TAF-WG4-AS0051-V1.0.0-2019 移动智能终端及应用软件用户个人信息保护实施指南 第5部分 终端权限管理.docx

电信终端产业协会标准

TAF-WG4-AS0051-V1.0.0:2019

移动智能终端及应用软件用户个人信息保护实施

指南

第5部分：终端权限管理

MobileIntelligentTerminalandApplicationSoftwareUserPersonalInformation

ProtectionImplementationGuide

Part5:PermissionManagementofTerminal

2019-12-26发布

2019-12-26实施

电信终端产业协会发布

I

TAF-WG4-AS0051-V1.0.0:2019

目次

前言 II

引言 III

移动智能终端及应用软件用户个人信息保护实施指南第5部分：终端权限管理 4

1范围 4

2术语、定义 4

3移动智能终端权限分级 4

3.1一般权限 4

3.2敏感权限 6

3.3核心敏感权限 7

3.4特殊权限 7

3.5终端设备厂商自定义权限 8

4移动智能终端权限分组 8

4.1分组目的 8

4.2权限分组 8

5移动智能终端权限管理 8

5.1概述 8

5.2以权限维度管理 8

5.3以应用软件维度管理 9

6移动智能终端敏感权限及核心敏感权限申请、授予与撤销 9

6.1概述 9

6.2终端权限管控安全能力 9

6.3终端权限申请要求 9

6.4终端权限授予要求 9

6.5终端权限撤销要求 9

7分发平台对非预置应用权限声明要求 9

8权限管理配置管理建议 9

附录A（规范性附录） 11

附录B（资料性附录） 12

参考文献 22

TAF-WG4-AS0051-V1.0.0:2019

II

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由电信终端产业协会提出并归口。

本标准起草单位：OPPO广东移动通信有限公司、中国信息通信研究院、华为技术有限公司、维沃移动通信有限公司、北京三星通信技术研究有限公司、北京奇虎科技有限公司

本标准主要起草人：邹海荣、詹维骁、李腾、董霁、宁华、衣强、王江胜、贾科、吴春雨、姚一楠、

赵晓娜

赵晓娜

TAF-WG4-AS0051-V1.0.0:2019

III

引言

手机等移动智能终端设备的爆发式增长，以及移动互联网的发展使得手机成为了日常生活不可或缺的一部分，使用时长的不断增加使得手机等移动智能终端设备上存储着大量用户个人信息与敏感信息。因此，手机等智能移动终端设备成为了隐私窃取的新热点。随着手机功能的增强，价值越来越大，与之相伴的是越来越严峻的安全挑战。

在众多的移动平台中，Android平台以其开放性和良好的生态环境受到广大的手机厂商和用户的青睐。然而，Android应用生态的安全情况并不容乐观：例如，Android系统权限项目繁多，不便于用户理解与管理，在应用申请权限时往往一概授予；又如，权限管理往往“非黑即白”，一旦对应用授予某项权限，则该应用可以随时使用，缺少使用时询问或提示；再如，Android系统的开放性也导致对APP缺少必要的约束，APP过度获取非必要权限，以及不授权不能使用功能的“霸王条款”等情况较为普遍。

移动智能终端权限管理的效果直接决定了应用是否可以读取到用户的个人信息。所以，出于对用户个人信息保护的需要，终端权限管理标准迫切需要出台。这不仅涉及移动智能终端的规范，更是用户个人信息安全的话题。本标准将适用于可安装由第三方开发者开发的应用软件的移动智能终端，为移动智能终端厂商及终端设备应用开发者提供权限管理设计依据。

TAF-WG4-AS0051-V1.0.0:2019

4

移动智能终端及应用软件用户个人信息保护实施指南第5部分：终

端权限管理

1范围

本标准规定了移动智能终端权限管理的要求，包括移动智能终端权限范围定义；移动智能终端权限分类与分级；移动智能终端权限管理显示规范；移动智能终端权限申请方式、授予方式与撤销方式；移

动智能终端权限提示等。

动智能终端权限提示等。

本标准适用于各种制式的移动智能终端（主要针对搭载了Android系统的移动智能终端），个别条款不适用于特殊行业、专业应用，其他终端也可参考使用。

2术语、定义

本标准术语和定义引用《移动智能终端与应用软件用户个人信息保护实施指南第1部分：总则》。

3移动智能终端权限分级