近年来,工业和信息化部大力推动提升移动互联网应用服务质量,构建 App 与 SDK 全链条、闭环式管理体系。通过建立个人信息保护“双清单”、细化 SDK 服务运营规范、开展多批次侵害用户权益专项整治等系列举措,不断压实企业主体责任,切实筑牢用户合法权益保障防线。2025年3月,中央网信办、工业和信息化部、公安部、市场监管总局联合启动个人信息保护系列专项行动,将 SDK 违法违规收集使用个人信息列为重点治理环节,进一步强化行业合规监管力度,推动 SDK 安全治理向纵深发展。
为积极响应国家监管部门对 SDK 安全管理的系列要求,破解实时音视频领域个人信息保护与用户权益保障的行业痛点。近日,由声网与中国信息通信研究院(以下简称“中国信通院”)联合牵头、实时互动领域代表企业共同参与编制的《T/TAF 267.6—2025 软件开发工具包(SDK)用户权益和个人信息保护技术要求 第6部分:实时音视频类》团体标准,正式在电信终端产业协会 TAF 发布。
该标准立足实时音视频 SDK 技术特点与应用场景,聚焦个人信息保护核心合规需求,明确了个人信息收集、存储、使用、传输、销毁等全生命周期处理要求,细化了用户权益保护机制与业务功能划分配置规范,填补了实时音视频细分领域 SDK 安全标准的空白。标准的出台,不仅为行业企业提供了清晰、可操作的合规管理指引,助力企业规范 SDK 开发运营合规行为,也为监管部门开展监督检查、第三方评估机构实施合规评估提供了参考依据。此前,中国信通院已在 TAF 发布广告类、推送类、地图类、支付类、统计类等 SDK 相关标准,本次实时音视频类 SDK 标准的落地,标志着我国 SDK 安全治理体系向场景化、精细化、全覆盖方向实现进一步升级,为移动互联网产业高质量发展提供了坚实保障。
本次标准对实时音视频 SDK 提供了更细化、更具操作性的规范:首先,坚持“最小必要”原则,只有在最终用户主动开启实时音视频服务时才能收集个人信息,并明确不得碰触 SN、MAC、IMEI、IMSI、MEID、ICCID 等不可变更标识,这对仍依赖硬件 ID 做风控的操作形成直接限制。其次,存储条款要求默认不留存音视频数据,任何保存都必须和业务方约定位置、期限、加密方式进行;敏感信息必须分类分级、独立加密,这意味传统“集中日志+明文”做法将被淘汰。再次,使用与加工环节强调重要操作要有审批记录,不应加工、使用通话内容做画像,训练大模型必须单独授权,这防止部分厂商在后台“顺手挖掘”数据的空间;传输与共享条款进一步要求全链路 TLS 1.2+加密、敏感数据单独加密,并限定对外共享范围,合同中还需写清楚双方责任,确保了个人信息保护的责任归属和追责路径明确。
声网在产品设计阶段就严格落实“默认关闭、按需授权”的策略,实时音视频 SDK 仅在业务方调用相关接口后才请求必要信息,同时通过创新产品服务模式,以技术优化实现个人信息采集的最小化,摒弃了传统标识符采集模式,既不获取 IMEI、MAC 等不可变设备标识符,也不采集 IDFV、IDFA 等可变标识符,领先满足了标准提出的要求。
作为实时互动行业的开创者和领导者,声网依托在实时音视频传输、数据安全与隐私保护领域的多年技术积累和实践经验,不断投身行业标准体系建设。此前已先后参与首份SDK国家标准《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》,网络音视频国家标准《信息安全技术 网络音视频服务数据安全要求》,以及《软件开发包(SDK)个人信息处理规范》《软件开发工具包(SDK)用户权益保障基本要求》《生成式人工智能个人信息保护技术要求》等多项重要标准的编制工作,持续为行业合规有序发展贡献实践力量。
声网始终将合规性作为实时互动(RTE)服务的核心基石,以实际行动助力实时音视频 SDK 安全生态建设。未来,声网将在持续深耕实时音视频核心技术、打磨产品服务体验的基础上,进一步加大数据安全与隐私保护领域的资源投入,不断完善安全合规能力建设,积极联动监管部门、行业协会、产业链上下游企业,共同构建安全、合规、有序、健康的行业生态,为数字经济高质量发展注入强劲动力。
