版权声明:本文版权归文章作者所有,仅代表作者观点,本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等如有侵权,请及时联系本站站长删除。

本文来源于微信公众号【360法律研究】 



调用系统权限是收集相关个人信息的必要条件,所以违法违规收集个人信息往往与违规调用系统权限有关,本文将对App调用系统权限的合规要求进行梳理,旨在帮助您在调用系统权限时做到心中有数。

一、权限的申请

1.权限的申请需要遵循最小必要原则

仅可申请 App 业务功能所必需的权限,不可申请与 App 业务功能无关的权限;若仅需使用权限组中部分权限,不可在权限声明文件中同时声明同一权限组其他权限。例如在安卓系统中日历的读取权限和日历写入权限被编写为一个权限组,当App仅需使用写入日历权限时,不应声明读取日历权限。

2.权限应在需要时申请,不可提前申请

使用App所需的权限应在对应业务功能执行时动态申请。在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。

3.权限应逐个申请,不应捆绑强制

不应强制申请系统权限,不可要求用户一次性授权同意打开多个系统权限。权限的申请应因需调用,例如:当只需要调用位置权限时,却同时捆绑了相机、麦克风的权限,这样就是典型的不合规。

4.权限的申请应保障用户的知情权,告知用户申请目的

申请权限时应同步告知用户权限申请目的,且应明确并易于理解,不可包含广告及任何欺诈、诱骗、误导用户授权的描述。在实践中往往存在目的告知不明确或者未告知目的的情形,例如:

a、清晰明确示例:申请开启摄像头权限,用于您人脸识别、上传照片、图像识别以帮助您完成借款申请

b、目的不明确示例:请开启摄像头,以帮助您完成借款申请

c、不告知目的示例:请开启摄像头

5.权限的申请,应尊重用户的选择权

a、如果用户拒绝或撤回授予某服务类型非必要系统权限,App不应强制退出或关闭,且不应影响与此权限无关的业务功能使用。

b、不应频繁索权。如用户明确拒绝App业务功能所需权限,App不应频繁申请系统权限干扰用户正常使用,除非由用户主动触发功能,且没有该权限参与此业务功能无法实现。“频繁”的形式包括但不限于:1) 单个场景在用户拒绝权限后,48小时内弹窗提示用户打开系统权限的次数超过1次;2) 每次重新打开App或使用某一不相关业务功能时,都会向用户索要或提示用户缺少相关系统权限。

c、如App业务功能所需的权限被用户拒绝且选择禁止后不再提示,当用户再次使用此功能时,宜以不干扰用户的方式(如文字提示) 引导用户到系统设置中去开启所需权限。

d、App应尊重用户的权限设置,不应欺骗或强迫用户同意不必要的数据访问,若有可能宜为拒绝授权的用户提供替代解决方案。

例如如果非导航场景下用户拒绝位置权限,可提供手动输入地址的功能。

6.对第三方SDK进行权限管理

内嵌第三方SDK的App,应要求SDK向App明示申请的系统权限及申请目的,审核确保申请的权限有业务场景对应,不应超过约定的范围。


二、权限的使用

1、权限的使用需要遵循最小必要原则

a、最少个人信息 权限申请获得授权后,App应仅访问满足业务功能需要的最少个人信息,且当实现相关功能不需要回传个人信息则不应回传至后台服务器。例如读取日历时,若仅需读取某个日期的日程信息则不应读取其他日期的日程。若操作系统支持,App申请相机、位置、麦克风等可收集个人敏感信息的权限宜提供用户选择临时单次授权。如读取通讯录时,若实现相关业务功能只需读取特定联系人则不应读取所有联系人。

b、最低频率 权限申请后自动采集个人信息的频率应在实现App业务功能所必需的最低合理频率范围内。

2、权限的使用,应尊重用户的选择权

a、不得随意更改系统权限授权状态。App不应未经用户同意更改其设置的系统权限授权状态,如 App更新时自动将用户设置的权限恢复到默认状态。

b、用户触发,不应自行发起。以下操作应由用户主动触发,并在用户知情情况下执行:1) 执行拨打电话、发送短信等操作;2) 打开或关闭Wi-Fi、蓝牙、GPS等;3) 拍摄、录音、截屏、录屏等;4) 读写用户短信、联系人等个人信息。

3、权限的使用,应尊重用户的知情权

a、重新告知 若系统权限申请目的、使用场景发生变化,应重新告知用户。

b、显性提示 不应隐蔽收集个人信息,当录音、拍摄、录屏、定位等敏感功能在后台执行时,应采用显著方式(如图标闪烁、状态栏提示、自定 义提示条等)提示用户。

C、剪切板信息获取需授权 不应在用户不知情或未授权的情况下,通过隐蔽方式读取并上传剪切板中包含的个人信息和公共存储区中的个人信息。获取剪辑版内容,需经过用户同意,例如弹窗获取授权。

4、接入第三方,应设置权限管理

a、当App对外提供的接口涉及个人信息,且操作系统定义的权限无法达到目的时,App应通过自定义权限对访问个人信息的对外交互组件设置合理的访问权限。

b、提供小程序接入平台的App,宜要求小程序向接入平台说明申请的系统权限及申请目的。

c、提供小程序接入平台的App应为小程序提供权限管理的功能,小程序应允许用户关闭或撤回对小程序可收集个人信息权限的授权。

点赞(0)

评论列表 共有 0 条评论

暂无评论
法总荟-企业法务助手 微信小程序

微信小程序

微信扫一扫体验

立即
投稿
法总荟,企业法务资讯公众号

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部