T/TAF 353.1-2026 移动互联网应用程序（APP）最小必要申请使用权限要求 第1部分：总则

ICS 33.030 CCS M21

团体 标准

T/TAF 353.1—2026

移动互联网应用程序(APP)最小必要申请使用权限要求第 1 部分：总则

Mobile Internet application permission application and usage

minimization and necessity requirements—

Part 1：General principle

2026-06-17 发布 2026-06-17 实施

电信终端产业协会发布

目次

前言 II

引言 III

1 范围 1

2 规范性引用文件 1

3 术语和定义 1

4 基本原则 2

5 基本要求 2

5.1 申请要求 2

5.2 使用要求 3

6 管理要求 3

参考文献 4

I

前言

本文件按照 GB/T 1.1—2020《标准化工作导则第 1 部分：标准化文件的结构和起草规则》的规定起草。

本文件是 T/TAF353《移动互联网应用程序(APP)最小必要申请使用权限要求》的第 1 部分。T/TAF 353 已经发布了以下部分：

——第1部分：总则;

——第2部分：相册;

——第3部分：文件;

——第4部分：联系人;

——第5部分：通话记录;

——第6部分： 日历;

——第7部分：短信。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会(TAF)提出并归口。

本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、OPPO广东移动通信有限公司、小米通讯技术有限公司、荣耀终端股份有限公司、华为终端有限公司、卓望数码技术(深圳)有限公司、北京三星通信技术研究有限公司、友盟同欣(北京)科技有限公司、阿里巴巴(北京)软件服务有限公司、玩咖欢聚科技(北京)有限公司、厦门美柚股份有限公司、上海声网科技有限公司。

本文件主要起草人：陈鑫爱、王艳红、周飞、宋恺、常浩伦、武林娜、王淞鹤、杜云、李京典、李可心、姚一楠、贾科、李腾、杨明慧、赵小平、吴越、张丹静雅、闫金保、赵晓娜、衣强、张圣迪、杨艺、王彬、贾紫薇、姚栋、刘艾婧、刘伟峰、黄鹏华、钱雷、薛源。

II

引言

随着移动互联网的快速发展，APP 已成为用户获取信息和服务的主要载体，但其过度申请和滥用权限的问题日益突出，严重威胁用户信息安全和合法权益。

T/TAF 353《移动互联网应用程序(APP)最小必要申请使用权限要求》系列标准旨在对 APP 最小必要的申请使用权限提出要求，由 7 部分构成。

——第1部分：总则。目的在于规定APP最小必要申请使用权限的基本原则、基本要求，以及APP开

发运营者、移动应用分发平台、移动智能终端、第三方评估机构在最小必要权限管理方面的管理要求。

——第2部分：相册。目的在于规定移动互联网应用程序(APP)最小必要的申请访问相册的基本原则、典型场景、技术要求和评估要求。

——第3部分：文件。目的在于规定移动互联网应用程序(APP)最小必要的申请使用文件的基本原则、典型场景、技术要求和评估要求。

——第4部分：联系人。目的在于规定移动互联网应用程序(APP)最小必要的申请使用终端系统联系人权限的基本原则、典型场景、技术要求和评估要求。

——第5部分：通话记录。目的在于规定移动互联网应用程序(APP)最小必要的申请使用通话记录权限的基本原则、典型场景、技术要求和评估要求。

——第6部分：日历。目的在于规定移动互联网应用程序(APP)最小必要的申请使用日历访问权限的基本原则、典型场景、技术要求和评估要求。

——第7部分：短信。目的在于规定移动互联网应用程序(APP)最小必要的申请使用短信的基本原则、典型场景、技术要求和评估要求。

III

移动互联网应用程序(APP)最小必要申请使用权限要求

第

1

部分：

总则

1 范围

本文件规定了移动互联网应用程序(APP)最小必要申请使用权限的基本原则、基本要求，以及 APP开发运营者、移动应用分发平台、移动智能终端、第三方评估机构在最小必要权限管理方面的管理要求。

本文件适用于移动互联网应用程序(APP)开发运营者规范权限申请与使用行为，适用于移动应用分发平台、移动智能终端落实 APP 权限管理责任，也适用于主管部门、第三方评估机构对 APP 权限申请使用行为开展监督、管理和评估。

2 规范性引用文件

本文件没有规范性引用文件。

3 术语和定义

下列术语和定义适用于本文件。

3.1

移动互联网应用程序 mobile Internet application

可安装在移动智能终端内，能够利用移动智能终端操作系统提供的公开开发接口，实现某项或某几项特定任务的应用程序。

注：包含移动智能终端预置应用、小程序、快应用等以及互联网信息服务提供者提供的可以通过网站、应用商店等应用分发平台下载、安装、升级的应用程序，简称APP。

[来源：T/TAF 078.5—2026]

3.2

软件开发工具包 software development kit

协助软件开发的软件库，简称SDK。

注：软件开发工具包通常包括相关二进制文件、文档、范例和工具的集合。

[来源：T/TAF 188—2023]

3.3

开发运营者 developer and operator

从事APP或小程序开发和运营活动的主体。

3.4

移动应用分发平台 mobile application distribution platform

提供移动互联网应用程序发布、下载、动态加载、升级等分发服务的各类平台。

注：包括应用商店、分发网站、具有分发能力的移动互联网应用程序等常规分发平台，以及小程序、快应用、 H5

页面等新形态分发平台。

3.5

移动智能终端 smart mobile terminal

能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运行应用软件能力的终端。

[来源: YD/T 2407—2021，3.1.1]

3.6

移动智能终端操作系统 operating system of smart mobile terminal

运行在移动智能终端上的系统软件，控制、管理移动智能终端上的硬件和软件，提供用户操作界面、应用软件编程接口和其他系统服务的应用软件。

[来源: YD/T 2407—2021，3.1.8] 3.7

权限 permission

移动智能终端操作系统向APP开放的，使其能够获得访问特定功能、资源、信息等的一种管控方式。 3.8

选择器 picker

移动智能终端操作系统向 APP 开放的交互组件，能够为用户提供选择界面和交互流程，APP 无需申请特定权限，即可访问用户选择的特定功能、资源、信息等。

注：包括相册、联系人、日历等。

4 基本原则

APP申请使用权限的基本原则如下。

a) 最小必要原则。仅申请和使用实现功能所必需的权限，权限范围、使用频次、数据精度均不超出功能实现的合理需求，不应申请或使用与功能无关的权限。

b) 合法合规原则。权限申请与使用行为应符合法律法规及相关标准要求，不应通过欺骗、误导等方式获取用户授权。

c) 透明性原则。以清晰、易懂的方式向用户告知权限申请的目的，确保用户充分知情。

d) 用户同意原则。权限使用前应获得用户主动授权，用户有权撤回授权，且撤回授权后 APP 应不影响与权限无关功能的使用。

e) 安全保障原则。对通过权限获取的用户信息采取必要的安全保护措施，防止信息泄露、篡改或滥用。

5 基本要求

5.1 申请要求

APP权限申请要求如下。

a) 权限申请应与功能直接相关，不应申请与功能无关的权限，不应过度申请权限。若可通过选择器等系统功能或其他非授权方式实现同等功能时，不应申请无限制访问用户数据的权限，如确需申请的应征得用户单独同意。

b) 申请时，APP 应以显著方式向用户清晰、准确告知权限使用目的，不应使用“为了更好的用户体验”等模糊表述。

c) 采用“场景化动态申请”模式，APP 应在用户触发特定功能时申请对应权限，不应批量捆绑申请权限，或在无关场景下申请权限。

2

d) 申请时，APP 应适配终端系统支持实现权限申请与用户授权最小化管理的 API 版本，例如向用户提供“仅限本次访问”，或针对定位权限提供“精确/模糊”选项、针对相册权限提供“支持选择部分”选项等选项。

e) APP 不应因用户拒绝非必要权限而限制基本功能使用，或强制退出 APP。

f) 若因功能升级需新增权限，APP 应向用户说明新增权限的目的并获得用户授权。

g) SDK 自主申请权限的，应满足上述 a)～f)要求。

5.2 使用要求

APP权限使用要求如下。

a) 权限使用范围应与申请时声明的用途一致，不应超出用户授权范围。

b) 若权限目的、使用范围发生变更，APP 应重新告知用户并征得用户同意。

c) APP 宜提供清晰的权限管理入口，引导用户查看、修改权限授权状态。

d) 当用户权限授权过期或被关闭时，APP 应引导用户重新授权。

e) 非功能必需时，APP 或 SDK 不应调用权限。

6 管理要求

APP申请使用权限的管理要求如下。

a) APP 开发运营者应建立权限管理自评估机制。

1) 制定评估标准，评估内容应包括权限必要性、权限使用和说明用途一致性、申请使用合规性等，评估主体覆盖 APP 嵌入的 SDK。

2) 定期核查权限调用频次、数据获取量是否符合最小必要原则，例如导航类 APP 应检查位置信息获取频次是否与导航精度需求匹配。

3) 形成自评估报告，记录发现的问题及整改措施，整改完成后重新评估直至符合要求。

b) 移动应用分发平台在满足 YD/T 6192—2024 基础上，应进一步建立权限申请使用审核机制。

1) 在 APP 上架前，应对权限申请使用清单进行审核，重点核查是否存在非必要权限。

2) 应审核权限申请使用说明的清晰度。若说明模糊，例如“获取权限用于优化服务”，应要求 APP 开发运营者补充具体用途，否则不予上架。

3) 对已上架 APP 开展定期抽查，发现权限使用违规的，应要求限期整改，整改不合格的采取直接下架、冻结账号等处理。

c) 移动智能终端应进一步完善应用管理机制，包括但不限于应建立 APP 权限申请使用监测机制，如权限行为调用记录、权限状态指示等。

d) 第三方机构应按照本系列文件建立权限申请使用评估机制，对 APP 权限申请与使用行为进行评估，并发布客观的评估报告，为 APP 权限管理改进提供参考。

3

参考 文献

[1] YD/T 2407—2021 移动智能终端安全能力技术要求

[2] YD/T 6192—2024 移动应用分发平台服务和管理要求

[3] T/TAF 078.8—2025 APP 用户权益保护测评规范第 8 部分：移动应用分发平台管理

[4] T/TAF 188—2023 软件开发工具包(SDK)收集个人信息技术要求