T/CSAC

团 体 标 准

T/CSAC XXXXX—XXXX

移动智能终端个人信息保护指南（征求意见稿）

（本稿完成时间：2021 年 11 月 1 日）

前 言

为指导移动智能终端操作系统完善个人信息保护功能设计，增强移动互联网应用程序收集个人信息行为透明度和规范化，帮助用户更加便捷的管理个人信息，掌握 App 收集使用个人信息的情况，制定本标准。

敏感权限调用提示

移动应用程序前后台使用麦克风、摄像头、位置等敏感权限时，移动智能终端在屏幕特定位置持续、显著地提示用户。用户点击提示标识时，移动智能终端展示正在使用敏感权限的移动应用程序名称，并为用户提供权限调整功能。

敏感操作行为提示

移动应用程序前后台读取剪切板、通讯录、短信、通话记录、日历、设备、行为信息、应用列表、系统相册以及读取或者删除其他移动应用程序私有存储目录文件等进行敏感操作或者调用敏感权限时， 移动智能终端采取有效措施向用户提示上述敏感操作行为。

用户安装来源不明移动应用程序时，移动智能终端向用户提醒可能存在的风险及其规避风险的措施。

提示设置

移动智能终端应当就敏感权限调用提示和敏感操作行为提示提供便捷设置途径。移动智能终端操作系统默认开启提示功能，用户可自主选择关闭提示功能，并可针对每项敏感权限和操作单独设置。

访问控制措施

移动智能终端应当依照最小必要原则，按照下列要求提供细粒度数据访问控制措施，强化用户对个人信息的控制能力：

在无需开启“存储”等权限的情况下，用户可以直接选取允许移动应用程序访问的照片、音视频等；

在无需开启“通讯录”权限的情况下，用户可以直接选取允许移动应用程序访问的特定联系人；

移动应用程序读取地理位置时，向用户提供精确位置和粗略位置选项；

在无需开启“读取通话记录”权限的情况下，用户可以直接选取允许移动应用程序访问的通话记录。

自启动行为控制

移动智能终端应当将移动应用程序自启动、被关联启动功能默认设置为关闭状态。在移动应用程序首次自启动、关联启动其他应用时弹窗提示用户，并为用户提供是否同意开启该功能的选项。

设备识别码控制

移动智能终端应当通过以下途径为用户提供便捷的设备识别码控制功能：

支持用户手动重置设备识别码或者提供设备识别码随机化的机制；

提供设备识别码定期自动重置功能；

提供是否允许移动应用程序读取设备识别码并用于追踪目的的选项，并将其设置为默认关闭状态；

禁止App 获取不可变更的设备识别码，如 MAC 地址、手机 IMEI 号等。

权限控制

移动智能终端应当遵循最小必要原则，为用户提供便捷的细粒度权限控制功能：

位置、摄像头、麦克风、通讯录、短信、日历等敏感权限为用户提供“单次授权”选项；

除位置、摄像头、麦克风、通讯录、短信、日历权限为移动应用程序提供服务所必需外，不得为用户提供“始终允许”的授权方式；

将读取应用程序列表、剪切板、手机号码、照片附加信息、行为信息以及屏幕截图等权限默认设置为拒绝或者关闭状态，在开启时需要单独获得用户明确同意，并向用户提供“仅使用期间允许、单次授权、拒绝”多种控制选项。

敏感权限自动重置

移动智能终端应当将用户 3 个月内未使用的移动应用程序开启的敏感系统权限重置为禁止状态， 并为用户提供手动关闭自动重置功能的选项。

存储空间管理

移动智能终端应当采取有效措施，将移动应用程序对存储空间的访问范围限定在私有存储目录的文件以及用户授权的公共存储区文件，并禁止移动应用程序将私有存储目录中的文件设置为全局可访问。

个人信息处理记录和展示

移动智能终端应当记录并展示移动应用程序收集使用敏感个人信息行为，并为用户提供便捷的查询途径，记录和展示的行为包括：

移动应用程序调用位置、通讯录、公共存储区、录音、拍摄、读取短信、通话记录、行为信息、日历、设备信息等敏感系统权限的行为；

自启动、关联启动和被关联启动的行为；

读取应用程序列表、剪切板、屏幕截图、系统相册等其他获取敏感个人信息的行为。

移动智能终端记录、保存使用上述权限和行为的次数、具体时间，保存期限不少于 7 天，并允许用户自行设置保存期限。

预装移动应用程序个人信息处理记录和展示

移动智能终端预装移动应用程序的敏感行为和系统权限控制机制应当与第三方移动应用程序保持一致，不得为预装移动应用程序进行默认授权或者削减安全管理措施。