开发
分发
推广与变现
联系我们
搜索
文档
管理中心
通知
search
分发文档
分发文档/应用分发/生态政策/权限规范/权限使用及申请标准
权限使用及申请标准更新时间:2025-11-10 15:56:00

一、总则

随着移动应用种类和数量快速增长,如何合理使用权限,保护用户个人信息,尤其是短信、通话记录、位置、图片等个人敏感信息受到高度关注。为保障用户数据安全及隐私安全,更好地保护用户权益,金标联盟(ITGSA)成员厂商(OPPO、vivo、小米、荣耀)制定了以下《权限使用及申请标准》(以下简称“《标准》”)。旨在贯彻个人信息收集使用的最小必要原则,针对移动APP访问、收集、存储、使用、删除用户个人信息等各环节提出相应的最小必要性符合度评估标准,并结合典型场景,对APP收集使用短信、通话记录、日历、位置、应用状态、图片文件等个人信息进行规范,落实最小、必要的原则。

二、原则

APP个人信息的处理应遵循最小必要原则,即处理个人信息应当具有明确、合理的目的,应与处理目的直接相关,采取对个人权益影响最小的方式。APP提供的业务功能和场景不在本《标准》范围内时,也应满足最小必要要求。
除上述“最小必要”原则外,应用权限获取还应严格遵循以下基本原则:

  • 合法性:所有权限获取行为必须严格遵守国家相关法律法规及行业规范要求。
  • 合理性:权限申请需具备明确的功能关联性,确保所申请的权限与提供的服务存在直接、合理的关联。
  • 用户知情同意:应用应以显著方式向用户披露完整权限用途,使用清晰易懂的说明文字,确保用户在充分理解的基础上自主做出授权决定。
  • 动态申请:实行权限的按需申请机制,非必要启动权限应在实际使用相关功能时申请,不应提前申请、一揽子申请多个权限。
  • 可撤销:保障用户对权限的持续控制权,系统需提供便捷的权限管理入口,支持用户随时修改或撤回已授权的权限。

小米将依据本《标准》对应用获取“相关权限”的行为进行统一审核。同时后续也将对其进行周期性检测,一旦发现与所述不符或滥用权限,超过所述权限场景之外的情况,将会采取不限于权限降效、权限禁用等处置措施。

三、范围

本标准适用于在小米设备上安装运行的应用,当应用具有获取“相关权限”的行为,必须遵守本《标准》要求。其中,获取权限的行为包括但不限于申请、声明、使用等场景。

四、“权限”申请规范

1. 基本原则

  • 权限获取及使用,必须遵守下列原则:
    • 须为实现面向用户的核心功能或用途
核心功能即应用的主要用途,即若无法使用该权限,应用就无法使用。对于核心功能及构成核心功能的所有核心特性,须在应用说明中醒目地说明。
    • 不再需要使用相关权限,即可提供现有的功能或服务时,您不应再请求这些权限
    • 不得纯粹出于广告投放或数据分析目的而请求用户授予这些权限。
    • 即使应用需要使用相关权限提供现有的功能或服务,也应该尽可能地请求最小范围的必要权限(即当应用中的功能需要“读短信”权限时,不应该申请“收或发短信”权限),运行时请明确告知用户权限的范围;例如,如果应用申请了“读取短信权限”,但却没有给出充分的理由,您的应用将会在权限审核时不予通过

2. 权限申请规范

2.1 权限申请和使用应遵循最小必要原则

  • 权限的申请和使用的目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外;
  • APP应申请与业务功能相关的权限,不应过度申请权限。例如APP的业务功能中,不包含短信相关场景,则不应申请短信的任何权限;
  • 对于第三方SDK等外部代码的引用,需满足2个条件:即SDK本身合法合规,同时APP应要求SDK其相关权限的申请同样满足最小必要原则,不得过度申请权限。

2.2 确保权限使用公开透明并让用户自主选择

  • 在提交应用审核时,开发者需要向小米应用商店说明应用中的功能,为何需要获取相关权限;
  • 从事个人信息处理活动,应具有明确合理的目的,不得仅以服务体验、产品研发、算法推荐、风险控制等为由,强制要求个人信息主体授予权限;
  • 当用户拒绝或撤消某项权限时,不应拒绝提供与该权限使用无关的服务,APP宜优先采用系统自身功能,代替调用相关敏感权限。例如APP需要拨打电话功能时,可优先选择调用系统的电话界面,而不是申请电话权限;
  • APP申请权限时,应在使用对应业务功能时申请,不应提前申请、一揽子申请多个权限,不得默认、捆绑或使用其他手段变相欺骗、误导、强迫个人信息主体授予权限。

2.3 意见征求

  • 确保用户明确知晓应用为何需要使用相关权限,并提供选择是否授权的选项;例如,应包含以下或相关信息:
    • 仅在使用该应用时允许
    • 仅限这一次
    • 始终允许
    • 拒绝

2.4 运行时权限请求

  • 应在应用运行时向用户请求,例如,当应用中的功能需要短信相关权限时,请等到用户与该功能互动时再发出权限请求。

2.5 权限拒绝

  • 在用户选择拒绝情况下,应用应当提供合理的备选方案,或者明确阐述为何需要该权限。同时,应用应当尊重用户的选择,不得进行强制授权。
  • 在用户拒绝授权后,应用不应当频繁地、过度地索求权限,其索权的频率在48小时内不得超过一次。

3. 数据处理规范

  • 只有在提供应用服务功能并且符合用户合理预期的要求下,才可收集、使用、存储通过应用获取的个人信息数据,且应遵循最小必要原则,要求如下:
    • 收集
      1. 收集个人信息的目的、方式、范围不应超出业务功能的实际需要或合理关联,法律法规另有规定的除外;
      2. APP被授予权限后,权限使用应遵循最小必要原则,即应合理使用申请的权限,不应滥用权限,超频次、超范围、超精度收集个人信息。
    • 使用
      1. 应严格按照使用目的使用相关权限信息,若需扩大使用目的,则应在使用前再次告知并经个人信息主体同意后才能使用。
    • 存储
      1. 存储个人信息的类型及数量不应超出业务功能的实际需要;
      2. 存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。
    • 删除
      1. 超出约定的存储期限后,个人信息控制者应及时删除或匿名化相关个人信息;
      2. 当个人信息主体主动申请注销服务后,个人信息控制者应在承诺期限内删除或匿名化相关个人信息;
      3. 当个人信息控制者停止运营其收集使用相关个人信息的服务时,应停止继续收集,并及时删除或匿名化相关个人信息。
  • 应以安全的方式处理个人信息数据,不得以出售为目的。
    • “出售”是指以换取金钱为目的,将个人信息数据交换或传输给第三方。
    • 用户发起的数据传输行为(例如,当用户使用应用的某项功能将内容传输给第三方时,例如信息备份、一键换机等)不视为出售。

五、权限审核标准

权限使用及申请标准详见下表,请您于每个权限的对应时间节点前完成权限声明调整并更新 APK,若逾期未处理,厂商系统将对相关应用的权限获取进行限制,以保障用户安全隐私,届时可能对应用运营产生一定影响。

标准名称标准链接生效说明
《短信权限使用及申请标准》https://dev.mi.com/xiaomihyperos/documentation/detail?pId=2080本《标准》于2025年11月6日进行公示,公示期三个月,自2026年2月6日起开始执行,执行规则如下:
- 2026年2月6日起,新上架应用需全面符合本《标准》要求;
- 2026年5月6日起,存量应用更新需满足本《标准》要求;
《通话记录权限使用及申请标准》https://dev.mi.com/xiaomihyperos/documentation/detail?pId=2079同上
《设备管理器权限使用及申请标准》https://dev.mi.com/xiaomihyperos/documentation/detail?pId=2157同上

六、权限申请填写指引

权限使用及申请操作指南,请参阅:https://dev.mi.com/xiaomihyperos/documentation/detail?pId=2117

七、常见问题解答

Q:什么是新一代隐私权限体系?

A:为积极响应国家数据安全与个人信息保护法律法规,金标联盟(ITGSA)成员厂商(OPPO、vivo、小米、荣耀)联合推出安卓生态敏感权限统一规范管理措施,旨在构建更安全、透明、互通的应用生态,全方位保障用户隐私权益并提升使用体验。


Q:什么是权限合规审核平台?
A:为帮助开发者提前做好应用权限合规准备,4家金标联盟成员厂商(OPPO、vivo、小米、荣耀)开放平台都已正式上线【权限合规审核】功能模块。
开发者可通过该入口上传应用安装包,平台将依据金标联盟及行业权限审核标准规范,对应用敏感权限的调用情况、权限说明性等内容进行专业检测审核,并及时反馈审核结果,协助开发者完成应用权限合规调整。

Q:如何判断权限申请是否合规?关键标准是什么?
A:权限申请需同时满足:
-最少必要原则
-仅申请与APP核心功能强关联的权限(如导航类APP可申请位置权限)
-禁止以"功能预留"为名申请无关权限
-动态申请(用户在点击到具体功能时,申请对应权限)
-首次启动时不得强制弹出权限申请窗口
-权限申请弹窗中必须包含使用场景说明(如:"申请位置权限用于展示附近的加油站")
更详细的判断依据请参考当前《权限使用及申请标准》以及第五部分“权限审核标准”

Q:当前涉及整改哪些具体权限?
A:当前阶段整改涉及短信权限组通话记录权限组以及设备管理器

Q:因权限限制导致功能无法实现怎么办?
A:首先请确保在您的应用“隐私政策”中明确使用场景、用途,并且需在用户触发相关功能时申请权限,避免提前获取权限。
其次请通过小米开发者平台提交权限合规审核,可补充说明敏感权限用途并按照审核结果调整权限获取。
另外可通过接入联盟官方picker能力规避敏感权限获取,达到无需申请权限即可实现能力的目的。

Q:整改时间要求是什么?
A:当前批次对短信、通话记录、设备管理器权限的整改期限为

  • 2025 年 11 月 6 日前 上传的应用,其权限获取行为暂不触发本《标准》的限制措施;
  • 2026 年 2 月 6 日起,新上架应用需全面符合本《标准》要求;
  • 2026 年 5 月 6 日起,存量应用的更新包需满足本《标准》要求;

整改期限后金标联盟厂商系统将对此应用的权限获取进行限制。

Q:我不知道在哪里获取了敏感权限,你们怎么检测的?
A:您好,可查询Androidmainfaest.xml清单中涉及的隐私权限。

Q:该整改是否同时在OPPO、vivo、荣耀、小米,这四家厂商生效,还是仅针对小米生效?
A:在某一家整改完成后,四家共同认可整改结果,生效需要在厂商平台上传整改后应用才可生效。

Q:降效措施有哪些?
A:前期权限不合理的申请会默认拒绝,需要用户主动授权。终态,不合理申请权限会禁用。

八、咨询/申诉通道

1. 适用范围

当前应用权限审核未通过,针对权限审核处理结果及措施存在疑问,或针对权限标准本身存在疑问的开发者

2. 操作指南

可通过以下流程联系客服,请您输入咨询,或申诉关键词,为了能快速全面的帮您核实应用问题,您需提供以下信息:

  • 类型:“XX权限审核”申诉,或“XX权限审核”咨询
  • 包名+应用名称+版本号+APK链接
  • 咨询内容/申诉原因
  • 咨询/申诉说明(涉及功能说明+视频演示)
  • 若有其他材料可证明申诉内容的合理性、合法性、安全性,请一并附上(包括但不限于视频/图片资料佐证、申诉内容权威机构的安全性报告,详细的法律法规标准等资料)

上一篇:隐私政策不合规的问题解析和修改指引
下一篇:短信权限使用及申请标准
文档内容是否有帮助?
有帮助
无帮助