TTAF 051-2021 移动智能终端及应用软件用户个人信息保护实施指南 第5部分：终端权限管理.docx

ICS33.050M30

团体标准

T/TAF051-2021

T/TAF051-2021代替T/TAF051-2019

2021-05-12发布2021-05-12实施

电信终端产业协会发布

I

T/TAF051-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语、定义和缩略语 1

3.1术语和定义 1

3.2缩略语 2

4移动智能终端权限分级 2

4.1一般权限 2

4.2敏感权限 4

4.3核心敏感权限 5

4.4特殊权限 5

4.5终端设备厂商自定义权限 6

5移动智能终端权限分组 6

5.1分组目的 6

5.2权限分组 7

6移动智能终端权限管理 7

6.1概述 7

6.2以权限维度管理 7

6.3以应用软件维度管理 7

7移动智能终端敏感权限及核心敏感权限申请、授予、撤销、升级 7

7.1概述 7

7.2终端权限管控安全能力 7

7.3终端权限申请要求 7

7.4终端权限授予要求 7

7.5终端权限撤销要求 8

7.6终端权限升级要求 8

8分发平台对非预置应用权限声明要求 8

9移动智能终端预置应用软件权限管理 8

10权限配置管理建议 8

11终端已授权权限的个人信息保护建议 8

附录A（资料性）AndroidR系统权限列表 9

附录B（资料性）AndroidR系统权限组及对应权限 24

附录C（资料性）权限配置管理建议示例 26

附录D（资料性）已授权权限的个人信息保护建议示例 27

T/TAF051-2021

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件代替T/TAF051-2019《移动智能终端及应用软件用户个人信息保护实施指南第5部分：终端权限管理》，与T/TAF051-2019相比，除结构调整和编辑性改动外，主要技术变化如下：

a)根据AndroidR版本更新了全文中对应的权限；

b)增加了7.6节终端权限升级要求、第9章移动智能终端预置应用权限管理、第11章终端已授权权限的个人信息保护建议

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件主要起草人：中国信息通信研究院、OPPO广东移动通信有限公司、华为技术有限公司、维沃移动通信有限公司、北京三星通信技术研究有限公司、北京奇虎科技有限公司、荣耀终端有限公司、北京小米移动软件有限公司。

本文件主要起草人：邹海荣、詹维骁、李腾、董霁、宁华、衣强、王江胜、贾科、吴春雨、姚一楠、赵晓娜、梅小虎、张倞诚、游苏英。

本文件及其所代替文件的历次版本发布情况为：

——2019年首次发布为T/TAF051-2019；

——本次为第一次修订。

T/TAF051-2021

III

引言

手机等移动智能终端设备的爆发式增长，以及移动互联网的发展使得手机成为了日常生活不可或缺的一部分，使用时长的不断增加使得手机等移动智能终端设备上存储着大量用户个人信息与敏感信息。因此，手机等智能移动终端设备成为了隐私窃取的新热点。随着手机功能的增强，价值越来越大，与之相伴的是越来越严峻的安全挑战。

在众多的移动平台中，Android平台以其开放性和良好的生态环境受到广大的手机厂商和用户的青睐。然而，Android应用生态的安全情况并不容乐观：例如，Android系统权限项目繁多，不便于用户理解与管理，在应用申请权限时往往一概授予；又如，权限管理往往“非黑即白”，一旦对应用授予某项权限，则该应用可以随时使用，缺少使用时询问或提示；再如，Android系统的开放性也导致对APP缺少必要的约束，APP过度获取非必要权限，以及不授权不能使用功能的“霸王条款”等情况较为普遍。

移动智能终端权限管理的效果直接决定了应用是否可以读取到用户的个人信息。所以，出于对用户个人信息保护的需要，终端权限管理标准迫切需要出台。这不仅涉及移动智能终端的规范，更是用户个人信息安全的话题。本文件将适用于可安装由第三方开发者开发的应用软件的移动智能终端，为移动智能终端厂商及终端设备应用开