一、问题描述

某金融App申请连接使用蓝牙key功能，用户在同意“存储”权限申请告知后拒绝权限申请。App重新运行时，仍向用户弹窗申请该权限，且该权限与当前服务场景无关。

图1“存储”权限申请告知

图2“存储”权限申请弹窗

二、违规认定

违规认定：APP强制、频繁、过度索取权限。

认定依据：《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）中明确整治任务包括APP强制、频繁、过度索取权限：重点整治APP安装、运行和使用相关功能时，非服务所必需或无合理应用场景下，用户拒绝相关授权申请后，应用自动退出或关闭的行为。重点整治短时长、高频次，在用户明确拒绝权限申请后，频繁弹窗、反复申请与当前服务场景无关权限的行为。重点整治未及时明确告知用户索取权限的目的和用途，提前申请超出其业务功能等权限的行为。

《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）同样规定：

1.“用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用”可被认定为“未经用户同意收集使用个人信息”；

2.“收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关”“收集个人信息的频度等超出业务功能实际需要”可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

三、问题根源

该金融App代码逻辑设计存在缺陷，测试不充分。

四、合规建议

在连接使用蓝牙key功能时，不应申请与功能无关的权限。

（供稿单位：北京银联金卡科技有限公司)