版權聲明:本文版權歸文章作者所有,僅代表作者觀點,本文不用於商業用途,僅為學習交流之用,如文中的內容、圖片、音頻、視頻等如有侵權,請及時聯系本站站長刪除。
本文來源於微信公眾號【360法律研究】
調用系統權限是收集相關個人信息的必要條件,所以違法違規收集個人信息往往與違規調用系統權限有關,本文將對App調用系統權限的合規要求進行梳理,旨在幫助您在調用系統權限時做到心中有數。
一、權限的申請
1.權限的申請需要遵循最小必要原則
僅可申請 App 業務功能所必需的權限,不可申請與 App 業務功能無關的權限;若僅需使用權限組中部分權限,不可在權限聲明文件中同時聲明同一權限組其他權限。例如在安卓系統中日曆的讀取權限和日曆寫入權限被編寫為一個權限組,當App僅需使用寫入日曆權限時,不應聲明讀取日曆權限。
2.權限應在需要時申請,不可提前申請
使用App所需的權限應在對應業務功能執行時動態申請。在用戶未觸發相關業務功能時,不提前申請與當前業務功能無關的權限。
3.權限應逐個申請,不應捆綁強制
不應強制申請系統權限,不可要求用戶一次性授權同意打開多個系統權限。權限的申請應因需調用,例如:當只需要調用位置權限時,卻同時捆綁了相機、麥克風的權限,這樣就是典型的不合規。
4.權限的申請應保障用戶的知情權,告知用戶申請目的
申請權限時應同步告知用戶權限申請目的,且應明確並易於理解,不可包含廣告及任何欺詐、誘騙、誤導用戶授權的描述。在實踐中往往存在目的告知不明確或者未告知目的的情形,例如:
a、清晰明確示例:申請開啟攝像頭權限,用於您人臉識別、上傳照片、圖像識別以幫助您完成借款申請
b、目的不明確示例:請開啟攝像頭,以幫助您完成借款申請
c、不告知目的示例:請開啟攝像頭
5.權限的申請,應尊重用戶的選擇權
a、如果用戶拒絕或撤回授予某服務類型非必要系統權限,App不應強制退出或關閉,且不應影響與此權限無關的業務功能使用。
b、不應頻繁索權。如用戶明確拒絕App業務功能所需權限,App不應頻繁申請系統權限幹擾用戶正常使用,除非由用戶主動觸發功能,且沒有該權限參與此業務功能無法實現。“頻繁”的形式包括但不限於:1) 單個場景在用戶拒絕權限後,48小時內彈窗提示用戶打開系統權限的次數超過1次;2) 每次重新打開App或使用某一不相關業務功能時,都會向用戶索要或提示用戶缺少相關系統權限。
c、如App業務功能所需的權限被用戶拒絕且選擇禁止後不再提示,當用戶再次使用此功能時,宜以不幹擾用戶的方式(如文字提示) 引導用戶到系統設置中去開啟所需權限。
d、App應尊重用戶的權限設置,不應欺騙或強迫用戶同意不必要的數據訪問,若有可能宜為拒絕授權的用戶提供替代解決方案。
例如如果非導航場景下用戶拒絕位置權限,可提供手動輸入地址的功能。
6.對第三方SDK進行權限管理
內嵌第三方SDK的App,應要求SDK向App明示申請的系統權限及申請目的,審核確保申請的權限有業務場景對應,不應超過約定的範圍。
二、權限的使用
1、權限的使用需要遵循最小必要原則
a、最少個人信息 權限申請獲得授權後,App應僅訪問滿足業務功能需要的最少個人信息,且當實現相關功能不需要回傳個人信息則不應回傳至後臺服務器。例如讀取日曆時,若僅需讀取某個日期的日程信息則不應讀取其他日期的日程。若操作系統支持,App申請相機、位置、麥克風等可收集個人敏感信息的權限宜提供用戶選擇臨時單次授權。如讀取通訊錄時,若實現相關業務功能只需讀取特定聯系人則不應讀取所有聯系人。
b、最低頻率 權限申請後自動采集個人信息的頻率應在實現App業務功能所必需的最低合理頻率範圍內。
2、權限的使用,應尊重用戶的選擇權
a、不得隨意更改系統權限授權狀態。App不應未經用戶同意更改其設置的系統權限授權狀態,如 App更新時自動將用戶設置的權限恢複到默認狀態。
b、用戶觸發,不應自行發起。以下操作應由用戶主動觸發,並在用戶知情情況下執行:1) 執行撥打電話、發送短信等操作;2) 打開或關閉Wi-Fi、藍牙、GPS等;3) 拍攝、錄音、截屏、錄屏等;4) 讀寫用戶短信、聯系人等個人信息。
3、權限的使用,應尊重用戶的知情權
a、重新告知 若系統權限申請目的、使用場景發生變化,應重新告知用戶。
b、顯性提示 不應隱蔽收集個人信息,當錄音、拍攝、錄屏、定位等敏感功能在後臺執行時,應采用顯著方式(如圖標閃爍、狀態欄提示、自定 義提示條等)提示用戶。
C、剪切板信息獲取需授權 不應在用戶不知情或未授權的情況下,通過隱蔽方式讀取並上傳剪切板中包含的個人信息和公共存儲區中的個人信息。獲取剪輯版內容,需經過用戶同意,例如彈窗獲取授權。
4、接入第三方,應設置權限管理
a、當App對外提供的接口涉及個人信息,且操作系統定義的權限無法達到目的時,App應通過自定義權限對訪問個人信息的對外交互組件設置合理的訪問權限。
b、提供小程序接入平臺的App,宜要求小程序向接入平臺說明申請的系統權限及申請目的。
c、提供小程序接入平臺的App應為小程序提供權限管理的功能,小程序應允許用戶關閉或撤回對小程序可收集個人信息權限的授權。
發表評論 取消回複