ICS 33.050 CCS M 30 团体标 准 T/TAF 078.4-2021 代替 T/TAF 078.4-2020 APP用户权益 保护测评规范 第4部分：权 限索取行为 Application software user rights protection evaluation specification — Part 4: Authority management behavior 2021-08-17发布 2021-08-17实施 电信终端产业协会 发布 T/TAF 078.4-2021 I 目 次 前言 ................................ ................................ ................ II 引言 ................................ ................................ ............... III 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 缩略语 ................................ ................................ ............. 1 5 APP强制、频繁、过度索取权限 ................................ ........................ 1 5.1 不给权限 APP退出或关闭 ................................ ......................... 1 5.2 不给权限 APP弹窗循环 ................................ ........................... 2 5.3 申请无关权限 ................................ ................................ ... 2 5.4 过度申请权限 ................................ ................................ ... 2 5.5 频繁申请权限 ................................ ................................ ... 2 T/TAF 078.4-2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 T/TAF 078 《APP用户权益保护测评规范》的第 4部分。T/TAF 078 已发布了以下部分： ——第1部分：超范围收集个人信息； ——第2部分：定向推送； ——第3部分：个人信息获取行为； ——第4部分：权限索取行为； ——第5部分：违规使用个人信息； ——第6部分：违规收集个人信息； ——第7部分：欺骗误导强迫行为； ——第8部分：移动应用分发平台管理； ——第9部分：移动应用分发平台信息展示； ——第10部分：自启动和关联启动行为。 本文件代替 T/TAF 078 .4-2020《APP用户权益保护测评规范 权限索取行为 》，与T/TAF 078.4 -2020 相比，除结构调整和编辑性改动外，主要技术变化如下： a) 题目中增加了“第 4部分：”； b) 更改了“规范性引用文件”一章描述（见第 2章）； c) 将“术语、定义和缩略语”更改为“术语和定义”与“缩略语”两章（见第 3、4章）； d) 删除了“不给权限 无法注册登录”，更改了“不给权限 APP退出或关闭”的描述（见 5.1）； e) 增加了强制索取权限的例外情况（见注 1、注2）； f) 增加了对“电话、存储权限”的要求（见 5.3、5.4）； g) 增加了对“电话、存储、通知权限”的要求（见 5.5）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位： 中国信息通信研究院、 OPPO广东移动通信有限公司、维沃移动通信有限公司、北 京奇虎科技有限公司、华为技术有限公司、北京三快在线科技有限公司、 小米通讯技术有限公司 、阿里 巴巴(中国)有限公司 。 本文件主要起草人： 周飞、陈鑫爱、 武林娜、王艳红、杜云、 宁华、胡月、李京典、李腾、毛欣怡、 贾科、姚一楠、衣强、方强、周圣炎、贾雪飞、林冠辰 。 ——2020年首次发布为 T/TAF 078.4 -2020; ——本次为第一次修订。 T/TAF 078.4-2021 III 引 言 本文件根据《中华人民共和国网络安全法》等相关法律要求，依据《工业和信息化部关于开展纵深 推进APP侵害用户权益专项整治行动的通知》提出检测细则，进一步促进移动互联网行业的健康稳定发 展。 T/TAF 078.4-2021 1 APP用户权益 保护测评规范 第4部分：权限索取行为 1 范围 本文件规定了移动应用 软件权限索取行为 的检测细则以及典型检测场景。 本文件适用于移动应用软件提供者 规范应用使用与个人信息 相关的权限索取的行为 ， 也适用于主管 部门、第三方评估机构等组织对移动应用 软件收集使用个人信息行为进行监督 、管理和评估。 2 规范性引用文件 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 移动智能终端 smart mobile terminal 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软 件能力的终端。 3.2 移动应用 软件 mobile application 移动智能终端系统之上安装、运行的，向用户提供服务 功能的应用软件 ，包括集成的 SDK等第三 方产品或服务 。 4 缩略语 下列缩略语适用于本文件。 APP：移动应用软件 （Application ） 5 APP强制、频繁、过度索取权限 5.1 不给权限APP退出或关闭 APP运行时，向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限，用户拒 绝 授权后， APP不应退出 或关闭，不应拒绝注册或登 录，或拒绝提供与申请权限无关的功能服务 。 注1：电话、通讯录、短信、录音、相机、相册、日历等基本功能软件的基本功能所对应申请的权限除外 , 如:电话 T/TAF 078.4-2021 2 申请拨打电话等相关权限及权限组 。 5.2 不给权限APP弹窗循环 APP运行时，向用户索取电话、通讯录、定位 、短信、录音、相机、存储、日历等权限，用户拒绝 授权后， APP不应循环弹窗申请权限，使用户无 法继续使用。 注2：电话、通讯录、短信、录音、相机、相册、日历等基本功能软件的基本功能所对应申请的权限除外 ，如:电话 申请拨打电话等相关权限及权限组 。 5.3 申请无关权限 APP未见提供相关业务功能或服务，不应申请通讯录、定位、短信、录音、相机、日历、电话、存 储等权限。 5.4 过度申请权限 APP首次打开或运行中，未见 使用权限对应的相关功能 或服务时，不应提前向用户弹窗申请开启通 讯录、定位、短 信、录音、相机、日历 、电话、存储 等权限。 5.5 频繁申请权限 a) APP运行时，在用户明确拒绝通讯录、定位、短信、录音、相机、日历、电 话、存储、通知等 权限申请后，不应向用户频繁弹窗申请与当前服务场景无关的权限，影响用户正常使用。 b) APP在用户明确拒绝通讯录、定位、短信、录音、相机、日历、电话、存储、通知等权限申请 后，重新运行时， APP不应向用户频繁弹窗申请开启与当前服务场景无关的权限，影响用户正 常使用。 T/TAF 078.4-2021 电信终端产业协会 团体标准 APP用户权益保护测评规范 第4部分：权限索取行为 T/TAF 078.4-2021 * 版权所有 侵权必究 电信终端产业协会 印发 地址：北京市西城区新街口外大街 28号 电话：010-82052809 电子版发行网址： www.taf.org.cn