近日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》（以下简称《指南》）并公开征求意见。《指南》拟引入权限自动重置机制——对于长期不用的App，用户可以选择自动解除其敏感权限授权。南都

多款App高频收集个人信息

据悉，《指南》旨在提出移动智能终端的个人信息安全管理措施，增强App处理个人信息行为明示程度，为App用户提供更多个人信息保护控制机制。

《指南》将App在移动智能终端上的生命周期分为安装、启动、运行、更新、退出、停用/卸载六大节点，拟要求App个人信息处理活动的管理遵循公开透明、方便管理、确保安全、细致管控、合理适度的原则。

记者注意到，《指南》拟提出，移动智能终端应记录App行为，并为用户直观呈现个人信息调用情况。其中统计和记录的行为除了常见的敏感权限调用如定位、通讯录、麦克风、照相机、媒体影音数据等外，还包括读取唯一设备识别码以及App自启动和被关联启动的行为。

去年10月，微信被发现频繁读取手机相册、定位，随后记者实测发现，王者荣耀、支付宝、中国农业银行、大众点评、闲鱼等App也有类似行为。

应用程序列表和剪切板属于敏感数据

《指南》中将统计和记录App读取应用程序列表、剪切板的行为列为可选项，但根据附录B，应用程序列表和剪切板被纳入了敏感数据/能力。《指南》还拟要求移动智能终端增加剪切板访问提示机制，在App读取剪切板时向用户提示。

此外，《指南》拟要求，移动智能终端保存App调用个人信息行为的周期不少于7天，同时根据终端配置水平的差异，设定调用行为保存次数阈值。

除了频繁访问敏感权限，App的自启动或者关联启动也一直受到诟病——在用户不知情的情况下，这些“被唤醒”的App很有可能擅自在后台收集个人信息。《指南》拟要求移动智能终端为用户提供管理App自启动、被关联启动等行为的控制选项，且选项默认设置为关闭状态；或在App首次自启动、被关联启动时提示用户，由用户选择是否允许自启动、被关联启动。

限制App向用户申请短信、通话记录权限

在敏感数据访问提示和控制方面，《指南》还对唯一设备识别码、短信和通话记录拟提出要求。

对于短信和通话记录，《指南》拟限制App向用户申请短信、通话记录权限，除非基本功能所需。若确有需要，移动智能终端应提供拨打电话与发送短信的公共接口，App调用后跳转到系统交互界面，由用户主动操作。

值得注意的是，《指南》拟引入权限自动重置机制，系国内个人信息保护相关法律法规、标准规范中的首次。具体来说，移动智能终端应提供相应选项，使得用户可以选择当自己长期（如3个月）未使用某App时，是否自动将该App已开启的敏感系统权限重置为禁止状态。记者了解到，谷歌已经在Android 11及更高版本中引入该功能。

据了解，《指南》将首先在牵头公司中进行应用试点，并逐渐推广到其他终端厂家。