(三)APP强制、频繁、过度索取权限
重点关注APP安装、运行和使用相关功能时,非服务所必需或无合理应用场景下,用户拒绝相关授权申请后,应用自动退出或关闭的行为。重点关注短时长、高频次,在用户明确拒绝权限申请后,频繁弹窗、反复申请与当前服务场景无关权限的行为。重点关注未及时明确告知用户索取权限的目的和用途,提前申请超出其业务功能等权限的行为。
合规指引:
1. APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应退出或关闭。
2. APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应循环弹窗申请权限,使用户无法继续使用。
3. 用户注册登录时,APP向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应无法正常注册或登录。
4. APP运行时,在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,不应向用户频繁弹窗申请与当前服务场景无关的权限,影响用户正常使用。
5. APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历等权限申请后,重新运行时,APP不应向用户频繁弹窗申请开启与当前服务场景无关的权限,影响用户正常使用。
6. APP首次打开或运行中,未见使用权限对应的相关功能或服务时,不应提前向用户弹窗申请开启通讯录、定位、短信、录音、相机、日历等权限。
7. APP未见提供相关业务功能或服务,不应申请通讯录、定位、短信、录音、相机、日历等权限。
情形一:强制索权
主要表现为必须同意授予权限,否则无法使用应用。
典型案例:
游戏类应用需申请通讯录权限获取游戏好友,首次申请权限时用户拒绝,应用需保证游戏基础功能可使用,且不得访问联系人。当用户再次使用到需联系人的场景时,才可弹出申请通信录权限。
指导建议:
不管用户拒绝哪种权限,均需提供基本功能,不得直接退出应用。若用户明确拒绝某功能必要权限后,需当用户再次触达相关功能场景时弹框供用户选择是否开启。
情形二:频繁索权
主要表现为在用户拒绝权限后,重新打开App或进入相应界面,都会再次向用户索要或频繁以弹窗等形式提示用户授权相关权限,干扰用户正常使用,属于一种变相的强制索权。
指导建议:同情形一中案例,需掌握合适时机弹出,不得影响其他功能可用。
情形三:过度索权 一次性申请所有权限
主要表现为在用户安装App时,以捆绑打包形式申请其向操作系统声明的所有权限,用户不同意则无法安装,安装完成后申请的所有权限默认打开(Android版App设置targetSdkVersion小于23所致)。
典型案例1:
指导建议:
安卓App的目标API等级应不低于23(targetSdkVersion>=23),目标API等级宜及时更新适配安卓新版本,应用软件申请敏感权限时或申请之前,应明确逐条告知用户,申请和使用某权限的目的、方式和范围。
典型案例2:
指导建议:
应用软件申请敏感权限时必须有明确、合理的业务功能和使用场景,不应提前获取权限。
情形四:过度索权 向用户索取非必要权限
主要表现为仅以提供附加功能、个性化服务、提升用户体验等为由收集某些个人信息/系统权限(此类信息并非实现App基本功能所必要),同时将该类信息与实现App基本功能所必要的信息相捆绑,要求用户一并同意,用户不同意则无法使用App基本功能或所有功能。
典型案例:
如天气应用主要功能是为用户提供天气情况,主要用到的权限为定位权限,不应获取权限摄像头权限、联系人权限。
指导建议:
针对应用软件使用场景和功能,确定应用软件申请哪些对应的敏感权限,不应申请与应用业务功能无关的其他权限。
情形五:权限申请目的不明
主要表现:
1. 未告知申请目的。App申请系统权限时未说明权限的申请目的,例如仅通过操作系统弹窗向用户申请系统权限,未通过App额外弹窗提示或在系统弹窗中编辑目的等方式,告知用户权限申请目的。
2. 目的告知不明确。例如将目的描述为“需要您开启存储权限,以保证存储相关功能的正常使用”,未说明具体明确的权限申请目的。
典型案例1:
典型案例2:
指导建议:
App在申请敏感权限及信息时,需明确告知收集使用个人信息的目的、方式、范围。
评论列表