首页 > 安全资讯 > 安全软件 > 正文

工信部严控App调用用户权限,以最小必要为原则

搜狐网 搜狐网 2021-02-06 11:33:14

工业和信息化部 5 日通报了 26 款未能及时整改的侵害用户权益的 App,涉及违规调用麦克风、通讯录、相册等权限。

工信部严控App调用用户权限,以最小必要为原则

据澎湃新闻报道,2 月 5 日,在工信部召开的 App 个人信息保护监管座谈会上,工信部副部长刘烈宏表示,工信部自 2019 年 11 月启动了 App 侵害用户权益专项整治工作,目前已经取得了阶段性成果,但部分 App 侵犯用户个人信息问题仍然较为突出。近期,工信部将聚焦 App 滥用麦克风、相册、通讯录等权限问题和广告弹窗关不掉等问题开展重点整治行动。

刘烈宏称,一些即时通讯工具,输入法和地图导航等 App,在使用麦克风权限、读取文字输入内容后,超出用户许可范围用于其他途径,带来了风险隐患。刘烈宏表示,为了规范 App 任意收集、使用麦克风录音权限,工信部发布了《App 收集使用个人信息最小必要评估规范》,规定需按照知情同意和最小必要的原则收集使用、委托处理和存储录音信息,同时,也规定了收集使用录音信息的一些主要场景,包括主动上传场景、通讯录音类场景、录音加工类场景等,规定要求 App 只有在用户主动提供时,才能收集录音信息,使用录音信息时也不能超出收集生成时的目的和范围。

刘烈宏表示,在目前的操作系统授权管理机制下,用户对于 App 无法就读取和写入功能进行分别授权,只能一次性授权允许或者禁止。有些 App 在获取用户一次性授权后,过度使用甚至滥用储存权限。刘烈宏还谈道,一些 App 的弹窗广告关不掉,引发了用户不满,甚至侵犯了用户权益。

另据央视报道,《移动互联网应用程序个人信息保护管理暂行规定》即将出台。据了解,《暂行规定》共计 22 条。以知情同意和最小必要两项个人信息保护的基本原则为纲,要求从事 App 个人信息处理活动,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分支持的前提下做出自愿、明确的意思表示;最小必要规定,从事 App 个人信息处理活动,应当具有明确合理的控制,并遵循最小必要的原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

《暂行规定》以 App 开发运营者、App 分发平台、App 第三方服务提供者、移动终端电信设备生产者和网络技术服务提供者作为重点监管服务的对象,规定了五类主体应当遵循的个人信息保护总体要求和应承担的义务。相关主体如果违反规定,将依次按照通知整改,公开通报,下架处置,断开接入流程进行处置。未按要求完成整改或反复出现问题,采取技术对抗等违规情节严重的,除直接下架和断开接入以外,还将建议 App 分发平台和终端电信设备生产者在集成、分发、预置和安装等环节进行风险提示。