为什么手机无障碍权限会自动关闭（App长期不用或自动禁用敏感权限）

近日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》(以下简称《指南》)并公开征求意见。《指南》拟根据App生命周期，要求移动智能终端为用户提供敏感数据访问提示和控制功能，并拟将应用程序列表和剪切板纳入敏感数据/能力。《指南》还拟引入权限自动重置机制——对于长期不用的App，用户可以选择自动解除其敏感权限授权。

多款App高频收集个人信息

随着移动互联网的迅速发展，移动互联网应用程序给人们生活带来便利、越来越多地处理人们的个人信息的同时，也存在个人信息收集、使用不合理的问题。据悉，《指南》旨在提出移动智能终端的个人信息安全管理措施，增强App处理个人信息行为明示程度，为App用户提供更多个人信息保护控制机制。

《指南》将App在移动智能终端上的生命周期分为安装、启动、运行、更新、退出、停用/卸载六大节点，拟要求App个人信息处理活动的管理遵循公开透明、方便管理、确保安全、细致管控、合理适度的原则。

南都记者注意到，《指南》拟提出，移动智能终端应记录App行为，并为用户直观呈现个人信息调用情况。其中统计和记录的行为除了常见的敏感权限调用如定位、通讯录、麦克风、照相机、媒体影音数据等外，还包括读取唯一设备识别码（如IMEI、WLAN MAC地址）以及App自启动和被关联启动的行为。

目前，小米、苹果等国内外多款手机厂商都上线了App行为统计功能，而统计结果常常引发用户担忧。去年10月，微信被发现频繁读取手机相册、定位，随后南都记者实测发现，王者荣耀、支付宝、中国农业银行、大众点评、闲鱼等App也有类似行为。

去年底，南都个人信息保护课题组发布《个人信息安全年度报告（2021）》（下称《南都报告》），披露了150款App的权限获取合规情况。其中128款App在运行过程中读取IMEI号超出一次，有的甚至每分钟读取超过200次。对此，有专家曾向南都记者表示，企业可能是为了实现一些功能的“预处理”，及时反馈用户需要，但高频率收集个人信息可能会使数据变得更敏感。

应用程序列表和剪切板属于敏感数据

《指南》中将统计和记录App读取应用程序列表、剪切板的行为列为可选项，但根据附录B，应用程序列表和剪切板被纳入了敏感数据/能力。《指南》还拟要求移动智能终端增加剪切板访问提示机制，在App读取剪切板时向用户提示。

根据《南都报告》的测评结果，150款受测App中有多达48款App默认获取非必要权限，主要就是应用程序列表和剪切板。App频繁访问剪切板也曾引发国内外对于隐私泄露的担忧有关——国外的TikTok、CNN、纽约时报，国内的QQ、微博、网易云音乐、淘宝等都被发现有上述行为。

多位专家表示，App可以通过访问剪切板打击垃圾评论、恶意刷评论，还可以识别指令，比如在不同App内跳转到对应页面或复制验证码。不过，由于剪切板内容可能包含身份证号、短信验证码、银行账号等敏感个人信息，泄露风险也不容忽视。

而应用程序列表是一个通常被忽略实则可以获取敏感数据的权限。2021年11月，广东省消委会在“常见类型App非必要个人信息收集情况调查活动”回头看中发现，下载量排名前20的App几乎均默认读取了手机的应用程序列表。

此外，《指南》拟要求，移动智能终端保存App调用个人信息行为的周期不少于7天，同时根据终端配置水平的差异，设定调用行为保存次数阈值。

长期不用的App可被自动解除敏感权限授权

除了频繁访问敏感权限，App的自启动或者关联启动也一直受到诟病——在用户不知情的情况下，这些“被唤醒”的App很有可能擅自在后台收集个人信息。

2021年4月，工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》，拟要求明确在非服务所必需或者无合理场景下，不得自启动或者关联启动其他App，并要求移动智能终端生产企业为用户提供关闭选项。

《指南》则更进一步，拟要求移动智能终端为用户提供管理App自启动、被关联启动等行为的控制选项，且选项默认设置为关闭状态；或在App首次自启动、被关联启动时提示用户，由用户选择是否允许自启动、被关联启动。

在敏感数据访问提示和控制方面，《指南》还对唯一设备识别码、短信和通话记录拟提出要求。

针对唯一设备识别码，《指南》拟要求移动智能终端建立访问控制机制，包括限制App获取不可变更唯一设备识别码，为用户提供可便捷地重置可变唯一设备识别码（如广告标识符）的机制，支持用户选择是否允许向App开放不可变更唯一设备识别码。

对于短信和通话记录，《指南》拟限制App向用户申请短信、通话记录权限，除非基本功能所需。若确有需要，移动智能终端应提供拨打电话与发送短信的公共接口，App调用后跳转到系统交互界面，由用户主动操作。

值得注意的是，《指南》拟引入权限自动重置机制，系国内个人信息保护相关法律法规、标准规范中的首次。具体来说，移动智能终端应提供相应选项，使得用户可以选择当自己长期（如3个月）未使用某App时，是否自动将该App已开启的敏感系统权限重置为禁止状态。南都记者了解到，谷歌已经在Android 11及更高版本中引入该功能。

据了解，《指南》将首先在牵头公司中进行应用试点，并逐渐推广到其他终端厂家。

采写：南都记者 蒋琳 实习生 程雨祺