一、问题描述

某移动金融App用户使用上传头像功能时，必须先同意相机访问权限和文件读取/存储访问权限，再选择“拍照”或者“从相册选择”。

二、违规认定

违规认定：APP强制、频繁、过度索取权限。

认定依据：《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）中明确整治任务包括APP强制、频繁、过度索取权限。重点整治未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行4为。《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）同样规定：“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能”“要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用”可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

三、问题根源

该移动金融App业务流程设计存在瑕疵。上传头像功能中，相机访问权限和文件读取/存储访问权限未设置单独获取功能，造成客户在选择“从相册选择”前，必须同意两项权限内容，其中相机访问权限非当前场景必要权限。

四、合规建议

上传头像功能中，应先让用户选择获取头像的具体方式：“拍照”或“从相册选择”。选择“拍照”后，申请获取相机访问权限和文件读取/存储访问权限；选择“从相册选择”后，仅需申请获取文件读取/存储访问权限。