移动APP系统权限申请安全指南

"网络安全标准实践指南-APP系统权限申请使用指南.pdf" 全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南-APP系统权限申请使用指南》，该文档旨在规范移动互联网应用程序（App）对系统权限的申请和使用，以避免强制、频繁、过度索权以及捆绑授权等问题，保护用户的个人信息安全。本指南提供了App权限申请和使用的基本原则和安全要求，适用于App开发者和提供者，以降低因权限不当使用导致的信息安全风险。 一、权限申请的原则和要求 1. 权限申请基本原则：App应遵循最小权限原则，只申请执行功能所必需的权限，并在必要时向用户解释为何需要这些权限，确保用户知情同意。 2. 权限申请通用要求：权限请求应在首次需要该权限时进行，而不是在安装时一次性请求所有权限；同时，应允许用户在使用过程中随时调整权限设置。 二、权限使用的原则和要求 1. 权限使用基本原则：App在使用权限时，应仅在用户明确授权的范围内进行，不得超出用户许可的使用目的。 2. 权限使用通用要求：App不应在用户未授予相应权限的情况下私自调用系统功能，且在用户拒绝权限后，App应能正常运行，不影响非权限相关功能。 三、安卓系统典型权限的申请和使用要求 1. 日历权限（CALENDAR）：只有在App需要创建、读取、修改或删除用户日历事件时，才能申请此权限，且需告知用户具体用途。 2. 通话记录权限（CALL_LOG）：仅在App功能确实需要访问通话记录，如电话管理或骚扰拦截时，才应申请此权限，并明确告知用户。 此外，指南还详细列出了其他常见权限（如相机、麦克风、位置等）的申请和使用要求，强调了敏感权限的特别处理，比如隐私相关的权限应特别谨慎处理，确保用户隐私得到充分保护。 本指南为App开发者和提供商提供了全面的实践指导，以确保App在遵循相关法律法规和政策的同时，尊重并保护用户隐私，构建安全、可信的移动应用环境。通过遵循这些标准，可以提高用户对App的信任度，同时降低企业因违反权限管理规定而面临的法律风险。