T∕TAF 078.4-2021 APP用户权益保护测评规范 第4部分：权限索取行为

ICS33.050CCSM30团体标准T/TAF078.4-2021代替T/TAF078.4-2020APP用户权益保护测评规范第4部分：权限索取行为Applicationsoftwareuserrightsprotectionevaluationspecification—Part4:Authoritymanagementbehavior2021-08-17发布2021-08-17实施电信终端产业协会发布T/TAF078.4-2021I目次前言................................................................................II引言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15APP强制、频繁、过度索取权限........................................................15.1不给权限APP退出或关闭.........................................................15.2不给权限APP弹窗循环...........................................................25.3申请无关权限...................................................................25.4过度申请权限...................................................................25.5频繁申请权限...................................................................2T/TAF078.4-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是T/TAF078《APP用户权益保护测评规范》的第4部分。T/TAF078已发布了以下部分：——第1部分：超范围收集个人信息；——第2部分：定向推送；——第3部分：个人信息获取行为；——第4部分：权限索取行为；——第5部分：违规使用个人信息；——第6部分：违规收集个人信息；——第7部分：欺骗误导强迫行为；——第8部分：移动应用分发平台管理；——第9部分：移动应用分发平台信息展示；——第10部分：自启动和关联启动行为。本文件代替T/TAF078.4-2020《APP用户权益保护测评规范权限索取行为》，与T/TAF078.4-2020相比，除结构调整和编辑性改动外，主要技术变化如下：a)题目中增加了“第4部分：”；b)更改了“规范性引用文件”一章描述（见第2章）；c)将“术语、定义和缩略语”更改为“术语和定义”与“缩略语”两章（见第3、4章）；d)删除了“不给权限无法注册登录”，更改了“不给权限APP退出或关闭”的描述（见5.1）；e)增加了强制索取权限的例外情况（见注1、注2）；f)增加了对“电话、存储权限”的要求（见5.3、5.4）；g)增加了对“电话、存储、通知权限”的要求（见5.5）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中国信息通信研究院、OPPO广东移动通信有限公司、维沃移动通信有限公司、北京奇虎科技有限公司、华为技术有限公司、北京三快在线科技有限公司、小米通讯技术有限公司、阿里巴巴(中国)有限公司。本文件主要起草人：周飞、陈鑫爱、武林娜、王艳红、杜云、宁华、胡月、李京典、李腾、毛欣怡、贾科、姚一楠、衣强、方强、周圣炎、贾雪飞、林冠辰。——2020年首次发布为T/TAF078.4-2020;——本次为第一次修订。T/TAF078.4-2021III引言本文件根据《中华人民共和国网络安全法》等相关法律要求，依据《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》提出检测细则，进一步促进移动互联网行业的健康稳定发展。T/TAF078.4-20211APP用户权益保护测评规范第4部分：权限索取行为1范围本文件规定了移动应用软件权限索取行为的检测细则以及典型检测场景。本文件适用于移动应用软件提供者规范应用使用与个人信息相关的权限索取的行为，也适用于主管部门、第三方评估机构等组织对移动应用软件收集使用个人信息行为进行监督、管理和评估。2规范性引用文件本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1移动智能终端smartmobileterminal能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。3.2移动应用软件mobileapplication移动智能终端系统之上安装、运行的，向用户提供服务功能的应用软件，包括集成的SDK等第三方产品或服务。4缩略语下列缩略语适用于本文件。APP：移动应用软件（Application）5APP强制、频繁、过度索取权限5.1不给权限APP退出或关闭APP运行时，向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限，用户拒绝授权后，APP不应退出或关闭，不应拒绝注册或登录，或拒绝提供与申请权限无关的功能服务。注1：电话、通讯录、短信、录音、相机、相册、日历等基本功能软件的基本功能所对应申请的权限除外,如:电话T/TAF078.4-20212申请拨打电话等相关权限及权限组。5.2不给权限APP弹窗循环APP运行时，向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限，用户拒绝授权后，APP不应循环弹窗申请权限，使用户无法继续使用。注2：电话、通讯录、短信、录音、相机、相册、日历等基本功能软件的基本功能所对应申请的权限除外，如:电话申请拨打电话等相关权限及权限组。5.3申请无关权限APP未见提供相关业务功能或服务，不应申请通讯录、定位、短信、录音、相机、日历、电话、存储等权限。5.4过度申请权限APP首次打开或运行中，未见使用权限对应的相关功能或服务时，不应提前向用户弹窗申请开启通讯录、定位、短信、录音、相机、日历、电话、存储等权限。5.5频繁申请权限a)APP运行时，在用户明确拒绝通讯录、定位、短信、录音、相机、日历、电话、存储、通知等权限申请后，不应向用户频繁弹窗申请与当前服务场景无关的权限，影响用户正常使用。b)APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历、电话、存储、通知等权限申请后，重新运行时，APP不应向用户频繁弹窗申请开启与当前服务场景无关的权限，影响用户正常使用。T/TAF078.4-2021电信终端产业协会团体标准APP用户权益保护测评规范第4部分：权限索取行为T/TAF078.4-2021*版权所有侵权必究电信终端产业协会印发地址：北京市西城区新街口外大街28号电话：010-82052809电子版发行网址：