗骚扰等侵害用户权益的行为。随着监管部门对App申请和使用权限的相关要求日渐完善和细化，对App申请和使用权限的相关检测和评估工作也在逐步深入，这无疑对广大App运营者提出了更高的要求，只有保障用户权益和保护个人信息安全，合理合规申请和使用权限才能真正实现长远可持续发展。

（本文节选自安天移动安全“弈合规”政策法规研究平台深度文章板块，更多信息请注册登录平台查看： https://wenwen.avlsec.com）