本周全国信息安全标准化技术委员会发布信息安全技术移动互联网应用收集个人信息基本规范的征求意见稿。
这份基本规范通过后将对安卓应用程序违规收集用户信息问题进行规范,也就是国家级的移动应用国家标准。
对于那些与应用程序本身功能无关的权限开发商不得进行收集,否则这些应用程序就算是违反国家法律法规。
因此施行后应该能对当前国内安卓市场应用程序权限混乱进行净化,为国内安卓用户提供更良好的使用环境。
遵循最小化权限范围:
当前这份草案已经将各种类型的应用程序进行分类,并且每个类目的应用程序都有明确规定的信息收集范围。
例如地图导航类应用程序按网络安全法规定收集网络日志,同时需请求定位权限为用户提供更好的导航服务。
因此此类应用程序除收集网络日志和定位权限外,不得向用户索取其他权限例如通讯录、通话记录和短信等。
此前就有某知名地图应用因为索要通讯录权限被媒体报道,这种过度收集用户信息的恶劣行为将被彻底禁止。
未经用户同意不得出售转让个人信息:
应用程序开发商或运营者有义务履行个人信息保护并采取必要的安全措施,保障用户被收集的个人信息安全。
当用户同意收集某服务类型的最少信息时,开发商也不得因用户拒绝提供更多权限而拒绝提供该类型的服务。
对外共享和转让个人信息时必须征得用户同意,若用户不同意则开发商不得对外共享和转让用户的个人信息。
不得收集硬件信息不得频繁弹窗:
此外草案还要求应用程序不得收集不可变更的设备唯一标识,例如设备的IMEI 串号、网卡的MAC地址等等。
同时对于用户拒绝提供的权限应用程序不得频繁弹出通知要求用户授权,并且不授权也要保障其他服务使用。
最后草案还要求对于凡是在技术可行且不影响使用的情况下,应用程序应该优先在本地存储和使用用户数据。
服务类型最小权限范围列表
地图导航:位置、存储权限;网络约车:位置、拨打电话权限;
即时通讯 / 博客论坛 / 网络支付:存储权限。
新闻资讯 / 网上购物:无权限;短视频:存储权限;
快递配送:无权限;餐饮外卖:位置以及拨打电话权限。
交通票务:无;婚恋相亲:存储权限;求职招聘:存储权限;
金融借贷:存储权限;二手车交易:存储权限。
房屋租售:存储权限;运动健身:位置权限、传感器权限;
问诊挂号:存储权限;浏览器及输入法:无权限。
最后是安全管理类如杀毒软件应用:存储权限、获取应用账户权限、读取电话状态权限、读取短信内容权限。
附相关标准和草案的通知:
有兴趣的用户可点击这里查看 《信息安全技术 移动互联网应用(App)收集个人信息基本规范》 草案内容。
关于开展国家标准《信息安全技术 移动互联网应用 (App)收集个人信息基本规范》 征求意见工作的通知。
领取专属 10元无门槛券
私享最新 技术干货