App申请权限时告知目的，是多此一举吗？

网友们下载App后首次打开,还没进入主界面呢，都会经历一波“权限三连”弹窗，让人懵的有点反应不过来。究其原因，很多都是出在未向用户告知使用权限的“目的”这个问题上。如果不告知目的申请权限，一是可能出现“浑水摸鱼”，超范围授权情况，二是网友根本不知道目的何在，只能妄自揣测，不敢授权，徒增烦恼。

别慌，小编举报菌通过几个案例分析下App到底应不应该在申请权限时充分向用户告知目的。

场景1：索要无关权限

21897+38742是多少？网友A老老实实掏出手机，打开一款计算器App，结果是：

计算器为什么要获取我的位置权限？果断拒绝。

无奈之下，只能掏出纸和笔，为了算个数，万一暴露行踪不值得

根据常识判断，计算器和位置权限“八竿子打不着”，而且计算器在申请位置权限时没有告知目的强制索要，显然不合理。

场景2：无理由索要权限

网友B初入社会，求职无门，满怀期待地打开了新下的招聘APP，结果是：

这是要读我短信？

这是要看我通话记录？我不过就是想找个工作，安稳度日。

诸如“短信”、“通话记录”、“通讯录”等与个人敏感信息相关的权限，在没有告知收集使用目的情况下就直接索权，势必会让用户感到“后怕”。

场景3：权限名称有歧义

网友C打开新买的手机，打开空调，连上Wi-Fi，躺在沙发上，打开了新装的游戏App，就提示：

What? 这是要监听我的手机？就这还叫温馨提示！！！

了解安卓系统的同学都知道，安卓将读取设备信息标识符（IMSI、IMEI号）的权限（READ_PHONE_STATE）归于“电话”的权限组下，因此，要使用该权限，App们就得申请电话权限，其实和监听电话没有直接关系，如下图：

但是从上述App索要“电话”权限的过程来看，用户根本无法分辨电话权限里只需要“设备信息”而已，所以难免进行“负面”联想。

综上几个案例，APP申请权限的过程，如果未能明确目的，不尊重用户的知情权，想要通过“灵魂拷问”、“逼迫就范”等方式获得用户的理解简直就是天方夜谭，申请权限告知目的必要性不言而喻。

对此App们表示也有委屈，有苦水要倒！

理由1：安卓系统不支持编辑权限弹窗文字

某些APP开发者可能会说“这不怪我啊，安卓系统的权限弹窗默认无法编辑文字的啊！你举的“栗子”都是安卓系统才有的情况嘛，你看iOS系统就允许权限弹窗时编辑说明!”

虽然安卓系统暂时不支持在权限申请弹窗上进行文字编辑，但是把这个当做理所应当的理由就有点太过于牵强。安卓系统提供了宽松、开放的开发环境，这本就能支撑开发者自行在App中实现各种功能。比如，有些安卓版App就在申请权限时采取适当的机制向用户充分、清晰的告知。

理由2：所有权限都弹窗告知对用户打扰大

是不是所有的权限都需要弹窗告知呢? 举个例子,在使用某App的过程中,用户选择了“拍照”或“共享位置”功能，App弹窗告知需要获取“拍摄照片和录制视频”、“获取此设备的位置信息”权限，虽未单独再通过弹窗等方式告知申请目的,但完全不影响用户对申请该权限目的的理解。

如上，如果用户在使用App过程中，完全能领会具体功能和权限用途，如果申请权限时还刻意再次弹窗或者额外告知，就显得有点“呆板”。这也给我们一个启示，App应尽可能避免在进入主界面前，用户不了解App的功能时，就开始申请权限，如果能结合具体的功能，即使不进行额外的告知，也不用担心对使用权限目的的理解问题，同时会给用户更好的使用体验。

几点建议

建议App开发者们在设计APP申请系统权限机制时，关注GB/T 35273《个人信息安全规范》和《大众化应用基本业务功能必要信息规范》的相关条款，比如：

GB/T 35273《个人信息安全规范》指出：通过主动提供或自动采集方式收集个人敏感信息前向个人信息主体告知所提供产品或服务的基本业务功能及所必需收集的个人敏感信息，并明确告知拒绝提供或拒绝同意将带来的影响。

《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》指出：收集个人信息目的描述应当简洁、明确，确实对应到该App所需的业务功能。该指南还明确划分了16类App的基本业务功能所需必要信息，事实上也给出了必要信息所对应系统权限是否必要的建议。

此外，本公众号发布的研究文章“专题研究|App申请安卓系统权限机制分析与建议”也可为App开发者提供参考。

（本文作者：上海市信息安全测评认证中心 朱诗瑜）

重要提示

《App违法违规收集使用个人信息行为认定方法（征求意见稿）》中明确规定：“在申请可收集个人信息的权限时，未告知收集使用的目的，如在申请调阅通讯录时没有说明原因；”属于“没有明示收集使用个人信息的目的、方式和范围的情形”，涉嫌违反法律法规的要求。欢迎广大网友发现相关问题向本公众号“App个人信息举报”进行举报。

结语

智能手机之所以成为智能手机，各种“系统权限”扮演了重要的角色。系统权限给我们提供了方便的同时，也打开了一扇“可收集个人信息”的大门，随着用户隐私保护意识的提升，守好这个大门已经成为每个网民的“刚需”。

如果App视吸引用户为“第一要务”，那么，App在申请权限时一味“卖萌”，不清清楚楚、明明白白告知申请权限的目的，只能让网友更加“懵圈”，这到底是在吸引用户使用App还是想将用户拒之门外呢？

声明：本文来自App个人信息举报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。