南都讯 记者李慧琪 强制、频繁、过度索权一直被用户诟病，也是重点监管问题，App运营者该如何申请使用系统权限？7月29日，全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—移动互联网应用程序（App)系统权限申请使用指引》（下称《指引》），并面向社会公开征求意见
据介绍，《指引》给出了App申请、使用系统权限的基本原则和通用要求，以及通讯录、短信、通话记录、位置等十类安卓系统典型权限的申请使用要求
对于App权限申请的原则，除了最小必要原则以外，《指引》还提出了用户可知、不强制不捆绑、动态申请等原则
其中，动态申请是指，在用户未触发相关业务功能时，不提前申请与当前业务功能无关的权限
值得注意的是，《指引》对“频繁”索权的形式进行了界定
首先，单个场景在用户拒绝权限后，48小时内弹窗提示用户打开系统权限的次数超过1次；其次，每当App启动、用户重新打开App或进入相应界面，都会再次向用户索要或以弹窗等形式提示用户缺少相关系统权限
南都记者注意到，在新一轮App治理工作中，SDK等被纳入评估范围
《指引》中也提到，App中嵌入的SDK在申请所需权限时，也应该在声明文件中严格按照格式规范逐个声明
此外，App宜对其集成的第三方SDK使用的权限进行审核
在权限使用的层面，《指引》提出一致性、不扩散、访问显性化原则
其中，访问显性化原则是指，当访问敏感功能时，在持续获取个人敏感信息期间应采用显性方式提示用户，避免以遮蔽方式收集用户个人信息
此外,《指引》中还列举了权限申请的常见问题——权限申请目的不明、告知目的与实际不符、过度索权、强制捆绑授权、权限滥用等问题进行了界定，方便App运营者申请使用系统权限时参考
除了为App运营者提供参考外，App开发者、移动互联网应用分发平台运营者和移动智能终端厂商可以参考本《指引》
点击查看全文： 网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指引