蠻犀解析 | GB/T 41391“權限申請”相關條款

APP個人資訊合規，一向是APP安全的的重點之一。而在“個人資訊合規”這一大範圍内，系統權限合規這一項，是十分深入且重要的。

2022年4月15日，國家市場監督管理總局、國家标準化管理委員會釋出 “《資訊安全技術 移動網際網路應用程式（App）收集個人資訊基本要求》（GB/T 41391—2022）”标準（以下簡稱《基本要求》），該标準适用于App營運者規範其個人資訊收集活動，規定了App收集個人資訊的基本要求，給出了常見服務類型App必要個人資訊範圍和使用要求。

一、具體條款以及分析

6.5.1 系統權限-權限申請

(1) 應僅聲明和申請實作App服務目的最小範圍的系統權限，不應申請與App業務功能無關的系統權限；

條款分析：

1、使用App過程中，僅向使用者申請打開App業務功能實際需要的敏感權限；

2、僅在配置檔案中聲明App業務功能實際需要的敏感權限。

(2) 在使用者未使用相關業務功能時，不應提前申請與目前業務功能無關的權限；

條款分析：當使用者使用到具體業務功能時，App才申請打開所需的相應權限，不提前索取與目前業務功能無關的權限。

(3) 申請權限時應同步告知使用者權限申請目的，目的應明确具體且易于了解，不包含任何欺詐、誘騙、誤導使用者授權的描述；

條款分析：申請打開敏感權限時，需同步告知使用者其業務目的，目的描述應真實、明确、易于了解，讓使用者在明确知曉申請目的的情況下自主選擇授權。

(4) 不應以捆綁方式要求使用者一次性同意打開多個系統權限；注4：安卓App 的目标API等級低于23（targetSdkVersion<23）屬于捆綁授權的常見情形。

條款分析：App的目标裝置SDK版本（即targetSdkVersion值）應≥23，不要求使用者一次性同意打開多個權限。

(5) 如作業系統支援，申請相機、位置、麥克風等可收集個人資訊權限應向使用者提供單次授權的選項；

條款分析：若作業系統支援，應向使用者提供單次授權的選項；

(6) 如使用者拒絕或撤回同意系統權限授權，宜為使用者提供無需系統權限亦可實作業務功能的替代解決方案。

條款分析：建議向使用者提供拒絕權限申請後也能實作業務目的的替代解決方案。

二、重點權限範圍

01、Android

月曆、通話記錄、相機、通訊錄、位置、麥克風、電話、傳感器、短信、存儲、身體活動等；

02、iOS

月曆、提醒事項、相機、麥克風、通訊錄、健康、位置、媒體庫、運動與健身、照片等。

三、政策具體要求

01、申請的範圍

不應聲明或申請無關權限

02、申請的時機

不應提前申請與目前業務功能無關的權限

03、申請時的行為

不應一次性捆綁授權；申請時應同步告知目的，目的描述應真實、準确、易于了解；若系統支援提供單次授權

04、拒絕後的行為

應提供無需權限的替代解決方案

四、具體檢測思路

01、檢查無關權限

周遊App業務功能，記錄所有向使用者申請打開的系統權限，結合隐私政策、申請時的目的告知及App功能界面，檢查申請打開的系統權限是否均存在相應的業務目的，以此判斷有無申請打開與App業務功能無關的權限。

檢視App聲明權限的配置檔案（安卓為AndroidManifest.xml檔案，iOS為Info.plist檔案），檢查App聲明了的敏感權限是否均在功能周遊過程中觸發動态申請，以此判斷有無聲明與App業務功能無關的權限。

02、是否提前申請無關權限

周遊App業務功能，檢查所有申請打開系統權限的時機，是否為“使用到具體業務功能時，才申請打開所需的相應權限”，是否存在未使用到某業務功能就提前索取該業務功能需要的權限。

03、targetSdkVersion值是否＜23

APP的targetSdkVersion值對應着App開發時設定的API等級，23對應的是安卓系統6.0版本。自6.0版本開始才提供動态權限申請機制，需要在APP運作過程中向使用者動态申請打開敏感權限。低于6.0的安卓系統允許App一次性申請所有可能用到的權限。是以，App的targetSdkVersion值≥23，便不存在一次性申請打開多個系統權限的情況。

04、打開權限時，是否存在說明問題

檢查申請打開敏感權限時，是否未同步告知目的，或目的描述不明确、難以了解，存在誘騙、誤導使用者授權的情況。

05、盡量提供單次授權選項

若作業系統支援，向使用者提供單次授權的選項。

從Android 11開始，申請位置、麥克風或相機權限時，系統權限彈窗中提供了“本次運作允許”的選項，使用者可通過點選該選項向App進行單次授權。在iOS 13中，将位置權限“始終允許、使用應用期間、永不”三個選項中的“始終允許”改為“允許一次”，為使用者提供單次的臨時授權。

06、其他方式，實作業務目的

建議提供無需權限也可實作業務目的的替代解決方案，使得使用者在拒絕權限申請後依然可通過其他方式實作業務目的。

綜合來看，App若想在系統權限申請上做到合規，需要按照權限梳理—— 提前申請規避 —— 權限使用聲明合規作為主要合規流程，同時采取不同方式，解決權限申請合規問題，不超範圍聲明申請，不頻繁聲明申請。

目前，APP安全以及相關細分的個人資訊合格，都在不斷的被相關部門重視起來。立法、執法的速度、力度，都在不斷的提升。移動應用營運機關，需多加注意！