智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū)（2018 年）

1、,版權(quán)聲明,,,本白皮書(shū)版權(quán)屬于中國(guó)信息通信研究院中國(guó)泰爾實(shí)驗(yàn)室，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本白 皮書(shū)文字或者觀點(diǎn)的，應(yīng)注明“來(lái)源：中國(guó)泰爾實(shí)驗(yàn)室”。違反上述聲明者，本實(shí)驗(yàn)室將追究其相關(guān)法律責(zé)任。,,前言,當(dāng)前，世界正處于新一輪科技革命和產(chǎn)業(yè)革命的變革浪潮中，以智能終端為代表的互聯(lián)網(wǎng)產(chǎn)業(yè)已成為“互聯(lián)網(wǎng)+”的基礎(chǔ)設(shè)施，是 推動(dòng)經(jīng)濟(jì)社會(huì)變革的重要力量。智能終端、應(yīng)用分發(fā)平臺(tái)、應(yīng)用軟件的迅猛發(fā)展為用戶帶來(lái)了前所未有的

2、豐富體驗(yàn)。在智能終端上， 可以通過(guò)應(yīng)用分發(fā)平臺(tái)下載社交、購(gòu)物、支付、出行、娛樂(lè)等各類 應(yīng)用軟件，隨時(shí)隨地享受互聯(lián)網(wǎng)時(shí)代的便利。隨著產(chǎn)業(yè)的蓬勃發(fā)展， 終端產(chǎn)業(yè)未來(lái)會(huì)進(jìn)一步走向信息化、智能化。然而，隨著技術(shù)日新月異的發(fā)展，智能終端產(chǎn)業(yè)的個(gè)人信息保 護(hù)問(wèn)題日益凸顯，信息泄漏、信息過(guò)度收集使用、權(quán)限濫用等問(wèn)題 嚴(yán)重威脅了廣大人民群眾的切身利益。為保障智能終端產(chǎn)業(yè)健康發(fā) 展，維護(hù)用戶合法權(quán)益，中國(guó)泰爾實(shí)驗(yàn)室、互聯(lián)網(wǎng)協(xié)會(huì)、電信終端 產(chǎn)業(yè)協(xié)會(huì)聯(lián)

3、合制定與發(fā)布本白皮書(shū)。本白皮書(shū)著眼于智能終端產(chǎn)業(yè) 新的發(fā)展階段，闡述了個(gè)人信息保護(hù)現(xiàn)狀和面臨的挑戰(zhàn)，基于業(yè)界 最佳實(shí)踐，在終端設(shè)備、分發(fā)平臺(tái)、應(yīng)用開(kāi)發(fā)等方面提出個(gè)人信息 保護(hù)建議，并倡議產(chǎn)業(yè)界落實(shí)企業(yè)主體責(zé)任，加強(qiáng)行業(yè)自律，強(qiáng)化 產(chǎn)業(yè)協(xié)作體系，共同構(gòu)筑智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)良好生態(tài)。,,目錄一、智能終端產(chǎn)業(yè)現(xiàn)狀 ...........................................................

4、....... 1二、智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)面臨的挑戰(zhàn)................................... 4（一）用戶信息過(guò)度收集難識(shí)別難舉證 ........................................4（二）權(quán)限申請(qǐng)過(guò)度易感知難判定 ................................................5（三）低API 等級(jí)應(yīng)用規(guī)避安卓安全機(jī)制.....

5、...............................6（四）設(shè)備識(shí)別碼防護(hù)意識(shí)不足 ....................................................7（五）隱私與便利選擇兩難，產(chǎn)業(yè)協(xié)作能力不足........................8三、終端設(shè)備個(gè)人信息保護(hù)的分析和建議...................................... 9（一）加大權(quán)限調(diào)用

6、可知可控力度 ................................................9（二）落實(shí)信息收集使用告知同意 ..............................................10（三）提高設(shè)備識(shí)別碼防護(hù)能力 .................................................. 11（四）重點(diǎn)加強(qiáng)生物特征數(shù)據(jù)保護(hù) ..........

7、....................................12（五）完善應(yīng)用管控保障機(jī)制 ......................................................13（六）加強(qiáng)基礎(chǔ)保障能力建設(shè) ......................................................14四、應(yīng)用開(kāi)發(fā)個(gè)人信息保護(hù)的分析與建議..................

8、.................. 15（一）采用高 API 等級(jí)開(kāi)發(fā)應(yīng)用..................................................15（二）適配最新操作系統(tǒng)及外部代碼庫(kù) ......................................16（三）遵循合法正當(dāng)必要原則申請(qǐng)權(quán)限 ......................................16（四）采用單項(xiàng)

9、同意獲取敏感信息收集使用授權(quán)......................18（五）采用加密機(jī)制傳輸敏感數(shù)據(jù) ..............................................20,,,（六）謹(jǐn)慎使用外部存儲(chǔ)區(qū)域 ......................................................20（七）貫徹全生命周期安全編碼原則 ........................

10、..................21五、應(yīng)用分發(fā)個(gè)人信息保護(hù)的分析與建議.................................... 22（一）制定完善的開(kāi)發(fā)者政策和分發(fā)協(xié)議 ..................................22（二）落實(shí)開(kāi)發(fā)者及應(yīng)用資質(zhì)審核要求 ......................................22（三）完善分發(fā)平臺(tái)上架機(jī)制 .........

11、.............................................23（四）充分明示應(yīng)用相關(guān)信息 ......................................................23（五）探索應(yīng)用運(yùn)行期管控方案 ..................................................23（六）建立投訴與反饋通道 .................

12、.........................................24（七）建立應(yīng)用下架響應(yīng)機(jī)制 ......................................................24（八）定期報(bào)送行業(yè)監(jiān)管數(shù)據(jù) ......................................................24六、消費(fèi)者個(gè)人信息保護(hù)建議..................

13、.................................... 25（一）選擇信息明示清晰的手機(jī)、應(yīng)用和下載渠道..................25（二）使用前充分了解權(quán)限管理機(jī)制和隱私政策......................26（三）善于使用手機(jī)設(shè)置功能，增強(qiáng)安全意識(shí)..........................26七、智能終端產(chǎn)業(yè)行動(dòng)倡議...........................

14、.............................. 27（一）落實(shí)企業(yè)主體責(zé)任，保障用戶合法權(quán)益..........................28（二）加強(qiáng)行業(yè)自律，探索自治新方式 ......................................28（三）促進(jìn)公眾監(jiān)督，及時(shí)響應(yīng)用戶關(guān)切 ..................................29（四）加強(qiáng)溝通協(xié)調(diào)，強(qiáng)化產(chǎn)業(yè)協(xié)作體系

15、..................................29,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,一、智能終端產(chǎn)業(yè)現(xiàn)狀據(jù)中國(guó)信息通信研究院發(fā)布的《2018 年 9 月國(guó)內(nèi)手機(jī)市場(chǎng)運(yùn)行 分析報(bào)告》，2018 年 1 月到 9 月，國(guó)內(nèi)智能終端出貨量為 2.87 億部， 其中 Android 操作系統(tǒng)占比達(dá)到 89.8%，iOS 操作系統(tǒng)占比為 10.1%， 其他系統(tǒng)為 0.1%。Andr

16、oid 操作系統(tǒng)具備開(kāi)源、開(kāi)放、靈活的特性， 當(dāng)前占據(jù)了智能終端市場(chǎng)的主導(dǎo)地位。隨著用戶權(quán)益保護(hù)意識(shí)的覺(jué) 醒，裝載 Android 操作系統(tǒng)的智能終端已成為個(gè)人信息保護(hù)工作的焦 點(diǎn)。,數(shù)據(jù)來(lái)源：中國(guó)泰爾實(shí)驗(yàn)室圖 1 2018 年進(jìn)網(wǎng)終端 Android 系統(tǒng)版本比例Android 系統(tǒng)碎片化問(wèn)題嚴(yán)重。據(jù)統(tǒng)計(jì)，在 2018 年進(jìn)網(wǎng)終端中，Android 9.0 占比 4.42%；Android 8.0 占比 46.54%；A

17、ndroid 7.0 占比25.18%；上市三年多的 Android 6.0 系統(tǒng)，占比 14.58%；Android 5.0及更早之前的版本占比 9.28%。相對(duì)于舊版本，新版本增加了更多的,,,,,,,,,,,,,,,,4?,,47?,,25?,,15?,,9?,,,,,,Android 9Android 8,,,,,Android 7Android 6,,,其他,1,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,

18、中國(guó)泰爾實(shí)驗(yàn)室,,個(gè)人信息保護(hù)機(jī)制。嚴(yán)重的系統(tǒng)碎片化問(wèn)題，使得較多應(yīng)用利用Android 操作系統(tǒng)向下兼容的特性，采用較低等級(jí)目標(biāo) API 版本，規(guī) 避高版本操作系統(tǒng)安全和保護(hù)機(jī)制的約束。iOS 系統(tǒng)版本分布相對(duì)集中。根據(jù)蘋(píng)果公司官網(wǎng)數(shù)據(jù)，截至 2018年 10 月 10 日，全球活躍設(shè)備中有 50%使用 1 個(gè)月前發(fā)布的iOS 12新版本，約 90%的用戶使用一年內(nèi)發(fā)布的 iOS 版本。相對(duì)于 Android，iOS

19、操作系統(tǒng)具有封閉的特性，核心代碼不開(kāi)放，操作系統(tǒng)統(tǒng)一更新， 新版本普及速率較快，版本分布比較集中，碎片化現(xiàn)象不嚴(yán)重。同時(shí)， 具有唯一的官方應(yīng)用市場(chǎng)（App Store）下載渠道，應(yīng)用上架規(guī)則統(tǒng)一， 可在源頭加強(qiáng)應(yīng)用敏感權(quán)限使用和信息收集使用的審核，對(duì)營(yíng)造的 iOS 產(chǎn)業(yè)生態(tài)具有較強(qiáng)的管控能力。,數(shù)據(jù)來(lái)源：蘋(píng)果公司官網(wǎng)，2018 年 10 月 10 日?qǐng)D 2 活躍設(shè)備 iOS 系統(tǒng)版本比例應(yīng)用個(gè)人信息保護(hù)問(wèn)題突出。用戶可從商店

20、、網(wǎng)頁(yè)、論壇等第三 方分發(fā)渠道下載應(yīng)用。裝載社交、購(gòu)物、支付、出行、娛樂(lè)等各類應(yīng),,,,,,,,,,50?,,39?,,11?,,,,,,,,iOS 12iOS 11早期版本,2,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,,用的終端設(shè)備，已經(jīng)成為用戶社交和生活的主要載體。終端所裝應(yīng)用引發(fā)的信息泄露等問(wèn)題是消費(fèi)者關(guān)注的焦點(diǎn)。在應(yīng)用使用過(guò)程中，用 戶讓渡部分信息獲取生活便利已成為普遍現(xiàn)象，大量應(yīng)用越界獲取及

21、 濫用用戶信息，侵犯用戶合法權(quán)益，造成用戶財(cái)產(chǎn)損失。敏感信息竊取比例 11.86 。在 2017 年 10 月-2018 年 10 月所檢測(cè)的 2722 萬(wàn)余款應(yīng)用中，存在資費(fèi)損耗、妨害滋擾、隱私竊取等侵 犯用戶權(quán)益的應(yīng)用 299 萬(wàn)個(gè)， 其中竊取敏感信息的應(yīng)用比例為11.86%。,數(shù)據(jù)來(lái)源：武漢安天信息技術(shù)有限公司圖 3 用戶個(gè)人信息保護(hù)不良行為類別游戲娛樂(lè)類應(yīng)用風(fēng)險(xiǎn)最高。從高風(fēng)險(xiǎn)和違規(guī)應(yīng)用分布來(lái)看，游戲 娛樂(lè)類應(yīng)用

22、占比最高，達(dá) 40.05%。游戲依托其應(yīng)用特性，多款應(yīng)用存在竊取用戶信息、強(qiáng)行捆綁應(yīng)用等問(wèn)題。高風(fēng)險(xiǎn)和違規(guī)應(yīng)用中系統(tǒng) 工具類占比 21.49%，其中手機(jī)桌面應(yīng)用、ROOT 工具應(yīng)用等越界獲 取用戶信息嚴(yán)重，甚至造成用戶財(cái)產(chǎn)損失。生活服務(wù)類應(yīng)用占比16.83%，該類應(yīng)用與用戶生活連結(jié)緊密，更容易被攻擊者利用，竊取,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,12?,,46?,,0?,,4?,,0?,,2?,,3?,,1?

23、,,32?,,,,,,,,,,,,,,,,,,,,隱私竊取 資費(fèi)損耗 遠(yuǎn)程控制 系統(tǒng)破壞 風(fēng)險(xiǎn)傳播 誘騙欺詐 強(qiáng)制推廣 版權(quán)侵害 妨害滋擾,3,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)驗(yàn)室,,用戶信息，侵犯用戶權(quán)益。,數(shù)據(jù)來(lái)源：武漢安天信息技術(shù)有限公司圖 4 高風(fēng)險(xiǎn)和違規(guī)應(yīng)用行業(yè)分布二、智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)面臨的挑戰(zhàn)隨著大數(shù)據(jù)時(shí)代的到來(lái)，個(gè)人信息保護(hù)問(wèn)題逐漸暴露。信息泄漏、 信息過(guò)度收集使用、權(quán)限濫用

24、等問(wèn)題嚴(yán)重威脅了廣大用戶的切身利 益。應(yīng)用API 等級(jí)低、一攬子授權(quán)、不授權(quán)就不給用等現(xiàn)象的存在， 將用戶推入隱私與便利的兩難選擇。智能終端產(chǎn)業(yè)用戶個(gè)人信息保護(hù) 工作面臨嚴(yán)峻的挑戰(zhàn)。（一）用戶信息過(guò)度收集難識(shí)別難舉證隨著移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，應(yīng)用經(jīng)歷了“野蠻生長(zhǎng)”的時(shí)代。 為提供個(gè)性化服務(wù)，開(kāi)展精準(zhǔn)投放，應(yīng)用收集使用了大量用戶的個(gè)人 信息，包括設(shè)備信息、位置信息、通訊錄等敏感數(shù)據(jù)。應(yīng)用在收集使 用個(gè)人信息的過(guò)程中，存在以下現(xiàn)象：

25、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,40?,,21?,,17?,,6?,,4?,,3?,,,,3? 3? 2?,,1?,,,,,,,,,,,,,,,,,,,,,,游戲娛樂(lè) 系統(tǒng)工具 生活服務(wù) 通訊社交 媒體資訊 辦公商務(wù) 教育培訓(xùn) 旅游出行 金融理財(cái) 網(wǎng)上購(gòu)物,4,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,應(yīng)用在用戶不知情的情況下，過(guò)度收集和使用個(gè)人信息。大量用戶反映，個(gè)人信息

26、在不知情的情況下被收集使用，搜索過(guò)的信息，說(shuō) 過(guò)的話，敏感的健康數(shù)據(jù)，以用戶可感知的方式呈現(xiàn)。但信息是如何 被收集，通過(guò)何種渠道共享傳播，普通用戶難識(shí)別，難舉證。較多應(yīng) 用并未通過(guò)隱私政策或其他途徑告知用戶收集使用信息的目的、方式 和范圍，也未向用戶提供明確的允許和拒絕的選擇，這種累積性的權(quán) 益侵害在日常生活中普遍存在，引發(fā)了用戶的嚴(yán)重?fù)?dān)憂。信息過(guò)度收 集使用的亂象亟待解決。應(yīng)用第三方 SDK 大量收集使用個(gè)人信息。應(yīng)用通常會(huì)使用第三

27、方 SDK 快速實(shí)現(xiàn)業(yè)務(wù)功能，而第三方 SDK 與應(yīng)用在收集用戶信息方面 具有同樣的能力。鑒于第三方 SDK 的不開(kāi)源性，應(yīng)用無(wú)法完全掌控 第三方SDK 的行為。部分應(yīng)用不清楚 SDK 申請(qǐng)權(quán)限的目的，難以準(zhǔn) 確明示第三方SDK 所收集使用的用戶信息，通常只能通過(guò)協(xié)議約束 第三方SDK 收集使用用戶信息的行為。某些第三方 SDK 同時(shí)被多家 應(yīng)用集成使用，收集的海量數(shù)據(jù)一旦泄露，可造成廣泛的惡劣影響。（二）權(quán)限申請(qǐng)過(guò)度易感知難判定

28、權(quán)限是指為保護(hù)用戶的隱私，移動(dòng)終端操作系統(tǒng)對(duì)于應(yīng)用訪問(wèn)敏 感用戶數(shù)據(jù)或使用特定系統(tǒng)功能的限制。為滿足用戶可知可控要求， 國(guó)內(nèi)終端大都具備權(quán)限管理機(jī)制，權(quán)限申請(qǐng)?jiān)陲@著位置提示，并經(jīng)用 戶同意后方可使用。但目前權(quán)限申請(qǐng)過(guò)度仍是普遍現(xiàn)象。權(quán)限申請(qǐng)過(guò)度現(xiàn)象嚴(yán)重。根據(jù)對(duì)國(guó)內(nèi)應(yīng)用市場(chǎng) TOP 1000 應(yīng)用取 樣分析顯示，Android 應(yīng)用普遍會(huì)申請(qǐng)電話、定位、攝像頭和錄音等,5,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)

29、驗(yàn)室,,核心敏感權(quán)限，其中讀取電話狀態(tài)權(quán)限的比例 97.37%，申請(qǐng)位置權(quán)限的比例 84.15%，申請(qǐng)攝像頭權(quán)限的比例 66.8%，申請(qǐng)錄音權(quán)限的 比例 59.1%，申請(qǐng)聯(lián)系人權(quán)限的比例 42.4%。應(yīng)用過(guò)度申請(qǐng)權(quán)限的問(wèn) 題普遍存在。申請(qǐng)超出應(yīng)用實(shí)際業(yè)務(wù)功能和場(chǎng)景的權(quán)限，為應(yīng)用過(guò)度 收集用戶個(gè)人信息打開(kāi)了通道，極易造成用戶信息泄漏。,數(shù)據(jù)來(lái)源：中國(guó)泰爾實(shí)驗(yàn)室圖 5 應(yīng)用權(quán)限獲取情況權(quán)限過(guò)度申請(qǐng)濫用難規(guī)范難判定。如何判定應(yīng)用權(quán)限過(guò)

30、度申請(qǐng)和 濫用，存在易感知難判定的問(wèn)題。目前尚缺乏成熟的技術(shù)規(guī)范和判定 手段，難以正確引導(dǎo)應(yīng)用開(kāi)發(fā)者遵循合法正當(dāng)必要原則申請(qǐng)權(quán)限，是 智能終端產(chǎn)業(yè)在個(gè)人信息保護(hù)工作中面臨的巨大的挑戰(zhàn)。（三）低 API 等級(jí)應(yīng)用規(guī)避安卓安全機(jī)制應(yīng)用與Android 系統(tǒng)的交互依賴于框架 API，開(kāi)發(fā)時(shí)要配置應(yīng)用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,99.25 97.37,,84.52,,84.15,,79.64,,66

31、.79,,59.07,,49.44,,42.39,,41.80,,0.00,,,,,,50.0040.0030.0020.0010.00,,,70.0060.00,,,,100.0090.0080.00,,百分比,,,,,,,,,,,,,,,,,,,寫(xiě)入外部存儲(chǔ) 讀取電話狀態(tài) 讀取外部存儲(chǔ) 訪問(wèn)粗略位置 使用攝像頭錄音訪問(wèn)帳號(hào)信息 讀取聯(lián)系人,,,訪問(wèn)精確位置 撥打電話,6,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白

32、皮書(shū) （2018 年）,,的目標(biāo)API 等級(jí)以明確應(yīng)用支持的 Android 目標(biāo)系統(tǒng)版本。低API 等級(jí)應(yīng)用風(fēng)險(xiǎn)高，升級(jí)難度大。Android 系統(tǒng)在應(yīng)用運(yùn)行 時(shí)檢查目標(biāo)API 等級(jí)設(shè)置，若系統(tǒng)版本低于或者等于應(yīng)用的目標(biāo) API 等級(jí)，系統(tǒng)無(wú)需執(zhí)行任何兼容性處理。若 Android 系統(tǒng)版本高于此項(xiàng) 配置，系統(tǒng)會(huì)執(zhí)行兼容性策略。低 API 等級(jí)應(yīng)用運(yùn)行在高版本的Android 操作系統(tǒng)上，可繞過(guò) Android 系統(tǒng)的信息保護(hù)

33、機(jī)制。同時(shí)，Android 系統(tǒng)針對(duì)目標(biāo) API 等級(jí) 23 及以上的應(yīng)用執(zhí)行運(yùn)行時(shí)權(quán)限機(jī)制，即業(yè)務(wù)功能運(yùn)行時(shí)系統(tǒng)才會(huì)授予應(yīng)用權(quán)限。目標(biāo) API 等級(jí) 23 以 下的應(yīng)用采用一攬子授權(quán)，存在不授權(quán)無(wú)法安裝使用的問(wèn)題。目前， 國(guó)內(nèi)應(yīng)用達(dá)到目標(biāo)API 等級(jí) 26 及以上的比例大致為 10%，推動(dòng)應(yīng)用 開(kāi)發(fā)者及時(shí)適配高版本 Android 系統(tǒng)，加強(qiáng)移動(dòng)智能終端預(yù)置與分發(fā) 環(huán)節(jié)對(duì)應(yīng)用高API 等級(jí)的上架要求，是近期用戶個(gè)人信息保護(hù)的重

34、點(diǎn) 工作。（四）設(shè)備識(shí)別碼防護(hù)意識(shí)不足隨著大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，收集智能終端唯一標(biāo)識(shí)，如國(guó)際移動(dòng)設(shè) 備識(shí)別碼（IMEI）、Wi-FiMAC 地址、SIM 卡國(guó)際移動(dòng)用戶識(shí)別 碼（IMSI）和藍(lán)牙地址等設(shè)備物理地址信息成為普遍現(xiàn)象。用戶普遍缺乏設(shè)備識(shí)別碼防護(hù)意識(shí)。設(shè)備識(shí)別碼與用戶身份深度綁定。累積性的數(shù)據(jù)匯聚為用戶的行蹤軌跡，可用于分析特定用戶的 生活習(xí)慣和消費(fèi)行為，形成個(gè)人畫(huà)像，并在用戶未知情的情況下用于 精準(zhǔn)營(yíng)銷、甚至精準(zhǔn)詐

35、騙等。然而普通用戶缺乏設(shè)備識(shí)別碼的防護(hù)意 識(shí)，并未意識(shí)到設(shè)備識(shí)別碼已成為重要的個(gè)人敏感信息。提升用戶設(shè),7,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)驗(yàn)室,,備識(shí)別碼防護(hù)意識(shí)，加大設(shè)備識(shí)別碼保護(hù)機(jī)制研究，落實(shí)設(shè)備識(shí)別碼防護(hù)措施，既是個(gè)人信息保護(hù)工作的難點(diǎn)，也是重點(diǎn)。設(shè)備識(shí)別碼防護(hù)手段不足。部分終端設(shè)備使用了 Wi-Fi MAC 地 址隨機(jī)化機(jī)制，在未接入 Wi-Fi 熱點(diǎn)時(shí)發(fā)送含有隨機(jī) MAC 地址的探 索幀，

36、避免真實(shí) MAC 地址被惡意 Wi-Fi 熱點(diǎn)非法收集，防止用戶軌 跡的泄露。但當(dāng)終端設(shè)備實(shí)際接入 Wi-Fi 網(wǎng)絡(luò)時(shí)，終端設(shè)備仍需切換真實(shí)的MAC 地址進(jìn)行網(wǎng)絡(luò)通信，未能從根源上解決設(shè)備識(shí)別碼被非 法收集的問(wèn)題。（五）隱私與便利選擇兩難，產(chǎn)業(yè)協(xié)作能力不足移動(dòng)互聯(lián)網(wǎng)在給我們工作生活帶來(lái)便利的同時(shí)，頻頻出現(xiàn)用戶個(gè) 人信息泄漏、盜用等問(wèn)題。隱私換取便利是無(wú)奈之舉。大量應(yīng)用在安裝使用時(shí)，申請(qǐng)通訊錄、 攝像頭、短信、錄音、位置等多項(xiàng)與

37、其核心功能無(wú)關(guān)的權(quán)限，若用戶拒絕某些權(quán)限的申請(qǐng)，應(yīng)用則無(wú)法正常使用。這種行業(yè)內(nèi)普遍存在的 一攬子授權(quán)、不授權(quán)就不給用的現(xiàn)象，使得大部分用戶別無(wú)選擇，不 得不拿個(gè)人隱私換取便利。應(yīng)用這種權(quán)限濫用行為，已經(jīng)成為用戶個(gè) 人信息泄露的主要途徑。產(chǎn)業(yè)協(xié)作能力不足。在用戶權(quán)益保護(hù)共識(shí)廣泛達(dá)成、公眾個(gè)人敏感信息保護(hù)意識(shí)普遍提升的情況下，終端、應(yīng)用、分發(fā)等產(chǎn)業(yè)鏈環(huán)節(jié) 協(xié)作不足，權(quán)限管控、信息收集使用、設(shè)備識(shí)別碼防護(hù)等方面行動(dòng)不 統(tǒng)一，未形成有效合

38、力。建立對(duì)重點(diǎn)環(huán)節(jié)的有效管控，構(gòu)筑上下游打,8,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,通、各方力量協(xié)同的個(gè)人信息保護(hù)協(xié)作體系，將成為現(xiàn)實(shí)需要和必然方向。三、終端設(shè)備個(gè)人信息保護(hù)的分析和建議隨著互聯(lián)網(wǎng)的迅猛發(fā)展，終端功能日益豐富，在給生活帶來(lái)極大 便利性的同時(shí)，也逐步成為綁定了大量個(gè)人信息的載體，帶來(lái)安全威 脅。終端設(shè)備應(yīng)從權(quán)限可知可控，個(gè)人信息采集告知同意，設(shè)備識(shí)別 碼安全防護(hù)，生物特征數(shù)據(jù)保護(hù)

39、，終端設(shè)備應(yīng)用管控和基礎(chǔ)保障等多 個(gè)方面出發(fā)，建立全方位的個(gè)人信息保護(hù)體系，為個(gè)人敏感數(shù)據(jù)的機(jī) 密性、完整性和可用性保駕護(hù)航。（一）加大權(quán)限調(diào)用可知可控力度應(yīng)依據(jù)YD/T 2407-2013《移動(dòng)智能終端安全能力技術(shù)要求》標(biāo)準(zhǔn)， 終端設(shè)備應(yīng)遵循行為與用戶意愿一致的基本原則，設(shè)計(jì)完善的權(quán)限管 控機(jī)制，提升用戶可知可控的能力，避免用戶個(gè)人信息泄露。用戶對(duì)終端設(shè)備權(quán)限調(diào)用應(yīng)可知。終端設(shè)備應(yīng)通過(guò)給用戶提示的 方式來(lái)防范安全威脅，給用戶

40、的提示可以是圖標(biāo)、文字或其他明顯的 方式。在操作執(zhí)行期間，提示應(yīng)足夠引起用戶注意，且提示信息易于 理解。終端設(shè)備宜從應(yīng)用和權(quán)限兩個(gè)視角呈現(xiàn)調(diào)用情況，用戶既可查 看單個(gè)應(yīng)用申請(qǐng)的全部權(quán)限及目的，也可查看申請(qǐng)某特定權(quán)限的全部 應(yīng)用。同時(shí)，建議終端設(shè)備提供相應(yīng)機(jī)制，在一定時(shí)間內(nèi)記錄并統(tǒng)計(jì) 應(yīng)用調(diào)用行為情況，可供用戶查看詳細(xì)記錄結(jié)果。用戶對(duì)終端設(shè)備上權(quán)限調(diào)用應(yīng)可控。終端設(shè)備應(yīng)通過(guò)讓用戶確認(rèn),9,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018

41、年）,中國(guó)泰爾實(shí)驗(yàn)室,,的方式來(lái)防范安全威脅，用戶應(yīng)具有選擇權(quán)，即用戶能確認(rèn)也能取消。Android 6.0（API 23 等級(jí)）及以上，在應(yīng)用運(yùn)行時(shí)向其授予權(quán)限。終 端設(shè)備應(yīng)提供權(quán)限管控機(jī)制，對(duì)所安裝的第三方應(yīng)用的敏感權(quán)限進(jìn)行 分項(xiàng)控制，可提供允許、詢問(wèn)和禁止三種狀態(tài)以便用戶選擇。終端設(shè) 備在應(yīng)用使用攝像頭、錄音、定位和電話等核心敏感權(quán)限時(shí)，應(yīng)實(shí)時(shí) 提供顯性提示告知用戶。手機(jī)號(hào)碼、設(shè)備識(shí)別碼（IMEI、Wi-Fi MAC地址等）、

42、讀取短信、寫(xiě)/刪短信、讀取聯(lián)系人、寫(xiě)/刪聯(lián)系人、后臺(tái) 截屏、上網(wǎng)記錄（歷史、書(shū)簽）等敏感權(quán)限，應(yīng)在相關(guān)業(yè)務(wù)功能運(yùn)行 時(shí)獲取用戶確認(rèn)授權(quán)。終端設(shè)備未經(jīng)用戶許可不得默認(rèn)授權(quán)。應(yīng)用調(diào) 用移動(dòng)數(shù)據(jù)、WLAN、NFC 和藍(lán)牙等功能開(kāi)關(guān)時(shí)，應(yīng)征得用戶同意。 終端設(shè)備宜提供應(yīng)用自啟動(dòng)權(quán)限管理功能，用戶可設(shè)置應(yīng)用能否被系 統(tǒng)或第三方應(yīng)用啟動(dòng)。（二）落實(shí)信息收集使用告知同意終端設(shè)備在收集和使用個(gè)人信息時(shí)，用戶應(yīng)具有知情權(quán)與選擇 權(quán)。終端應(yīng)詳細(xì)告知所

43、收集用戶個(gè)人信息的內(nèi)容、目的、方式和范圍， 僅當(dāng)用戶同意后方可收集。在個(gè)人信息收集前告知用戶。在企業(yè)網(wǎng)站、公眾號(hào)等渠道明示終 端及預(yù)置軟件的相關(guān)信息，為用戶選擇終端產(chǎn)品提供便利的查詢方式。用戶首次使用時(shí)，終端設(shè)備應(yīng)在開(kāi)機(jī)向?qū)У碾[私政策、用戶協(xié)議 中，展現(xiàn)信息收集使用的內(nèi)容，明確告知此設(shè)備將收集的詳細(xì)信息。 在首次使用功能或服務(wù)前、撤回授權(quán)后重新使用前，分項(xiàng)告知用戶功,10,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （201

44、8 年）,,能或服務(wù)收集個(gè)人信息詳情。在使用終端功能或服務(wù)過(guò)程中，需收集個(gè)人敏感信息時(shí)，應(yīng)在每次收集前進(jìn)行告知。當(dāng)收集信息的內(nèi)容、使 用目的、收集方式與頻率、存放地域與期限、保護(hù)方式、信息共享和 個(gè)人信息控制權(quán)等發(fā)生變更時(shí)，應(yīng)重新告知用戶。告知方式應(yīng)易于用戶感知。終端告知方式，應(yīng)根據(jù)收集的信息類 型、功能服務(wù)類別、終端設(shè)備形態(tài)等因素綜合考量。可在通用隱私政 策基礎(chǔ)上，根據(jù)功能和服務(wù)的不同，制定獨(dú)立的隱私政策。在終端界面中，應(yīng)增加可

45、供用戶隨時(shí)查看的隱私政策或用戶協(xié)議入口。在個(gè)人 敏感信息收集時(shí)，應(yīng)通過(guò)詢問(wèn)、彈窗等二次增強(qiáng)的告知方式，將收集 的個(gè)人敏感信息告知用戶，并由用戶選擇同意或拒絕。可在終端告知 方式上開(kāi)展創(chuàng)新，如動(dòng)畫(huà)、短片等告知形式。告知內(nèi)容應(yīng)足夠清晰且易于理解。終端告知內(nèi)容應(yīng)準(zhǔn)確、清晰、 易懂，符合通用的語(yǔ)言習(xí)慣，避免歧義，不得誘導(dǎo)用戶。告知內(nèi)容應(yīng)包含收集使用信息的內(nèi)容、目的、方式、范圍、頻次、保護(hù)措施以及 公開(kāi)、轉(zhuǎn)移、共享等相關(guān)信息。終端應(yīng)明示用戶對(duì)

46、個(gè)人信息所擁有的 各項(xiàng)權(quán)利，如拒絕權(quán)、訪問(wèn)權(quán)、更正權(quán)撤銷同意權(quán)等。（三）提高設(shè)備識(shí)別碼防護(hù)能力隨著設(shè)備識(shí)別碼敏感性的提升，用戶高度關(guān)注設(shè)備識(shí)別碼被收集 濫用的情況。終端設(shè)備廠商應(yīng)加強(qiáng)設(shè)備識(shí)別碼的防護(hù)，提升設(shè)備識(shí)別 碼防護(hù)能力，避免在用戶不知情的情況下，與用戶身份綁定的物理設(shè) 備信息被隨意收集使用。設(shè)備識(shí)別碼匿名化。在終端設(shè)備的使用過(guò)程中，使用匿名化的設(shè),11,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)驗(yàn)室,

47、,備識(shí)別碼機(jī)制，降低因設(shè)備識(shí)別碼泄露用戶位置記錄、消費(fèi)習(xí)慣等信息的風(fēng)險(xiǎn)。例如在連接 Wi-Fi 熱點(diǎn)的過(guò)程中，終端設(shè)備使用隨機(jī)化的MAC 地址搜索 Wi-Fi 熱點(diǎn)，可保護(hù)真實(shí)的 MAC 地址。此外應(yīng)加快設(shè) 備識(shí)別碼匿名化方案的研究，提出切實(shí)可行的設(shè)備識(shí)別碼匿名化框 架，如研制真?zhèn)卧O(shè)備識(shí)別碼映射系統(tǒng)、提出 Wi-Fi 協(xié)議識(shí)別碼匿名化 機(jī)制等。提供設(shè)備識(shí)別碼替代機(jī)制。終端設(shè)備應(yīng)盡量避免使用設(shè)備識(shí)別碼 作為終端唯一標(biāo)識(shí)符，應(yīng)提供替

48、代機(jī)制。例如采用廣告 ID 作為唯一 標(biāo)識(shí)符，使終端設(shè)備應(yīng)用無(wú)法獲取設(shè)備物理的識(shí)別碼，用作精準(zhǔn)營(yíng)銷、 用戶畫(huà)像等。同時(shí)該廣告 ID 可由用戶重置，禁止將設(shè)備識(shí)別碼與廣 告 ID 鏈接，杜絕長(zhǎng)期跟蹤用戶的行為。嚴(yán)格限制獲取設(shè)備識(shí)別碼。終端設(shè)備應(yīng)禁止設(shè)備直接獲取所有的 設(shè)備識(shí)別碼，同時(shí)應(yīng)對(duì)設(shè)備識(shí)別碼的訪問(wèn)設(shè)置嚴(yán)格權(quán)限管控機(jī)制，如第三方應(yīng)用對(duì)設(shè)備識(shí)別碼的收集與使用應(yīng)對(duì)用戶詳細(xì)提示與確認(rèn)，并 在用戶同意后進(jìn)行。（四）重點(diǎn)加強(qiáng)生物特征數(shù)據(jù)

49、保護(hù)支付業(yè)務(wù)中的生物特征數(shù)據(jù)直接關(guān)系到用戶的切身利益，用戶的 支付口令、生物識(shí)別信息等必須得到有效的安全防護(hù)。終端設(shè)備廠商 應(yīng)健全生物特征數(shù)據(jù)保護(hù)架構(gòu)，采用生物特征數(shù)據(jù)加密存儲(chǔ)、支付環(huán) 境隔離防護(hù)等措施，保障用戶切身權(quán)益。生物特征數(shù)據(jù)應(yīng)進(jìn)行加密存儲(chǔ)。為保障用戶支付口令、密鑰、證,12,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,書(shū)、指紋模版和人臉模版等個(gè)人敏感數(shù)據(jù)的安全性，建議使用具備安全存儲(chǔ)功能的安全

50、單元芯片（SE）、可信執(zhí)行環(huán)境（TEE）等方案， 存儲(chǔ)加密后的個(gè)人敏感數(shù)據(jù)，加密的密鑰應(yīng)采用多密鑰衍生的方式， 保證終端設(shè)備一機(jī)一密。終端設(shè)備應(yīng)遵循生物特征數(shù)據(jù)本地存儲(chǔ)的原 則，未經(jīng)用戶許可，嚴(yán)禁上傳云端。支付環(huán)境應(yīng)采用隔離防護(hù)措施。支付環(huán)境應(yīng)采用軟硬件隔離技 術(shù)，使用安全單元芯片（SE）、可信執(zhí)行環(huán)境（TEE）等方案，將支付應(yīng)用與其它應(yīng)用進(jìn)行隔離，確保在支付全生命周期中個(gè)人敏感數(shù)據(jù) 不被非法竊取。（五）完善應(yīng)用管控保障機(jī)制

51、終端設(shè)備廠商應(yīng)該構(gòu)建完善的應(yīng)用管控保障機(jī)制，提供應(yīng)用簽 名、運(yùn)行時(shí)內(nèi)存保護(hù)、惡意網(wǎng)址檢測(cè)、流量監(jiān)控等措施，全方位保護(hù) 用戶數(shù)據(jù)。使用應(yīng)用簽名。使用應(yīng)用簽名保證應(yīng)用的完整性和來(lái)源的合法 性，系統(tǒng)在安裝應(yīng)用時(shí)，通過(guò)對(duì)簽名進(jìn)行驗(yàn)證，檢查應(yīng)用是否被篡改。運(yùn)行時(shí)內(nèi)存保護(hù)。通過(guò)地址空間布局隨機(jī)化（ASLR）及數(shù)據(jù)執(zhí) 行保護(hù)技術(shù)（DEP），增加內(nèi)存漏洞攻擊的難度，降低個(gè)人敏感數(shù)據(jù) 被竊取的風(fēng)險(xiǎn)。提供惡意網(wǎng)址檢測(cè)功能。針對(duì)短信、瀏覽器和即時(shí)通訊

52、等應(yīng)用中 未知來(lái)源的鏈接，提供惡意網(wǎng)址檢測(cè)功能。監(jiān)控流量使用情況。監(jiān)控應(yīng)用數(shù)據(jù)流量使用，將應(yīng)用流量情況展 示給用戶，同時(shí)提供 Wi-Fi 和蜂窩移動(dòng)網(wǎng)絡(luò)的控制選項(xiàng)，防止惡意應(yīng),13,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)驗(yàn)室,,用后臺(tái)上傳個(gè)人敏感數(shù)據(jù)。（六）加強(qiáng)基礎(chǔ)保障能力建設(shè)終端設(shè)備應(yīng)提供基礎(chǔ)安全能力和信任憑證，保障個(gè)人信息的機(jī)密 性、完整性和可用性。具備安全啟動(dòng)機(jī)制。終端設(shè)備應(yīng)采用驗(yàn)證數(shù)字簽名等安全

53、啟動(dòng)機(jī) 制，確保系統(tǒng)代碼的可靠性和完整性，防止惡意代碼的加載運(yùn)行。實(shí)施強(qiáng)制訪問(wèn)控制。使用 SELinux 對(duì)所有的進(jìn)程、文件和操作等 實(shí)施強(qiáng)制訪問(wèn)控制，阻止進(jìn)程讀寫(xiě)受保護(hù)數(shù)據(jù)和繞過(guò)內(nèi)核的安全機(jī) 制。內(nèi)核地址空間布局隨機(jī)化（KASLR）。采用地址隨機(jī)化技術(shù)，使 內(nèi)存地址空間隨機(jī)化，防止攻擊代碼對(duì)內(nèi)存中的地址進(jìn)行硬編碼，提 升系統(tǒng)內(nèi)核的安全性。定期進(jìn)行系統(tǒng)安全更新。系統(tǒng)升級(jí)可及時(shí)修復(fù)存在的漏洞。系統(tǒng) 鏡像更新時(shí)，應(yīng)對(duì)升級(jí)包進(jìn)行簽名校驗(yàn)

54、，并在用戶同意后進(jìn)行系統(tǒng)更 新。具備系統(tǒng)版本防回退手段。相比舊系統(tǒng)版本，新系統(tǒng)版本修補(bǔ)了 部分已知漏洞，在安全機(jī)制、個(gè)人信息保護(hù)能力上有所提升，大幅降 低了個(gè)人敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。終端設(shè)備可通過(guò)版本校驗(yàn)等方式，防止系統(tǒng)回退到舊版本。建立漏洞響應(yīng)機(jī)制。終端廠商應(yīng)建立健全漏洞響應(yīng)機(jī)制，持續(xù)加 固系統(tǒng)，保障系統(tǒng)安全；并提供反饋渠道，及時(shí)響應(yīng)官方發(fā)布的漏洞,14,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,信息

55、。定期更新安全補(bǔ)丁，提示用戶進(jìn)行安全更新，以便快速修復(fù)漏洞。四、應(yīng)用開(kāi)發(fā)個(gè)人信息保護(hù)的分析與建議開(kāi)發(fā)者對(duì)應(yīng)用權(quán)限申請(qǐng)和個(gè)人信息的收集、使用負(fù)有主體責(zé)任， 應(yīng)在應(yīng)用的需求分析、設(shè)計(jì)、開(kāi)發(fā)、上架、運(yùn)營(yíng)、維護(hù)和更新的全生 命周期中，高度重視用戶個(gè)人信息保護(hù)工作，全面維護(hù)用戶的合法權(quán) 益。（一）采用高 API 等級(jí)開(kāi)發(fā)應(yīng)用Android 6.0 引入了運(yùn)行時(shí)權(quán)限機(jī)制，打破了權(quán)限的一攬子授權(quán)模 式，用戶可在運(yùn)行時(shí)進(jìn)行應(yīng)用權(quán)限授予

56、，可更好的了解和控制權(quán)限。 Android 8.0 增強(qiáng)了用戶數(shù)據(jù)保護(hù)能力，提出了后臺(tái)位置限制、后臺(tái)行 為限制和廣播限制等要求，對(duì)用戶數(shù)據(jù)保護(hù)有積極的作用。Android9.0 新增了多種數(shù)據(jù)加密機(jī)制，引入了對(duì)安全硬件、生物特征解鎖的 支持。響應(yīng)自律公約倡議，采用高等級(jí) API 開(kāi)發(fā)應(yīng)用。開(kāi)發(fā)者基于 Android 6.0（API 23）及以下版本開(kāi)發(fā)應(yīng)用時(shí)，系統(tǒng)默認(rèn)授予應(yīng)用申 請(qǐng)的所有權(quán)限，若拒絕授予或者關(guān)閉某些權(quán)限，應(yīng)用可能出現(xiàn)

57、崩潰閃 退等問(wèn)題。基于此，電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)起《移動(dòng)應(yīng)用軟件高 API等級(jí)預(yù)置和分發(fā)服務(wù)自律公約》，倡議開(kāi)發(fā)者使用 Android 8.0 (API 26) 及以上的版本進(jìn)行應(yīng)用開(kāi)發(fā)，以保護(hù)用戶權(quán)益。隨著 Android 系統(tǒng)版 本的更新，開(kāi)發(fā)者應(yīng)及時(shí)采用相對(duì)較高等級(jí) API 開(kāi)發(fā)應(yīng)用。,15,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)驗(yàn)室,,（二）適配最新操作系統(tǒng)及外部代碼庫(kù)智能操作系統(tǒng)會(huì)定期更新版本，并升級(jí)

58、開(kāi)發(fā) SDK。以 Android 為例，谷歌每年會(huì)推出 Android 新版本，提升應(yīng)用安全性并全面改善 用戶體驗(yàn)。及時(shí)適配操作系統(tǒng)最新穩(wěn)定版本。應(yīng)用開(kāi)發(fā)者進(jìn)行軟件開(kāi)發(fā)時(shí)， 應(yīng)及時(shí)適配操作系統(tǒng)最新穩(wěn)定版本，給用戶帶來(lái)較好的使用體驗(yàn)和較強(qiáng)的個(gè)人信息保護(hù)機(jī)制，避免舊版本的遺留問(wèn)題影響應(yīng)用使用，侵犯 用戶權(quán)益。對(duì)于集成第三方代碼的移動(dòng)應(yīng)用，在采用新版本操作系統(tǒng) 后，需適配相應(yīng)第三方代碼庫(kù)，避免舊版本代碼的兼容性引入新問(wèn)題。充分利用終

59、端和操作系統(tǒng)新特性。在應(yīng)用開(kāi)發(fā)時(shí)，開(kāi)發(fā)者應(yīng)充分 利用終端和操作系統(tǒng)新特性，例如可信執(zhí)行環(huán)境（TEE），可信單元 芯片（SE）和生物識(shí)別認(rèn)證方式等。（三）遵循合法正當(dāng)必要原則申請(qǐng)權(quán)限開(kāi)發(fā)者在應(yīng)用設(shè)計(jì)和開(kāi)發(fā)時(shí)，重點(diǎn)關(guān)注應(yīng)用權(quán)限的申請(qǐng)和使用， 應(yīng)遵循合法正當(dāng)必要原則，將最小夠用理念貫穿整個(gè)開(kāi)發(fā)周期。保證用戶可知可控。開(kāi)發(fā)者應(yīng)以用戶便于理解的方式，充分告知 用戶申請(qǐng)和使用權(quán)限的必要性，不應(yīng)在用戶不知情或者未獲得用戶許 可的情況下，使用

60、權(quán)限和收集用戶數(shù)據(jù)。在描述相關(guān)權(quán)限、行為使用場(chǎng)景和使用目的時(shí)，開(kāi)發(fā)者可使用圖標(biāo)、文字以及其他創(chuàng)新形式明確 告知用戶。在集成第三方 SDK 時(shí)，開(kāi)發(fā)者應(yīng)充分了解其申請(qǐng)權(quán)限的 目的，對(duì)引發(fā)的后果承擔(dān)相應(yīng)責(zé)任。,16,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,申請(qǐng)權(quán)限最小化。業(yè)務(wù)無(wú)關(guān)權(quán)限的授予會(huì)導(dǎo)致權(quán)限的濫用，增大應(yīng)用攻擊面，引入用戶敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)。應(yīng)用應(yīng)遵循合法正當(dāng)必要 原則，只申請(qǐng)業(yè)務(wù)必要的權(quán)限。對(duì)于SD

61、K 等外部代碼的引用，開(kāi)發(fā) 者應(yīng)保證其相關(guān)權(quán)限的申請(qǐng)同樣滿足最小化原則，限制SDK 過(guò)度申 請(qǐng)權(quán)限。在實(shí)踐方面，開(kāi)發(fā)者在開(kāi)發(fā)應(yīng)用時(shí)，不應(yīng)在啟動(dòng)時(shí)申請(qǐng)所有 權(quán)限；不應(yīng)申請(qǐng)與業(yè)務(wù)功能無(wú)關(guān)的權(quán)限，不使用的權(quán)限要及時(shí)清理； 在存在替代功能實(shí)現(xiàn)方式的情況下，不應(yīng)以提升用戶體驗(yàn)為由，強(qiáng)迫 用戶授予權(quán)限；不應(yīng)在業(yè)務(wù)功能不必要的情況下，濫用自啟動(dòng)權(quán)限。按業(yè)務(wù)功能分項(xiàng)動(dòng)態(tài)申請(qǐng)權(quán)限。開(kāi)發(fā)者應(yīng)遵循最小化原則，按業(yè) 務(wù)功能分項(xiàng)動(dòng)態(tài)申請(qǐng)權(quán)限，僅在使用相關(guān)功能

62、時(shí)合理申請(qǐng)相應(yīng)權(quán)限。 應(yīng)用應(yīng)明確告知拒絕授權(quán)的后果，用戶拒絕授權(quán)的，不應(yīng)影響其他業(yè) 務(wù)功能的使用。優(yōu)先采用系統(tǒng)自身功能，代替調(diào)用相關(guān)敏感權(quán)限。例如，應(yīng)用實(shí)現(xiàn)撥打電話功能時(shí)，建議采用 Intent 消息調(diào)用電話撥號(hào)盤(pán)界面，無(wú)需 額外申請(qǐng)權(quán)限；在數(shù)據(jù)使用方面，Android 系統(tǒng)為每個(gè)應(yīng)用程序分配 了私有的文件目錄和數(shù)據(jù)存儲(chǔ)空間，無(wú)需額外申請(qǐng)存儲(chǔ)權(quán)限；對(duì)于獲 取設(shè)備標(biāo)識(shí)的訴求，開(kāi)發(fā)者應(yīng)采用與業(yè)務(wù)相符的其他替代方式標(biāo)識(shí)用 戶終端，無(wú)需申

63、請(qǐng)讀取手機(jī)狀態(tài)和身份（READ_PHONE_STATE）等 權(quán)限，避免直接獲取硬件標(biāo)識(shí)符；涉及資金或財(cái)產(chǎn)安全的支付類業(yè)務(wù)， 如收集設(shè)備標(biāo)識(shí)碼，須向用戶提供具有法律效力的用戶隱私協(xié)議，明 確設(shè)備標(biāo)識(shí)碼的使用范圍和保護(hù)責(zé)任。,17,,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,中國(guó)泰爾實(shí)驗(yàn)室,,（四）采用單項(xiàng)同意獲取敏感信息收集使用授權(quán)未經(jīng)用戶同意，應(yīng)用不得收集使用用戶個(gè)人信息。征得用戶同意 應(yīng)采用概括同意和單獨(dú)同意相結(jié)合的方式，

64、選擇適當(dāng)?shù)耐鈺r(shí)機(jī)和同 意形式，以清晰易懂的方式告知并征求用戶同意。告知同意應(yīng)遵循的基本原則。合法原則。應(yīng)用應(yīng)遵循法律法規(guī)要求收集使用個(gè)人信息，不得通過(guò)告知或聲明以外的方式收集使用個(gè)人信息；不將收集的個(gè)人信息用 于未經(jīng)告知的目的；不以欺騙、誤導(dǎo)、強(qiáng)迫等非法手段收集使用個(gè)人 信息；不得違反雙方約定收集使用個(gè)人信息。正當(dāng)原則。不采用一攬子同意的方式征得用戶同意，不應(yīng)存在不 同意不讓用的問(wèn)題。當(dāng)用戶拒絕收集使用某項(xiàng)敏感信息或不授予

65、某敏 感權(quán)限時(shí)，不影響提供其他業(yè)務(wù)功能服務(wù)。必要原則。遵循最少夠用原則收集使用用戶個(gè)人信息，收集的信 息為提供業(yè)務(wù)功能服務(wù)所必須。不收集其提供服務(wù)所必需以外的用戶 個(gè)人信息。告知方式可采用概括同意和單項(xiàng)同意相結(jié)合的方式。概括同意。應(yīng)用首次使用時(shí)，可通過(guò)隱私聲明等形式獲取用戶對(duì) 一般個(gè)人信息收集使用的同意授權(quán)。隱私聲明應(yīng)明確告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供 信息的后果。單項(xiàng)同意。收集使

66、用用戶個(gè)人敏感信息的應(yīng)用，應(yīng)在收集敏感信 息或調(diào)用敏感權(quán)限時(shí)，通過(guò)彈窗或界面等形式進(jìn)行即時(shí)性告知，分別,18,,中國(guó)泰爾實(shí)驗(yàn)室,智能終端產(chǎn)業(yè)個(gè)人信息保護(hù)白皮書(shū) （2018 年）,,征得用戶的確認(rèn)同意。個(gè)人敏感信息的單項(xiàng)同意應(yīng)清晰說(shuō)明關(guān)聯(lián)業(yè)務(wù)功能收集使用個(gè)人敏感信息的必要性，用戶拒絕單項(xiàng)同意授權(quán)的，應(yīng) 明確告知拒絕提供的后果。應(yīng)用開(kāi)發(fā)者不應(yīng)采用一攬子同意的方式征 得收集使用用戶個(gè)人敏感信息的授權(quán)，在未獲得某單項(xiàng)同意授權(quán)的情 況下，不應(yīng)停

67、止提供其他業(yè)務(wù)功能服務(wù)。告知內(nèi)容。個(gè)人信息的收集及使用公開(kāi)透明，應(yīng)通過(guò)顯著且便于 理解的方式，告知用戶收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果。應(yīng)在客戶資料或界面中提 供隱私聲明，并通過(guò)顯著方式對(duì)重點(diǎn)條款進(jìn)行突出呈現(xiàn)。同時(shí)，提供 對(duì)用戶同意和撤銷同意行為進(jìn)行記錄的機(jī)制。留存同意記錄的內(nèi)容包 括但不限于用戶身份、同意時(shí)間、同意內(nèi)容等。告知時(shí)機(jī)。應(yīng)用首次運(yùn)行時(shí)，可征得用戶對(duì)采集一般個(gè)人信息的 授權(quán)同

68、意；當(dāng)收集個(gè)人敏感信息或調(diào)用敏感權(quán)限時(shí)，可通過(guò)彈窗或界面等形式，進(jìn)行即時(shí)性告知，征得用戶的單項(xiàng)同意。用戶個(gè)人信息的 使用目的和收集范圍，不應(yīng)超出隱私政策的聲明，當(dāng)收集使用的內(nèi)容、 目的、方式、范圍發(fā)生變更時(shí)，應(yīng)及時(shí)更新隱私聲明，顯著提示并重 新告知用戶。重大變更包括但不限于：收集內(nèi)容增多、收集方式改變、 使用目的變化、使用范圍增加等。此外，應(yīng)用下載、升級(jí)及修改系統(tǒng) 或其它應(yīng)用配置時(shí)，應(yīng)征求用戶同意。撤銷同意。在征得用戶概括同意和單項(xiàng)