【权限问题专项】位置权限合理使用场景VS不合理使用场景说明

近期，软件绿色联盟发布了APP超范围收集个人信息、违规收集个人信息、权限索取不当行为、欺骗误导强迫行为这四类隐私问题专项文章，并公开通报问题应用列表，整改效果初步显现。继隐私问题专项后，我们又策划并总结了APP权限问题专题，覆盖位置、存储、短信、电话、通讯录、无障碍、设备管理器、通知栏、悬浮窗各方面，主要对合理使用场景、不合理使用场景进行梳理总结形成Checklist，供开发者自检。

《绿标5.0-安全标准》权限总体要求

本期文章主题是位置权限，下图为《绿标5.0安全标准》对于位置权限的要求：

《绿标5.0-安全标准》位置权限要求

一、精准位置权限

android.permission.ACCESS_FINE_LOCATION

一般来说，精准位置权限（android.permission.ACCESS_FINE_LOCATION）合理使用场景如下：

合理使用场景

1.出行导航类：涉及步行、骑行、驾车、公交等路线规划及动态导航的场景；

2.生活服务类：①涉及餐饮外卖骑手、司机等场景，相关服务人员需要实时更新轨迹以及位置跟踪的场景；②涉及快递收件、寄件服务的场景；

3.运动健康类：在跑步、健身等运动场景下，需要记录用户跑步的里程数和实时的跑步路线；

4.旅游住宿类：在酒店及附近场所搜索服务的场景下，提供路线规划及动态导航还有具体距离米数；

5.房屋租售类：租售真实房源的坐标，支持显示距离米数、路线规划及动态导航；

6.商务办公类：智能签到考勤，员工使用手机办公软件进行打卡，依赖高精度定位能力；

7.天气类：根据当前地区的位置查看天气；

8.社交通讯类：在社交中主动分享实时位置信息；

9.拍摄美化类：拍照时主动记录具体地理位置信息；

10.儿童教育类：家长实时关注孩子的位置信息，精准定位孩子的行走路线；

11.实用工具类：

①指南针、水印相机等：获取用户位置显示经纬度；

②关于WiFi：为了实现应用和智能设备的联网或者查看连接的WiFi的安全状态，APP在获取系统WiFi网络热点清单时，可申请精准位置权限；

③关于蓝牙：手机设备进行扫描寻找蓝牙设备并相互传输数据（备注：在安卓9或更低版本可以声明 ACCESS_COARSE_LOCATION 权限而非 ACCESS_FINE_LOCATION 权限）。

以上场景，使用精确地理位置可提升业务功能的服务效率和用户体验。需注意的是：1）应以弹窗等显著方式提供隐私声明，同时在隐私声明中明确位置权限的使用场景、前后台调用频次要求，确保用户知情；2）动态授权：应用在安装后首次启动时，避免频繁弹窗申请多个敏感权限；敏感权限需要在用户使用对应业务功能时动态申请。在合理的使用场景动态弹窗申请相应权限，不应提前或过度申请；3）应用权限申请必须遵循最小必要原则，只申请业务功能所必要的权限，禁止申请不必要的权限。

那哪些是不合理的使用场景呢？下面一起来看看吧！

不合理使用场景

1.影音娱乐类：①本地频道的获取；②作品上传的发布并同步各地区作品热度、礼物等排行榜；③推荐附近作品、直播间；④个人资料所在地的编辑，通常是市、区等大概区域位置，不需要精准的定位信息；

2.新闻阅读类：①本地资讯的推荐（根据所在地获取相关新闻，及分享本地新闻）；②为了统计区域人群喜好方便针对个性化推荐；③推送消息及广告而获取精确位置信息；

3.教育学习类：根据用户所在地快速选择用户的学校以及适合的地域教材；

4.旅游住宿类：不同城市推荐不同的内容；

5.游戏类：地区排行榜及本地的游戏玩法；

6.儿童教育类：账号注册登录时获取用户的位置区域以提供对应的注册界面；

7.内嵌地图类：仅显示静态地点的位置，并没有显示用户实时位置进行动态导航或者规划路线。

对于不合理使用场景，开发者需要使用大概位置代替。如果内嵌三方SDK非必要业务场景涉及到收集GPS信息，开发者可将android.permission.ACCESS_FINE_LOCATION从AndroidManifest.xml文件中移除，SDK将获取不到GPS定位信息。如果确认需要获取GPS定位信息，开发者需在隐私政策中声明清晰并保证数据分析的去标识化，同时应避免对用户的长期跟踪。