相比苹果iOS系统,安卓系统的开放带来了极大的便利性,但也导致了很多安卓APP应用不够规范,用户的隐私安全经常被安卓APP滥用,其中一个重要问题就是安卓APP的权限滥用,特别是敏感的电话、短信、联系人等隐私数据。
为了规范应用APP,全国信息安全标准化技术委员会在官网日前发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,对移动APP的权限进行了规范及限制。
《网络安全法》第四十一条指出,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”和“网络运营者不得收集与其提供的服务无关的个人信息”等要求。
根据全国信息安全标准化技术委员会所说,本文件依据相关国家标准提出的个人信息最少够用原则,针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息安全问题,结合当前移动互联网技术及应用现状,围绕用户数量大、社会关注度高的移动互联网应用基本业务功能,给出了保障其正常运行所需收集的个人信息,为移动互联网应用收集个人信息提供实践指引
本实践指南得到中国电子技术标准化研究院、中国网络安全审查技术与认证中心、北京信息安全测评中心、北京大学、华为技术有限公司、小米科技有限责任公司、方达律师事务所,以及百度地图、高德地图、滴滴出行、微信、QQ、百度贴吧、知乎、微博、支付宝、财付通、今日头条、搜狐新闻、抖音短视频、快手、淘宝、京东、顺丰速运、菜鸟裹裹、美团、饿了么、铁路12306、中国国航、百合佳缘、BOSS 直聘、京东金融、贝壳找房、瓜子二手车、毛豆新车网、人人车等移动互联网应用运营单位的技术支持。
在这个规范中,全国信息安全标准化技术委员会将互联网APP应用分为地图导航、网络约车、即时通讯社交、社区社交、网络支付、新闻资讯、短视频、网上购物、快递配送、餐饮外卖、交通票务、求职招聘、金融借贷、房产交易及汽车交易等16个类别,针对不同的应用类别作出了不同的权限管理。
在这16种应用APO类别中,金融借贷类被限制的较多,规范要求不能强制读取用户通讯录,可以收集的必要信息包括:“手机号码”、“账号信息”、“身份信息”、“银行账户信息”、“个人征信信息”、“紧急联系人信息”以及“借贷交易记录”等7项内容。