T/TAF 051-2021 移动智能终端及应用软件用户个人信息保护实施指南 第5部分：终端权限管理

范围:本文件规定了移动智能终端权限管理的要求，包括移动智能终端权限范围定义；移动智能终端权限分类与分级；移动智能终端权限管理显示规范；移动智能终端权限申请方式、授予方式与撤销方式；移动智能终端权限提示等。 本文件适用于各种制式的移动智能终端（主要针对搭载了Android系统的移动智能终端），个别条款不适用于特殊行业、专业应用，其他终端也可参考使用; 主要技术内容:手机等移动智能终端设备的爆发式增长，以及移动互联网的发展使得手机成为了日常生活不可或缺的一部分，使用时长的不断增加使得手机等移动智能终端设备上存储着大量用户个人信息与敏感信息。因此，手机等智能移动终端设备成为了隐私窃取的新热点。随着手机功能的增强，价值越来越大，与之相伴的是越来越严峻的安全挑战。在众多的移动平台中，Android平台以其开放性和良好的生态环境受到广大的手机厂商和用户的青睐。 然而，Android应用生态的安全情况并不容乐观：例如，Android系统权限项目繁多，不便于用户理解与管理，在应用申请权限时往往一概授予；又如，权限管理往往“非黑即白”，一旦对应用授予某项权限，则该应用可以随时使用，缺少使用时询问或提示；再如，Android系统的开放性也导致对APP缺少必要的约束，APP过度获取非必要权限，以及不授权不能使用功能的“霸王条款”等情况较为普遍。移动智能终端权限管理的效果直接决定了应用是否可以读取到用户的个人信息。所以，出于对用户个人信息保护的需要，终端权限管理标准迫切需要出台。这不仅涉及移动智能终端的规范，更是用户个人信息安全的话题。本文件将适用于可安装由第三方开发者开发的应用软件的移动智能终端，为移动智能终端厂商及终端设备应用开发者提供权限管理设计依据