深度解读｜OTT终端数据安全和个人信息保护研究报告-轻识

互联网的迅速发展在为人们的生产和生活带来便利的同时，也暴露出了一些损害用户个人信息和财产安全的风险。

中国信通院2022年6月20日发布了一份《OTT终端数据安全和个人信息保护研究报告》（以下简称“《报告》”），其中特别提出了预置应用安全的问题。

现在有很多智能产品都会预置应用软件，工信部早在2013年就发布了《关于加强移动智能终端进网管理的通知》（以下简称“《进网管理通知》”），2016年又发布了《移动智能终端应用软件预置和分发管理暂行规定》（以下简称“《规定》”）来细化规制移动智能终端生产企业（以下简称“生产企业”）和提供移动智能终端应用软件分发服务的互联网信息服务提供者（以下简称“分发服务提供者”）。

工信部会同国家互联网信息办公室在2022年再次起草了《关于进一步规范移动智能终端应用软件预置行为的通告（征求意见稿）》（以下简称“《通告》”）进一步规范应用软件预置和分发管理。

一、基本概念

1. 什么是预置应用软件？

《通告》指出移动智能终端预置应用软件是指由生产企业预置，在移动智能终端主屏幕或辅助屏幕界面内存在用户交互入口，为满足用户不同的应用需求而提供的、可独立使用的软件程序。这种软件其实就是出厂前就已完成安装的应用软件。

2. 预置应用软件可分为哪几类？

预置应用软件可分为不可卸载的软件和可卸载的软件。《移动智能终端预装应用程序分类方法（征求意见稿）》指出一旦删除会导致操作系统无法正常运行，或移动通信功能无法正常使用的应用程序为不可卸载应用软件。不可卸载的应用软件一般就是《通告》中的基本功能应用软件，具体如下：

基本功能	应用软件
操作系统基本组件	系统设置、文件管理
保证智能终端硬件正常运行的应用	多媒体摄录
基本通信应用	接打电话、收发短信、通信录、浏览器
应用软件下载通道	应用商店

二、生产企业和分发服务提供者的合规义务

1. 如何向用户履行告知义务？

《通告》要求明示所提供的预置应用软件相关信息以保障用户的知情权。结合《规定》的相关细化内容，具体的告知内容如下。

告知内容	具体说明
应用软件信息	通过用户提示、企业网站等方式明示所提供应用软件的信息，包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等，明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等。
预置应用软件列表信息	在终端产品说明书中提供预置应用软件列表信息，并在终端产品说明书或外包装中标示预置应用软件详细信息的查询方法。生产企业在提交移动智能终端进网申请时，应提供相关产品符合前述要求的声明。
收费信息	涉及收费的应用软件应严格遵守明码标价等相关规定，明示收费标准、收费方式，明示内容真实准确、醒目规范，经用户确认后方可扣费。

针对告知义务，此要求与《个人信息保护法》是一致的，其也特别指出处理个人信息前需要以显著方式、清晰易懂的语言真实、准确、完整地向个人履行告知义务，至少包括个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使法定权利的方式和程序等。

针对预置应用软件列表公示，已经有很多企业在官网发布了查询渠道。例如华为已在公司官网设置了公示查询页面（具体如图1）。输入具体的产品型号后，就会出现预置应用软件列表（具体如图2）。

图1:华为官网公示查询页面

图2：列表的部分截图

公示告知非常重要，因为这是证明自身已经履行告知义务的重要合规证据。例如在 “OPPO广东移动通信有限公司不正当竞争纠纷案” 中，法院就指出“手机的知情权和选择权主要应当体现在用户购买手机时。OPPO公司通过官网公示的告知形式对预置的应用软件和删除方式进行了说明，已经保障了的用户知情权、选择权。”

又如在 “王柏明与上海骋昊数码科技有限公司案” 中，法院也指出“手机的使用说明书内注明手机用户可通过使用说明书上的官网查看设备信息和用户手册，用户手册内详细介绍了安装或卸载应用程序的方法和途径，从而保障了消费者对于手机预装应用程序所享有的知情权、选择权。”

2. 如何保障用户的拒绝权？

《通告》特别强调应保证用户的可卸载权，结合《规定》的相关内容总结出如下要求。

合规要求	具体说明
软件可卸载	除基本功能软件外的预置应用软件均可卸载，但是实现同一基本功能的预置应用软件，至多有一个可设置为不可卸载。
文件可卸载	在不影响移动智能终端安全使用的情况下，附属于该软件的资源文件、配置文件和用户数据文件等也应能够被方便卸载。
不强行恢复	已被卸载的预置应用软件在移动智能终端操作系统升级时不被强行恢复。
卸载便捷	提供安全便捷的卸载方式供用户选择。

因为预置应用软件是用户使用前就已经预先下载的应用软件，为了保障用户的选择权，可卸载功能的设置就非常重要。

首先，针对卸载对象，除了预置的基本功能软件外，其他软件均应可卸载，且在不影响移动智能终端安全使用的情况下，附属的资源文件、配置文件和用户数据文件等也应可卸载。

其次，针对卸载方式，卸载应是安全便捷的，工信部发布的《规范互联网信息服务市场秩序若干规定》（以下简称“《规定》”）进一步指出便捷的方式应是与安装方式同等或者更便捷的卸载方式。例如，华为手机长按一个APP后就会出现卸载界面（具体如图3）。

最后，针对卸载效果，卸载后的应用软件在操作系统升级时也不应被强行恢复。《规定》还指出在未受其他软件影响和人为破坏的情况下，未经用户主动选择同意，软件卸载后不可有可执行代码或其他不必要的文件驻留在用户终端。

图3

3. 如何履行合规义务？

保证预置应用软件安全合规，明示所提供预置应用软件的相关信息，履行登记、审核、监测、留存、下架等全链条管理责任，完善投诉举报受理制度等服务保障措施，公平竞争，依法维护用户的知情权和选择权。

结合《规定》、《通告》、《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》等相关细化内容，主要的合规管理要求总结如下。

审核要点		具体合规要求
销售约束		生产企业应约束销售渠道，未经用户同意不得擅自在移动智能终端中安装应用软件，并提示用户终端在销售渠道等环节被装入应用软件的可能性、风险和应对措施。
内部管理	安全	完善移动智能终端权限管理机制，提升操作系统安全性，采取技术措施预防在产品流通环节发生置换操作系统或安装应用软件的行为。
	登记	登记应用软件提供者、运营者、开发者的真实身份、联系方式等信息。
	审核	建立应用软件管理机制，对应用软件进行审核及安全、服务等相关检测，确保应用软件符合个人信息保护的相关要求，对审核和检测中发现的恶意应用软件等违法违规软件，不得向用户提供；持续监测预置APP的个人信息安全风险，对所提供应用软件进行跟踪监测，及时处理违法违规软件；保证移动智能终端获得进网许可证前后预置软件的一致性。
	明示	要求应用软件提供者在提交应用软件时声明其获取的用户终端权限及用途，并将上述信息向软件下载用户明示。
	留存	留存所提供应用软件，以及该软件有关版本、上线时间、功能简介、用途、MD5等校验值、服务器接入等信息以备追溯检测，相关信息的留存时间不短于60日。
	下架	及时下架违规应用软件和恶意应用软件。
报告		移动智能终端新增预置软件或有重大功能变化的，应及时向工信部报告。
投诉		建立投诉举报受理制度，为用户提供便捷的投诉举报方式，并应在规定和公开承诺的时限内妥善处理，对处理结果不满的，用户可向电信用户申诉受理机构申诉（电话为：010-12300、省会城市区号-12300）；用户发现预置应用软件含有法律法规规定的禁止性内容或违规发送商业性电子信息的，可向网络不良与垃圾信息举报中心举报（电话为：010-12321、省会城市区号-12321）。
代收费合规		提供代收费的企业应当采取必要措施，加强对计费、收费行为的管理，杜绝不明扣费；收费企业应对用户确认信息和计费原始数据至少保存5个月，并为用户查询提供方便。

4. 生产或销售针对未成年人的智能终端产品应特别注意哪些合规义务？

随着移动互联网迅速发展，越来越多的未成年人开始接触和使用互联网，因此《未成年人网络保护条例（征求意见稿）》针对未成年人的智能终端产品提出了更严格的合规要求。

合规要点	具体说明
软件安装及说明	智能终端产品制造者在产品出厂前，应安装未成年人上网保护软件，或采用显著方式告知用户安装渠道和方法；智能终端产品销售者在产品销售前，应采用显著方式告知用户安装未成年人上网保护软件的情况以及安装渠道和方法。
软件和产品功能达标	未成年人上网保护软件、专门供未成年人使用的智能终端产品应满足以下条件：有效识别违法信息和可能影响未成年人身心健康的信息；保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责；通过相关技术标准或者要求，接受使用效果评估。

针对“技术标准或者要求”，《未成年人网络保护条例（征求意见稿）》指出国家网信部门会同国务院有关部门明确相关技术标准或者要求，并指导相关行业组织对未成年人上网保护软件、专门供未成年人使用的智能终端产品的使用效果进行评估，并向社会公布评估结果。

目前可参考信安标委发布的《信息安全技术移动通信智能终端操作系统安全技术要求》国家标准，其规定了移动通信智能终端操作系统应具备数据传输保护、完整性校验等安全功能技术要求。

三、预置应用软件开发者合规义务

1. 应重点关注哪些合规风险？

数据安全和个人信息收集使用的合规性问题。《报告》其中针对预置第三方应用进行了测评分析，安全风险主要包括存在安全漏洞、恶意行为、过度收集用户个人信息、第三方SDK隐私政策缺失等。

测试表明60%的预装APP存在违规采集共享用户信息的问题；80%电视系统的预装应用存在未获得用户同意向第三方共享用户敏感数据的问题；APP隐私政策普遍存在内容展示不完善等问题。此外，《报告》对预置应用的数据安全问题也备受关注，具体关注点如下：

2. 如何在最小必要范围内收集个人信息？

预置应用软件收集个人信息也需要满足最小必要原则。《规定》特别强调应用软件不得调用与所提供服务无关的终端功能、不得捆绑推广其他应用软件。《报告》也指出超范围收集个人信息、过度索取权限是典型问题。《常见类型移动互联网应用程序必要个人信息范围规定》还特别指出其也适用于预置APP。

建议相关开发者在收集个人信息时确保收集的个人信息应具有明确、合理、具体的个人信息处理目的，收集个人信息的类型、频率、数量、精度等仅限于最小的必要范围，且只采取对个人权益影响最小的方式收集个人信息。综合相关规范标准，APP最小必要个人信息范围的判定参考图如下：

3. 收集个人信息前如何进行告知同意？

工信部在《进网管理通知》中明确指出预置应用软件应先向用户明示并经用户同意，才能收集、修改用户个人信息。《规定》也指出未经明示且经用户同意，不得实施收集使用用户个人信息、开启应用软件。

由此可见，预置的应用软件虽然已预装在设备中，但若涉及个人信息处理，也需要按照《个人信息保护法》等相关规定来处理个人信息。

在首次运行预置应用软件时，开发者应该通过独立的隐私政策等形式履行告知义务，依据《个人信息保护法》、《信息安全技术个人信息安全规范》等要求，公开所收集个人信息的类型、收集目的、使用规则等，确保文本能正常显示且内容与实际相符。

征得用户同意前，不产生收集个人信息行为，除非存在《个人信息保护法》中所规定的其他合法基础。《个人信息保护法》特别指出同意应当由个人在充分知情的前提下自愿、明确作出的行为，因此不能默认勾选同意。

《移动互联网应用程序（APP）个人信息安全防范指引（征求意见稿）》进一步指出APP在登录界面下方“我已阅读并同意服务许可协议及隐私政策”前的勾选框中提前替用户打勾，或登录界面下方只给出隐私政策链接，并未说明登录后是否视为同意隐私政策，此类情形属于默认同意。

例如，小米针对在其设备上发布或运行的应用发布了《应用隐私合规标准》，其中特别强调了隐私政策的告知同意规则，具体截图如下：

4. 如何发送商业信息

《规定》指出应用软件不能违法发送商业性电子信息。结合《个人信息保护法》、《通信短信息和语音呼叫服务管理规定》等规范要求，建议相关开发者应在获取用户同意后再发送商业性电子信息，通过自动化决策方式向个人进行信息推送、商业营销，应同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

5. APP开发者如何与SDK提供者开展合作？

《报告》特别指出几乎所有的APP都会和其集成的SDK传输数据，但是均未在隐私政策中予以体现。实践中，APP往往会在其隐私政策的共享部分单独列明其所嵌入的SDK的列表清单，告知用户所嵌入的SDK的类型、收集的个人信息类型、目的、SDK隐私政策等信息。用户通过勾选同意APP隐私政策的同时也就同意了SDK的收集使用规则。

结合《信息安全技术移动互联网应用程序（APP）SDK安全指南》等相关要求，APP开发者的重要合规关注点如下：

阶段	合规要求	具体要求
接入期	明确告知	应在APP隐私政策中逐项列举其所使用的有个人信息收集行为的SDK清单，包括SDK名称、合作伙伴名称、合作目的、收集个人信息字段、以及SDK隐私政策等。
接入期	协议约定	与第三方SDK明确如下个人信息处理规则和保护责任： SDK收集个人信息的目的、方式、范围； SDK申请的系统权限和申请目的； SDK收集个人信息的保存期限，停止嵌入后的个人信息处理方式；个人信息安全责任和保护措施； SDK是否存在热更新机制； SDK是否存在自启动、关联启动； SDK收集个人信息是否涉及向境外提供； SDK协助APP响应用户个人信息权利请求的措施。
运营期	安全评估	宜对集成后的SDK进行持续安全监测或定期进行安全评估。对于已经发现安全漏洞的SDK，应要求SDK提供者及时修复安全漏洞，或者采用其它替代方案。对于已经发现存在恶意行为的SDK，应停止使用。
退出期	删除或匿名化	及时从APP中移除该SDK的代码及调用该SDK的代码，存在通过APP共享或收集个人信息的，应督促SDK提供者按照合作协议约定，删除从APP共享或收集的个人信息或做匿名化处理；停用某SDK后，SDK收集的个人信息，如共享给APP开发者，APP开发者应按照协议删除该部分个人信息或做匿名化处理。

6.如何进行安全管理

《报告》特别指出安全问题非常突出。检测到的57%的互联网电视上的预置APP代码中的配置文件存在高风险标志位开启隐患，应用漏洞易被黑客利用。80%的APP存在未加固的问题，即因为应用未加固，攻击者可以通过较低成本进行逆向分析，对应用接包后插入恶意安全代码进行二次打包发布，用户因安装伪造的应用可能会遭到钓鱼攻击。

除此之外，用户敏感个人信息未脱敏展示和明文数据传输也增加了数据安全风险。依据《个人信息保护法》等规范的相关要求，首先，建议开发者采取相应的加密、去标识化等安全保护措施来防止未经授权的访问以及个人信息泄露、篡改、丢失。敏感个人信息应进行加密传输和存储。

其次，建议开发者采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，以及监测、记录网络运行状态、网络安全事件的技术措施，并留存相关的网络日志不少于六个月。

最后，健全数据安全管理制度，组织开展数据安全教育培训，基于最小必要原则设置访问权限。此外，鉴于API等级较低的应用软件存在权限管理缺陷和规避系统安全机制的漏洞，易引发安全风险。

电信终端产业协会（TAF）在2018年曾发布了《移动应用软件高API等级预置与分发自律公约》，其号召广大移动应用软件预置与分发服务提供者，拒绝上架并及时更新低API等级的应用，建议应用软件应基于Android 8.0（API等级26）及以上开发以提升安全性。

四、总结

鉴于预置应用软件就是用户在出厂时就预先安装的应用软件，因为用户无法事先选择终端安装哪些应用软件，因此，国家互联网信息办公室等监管部门发布了《规定》、《通告》等相关规范来明确合规义务，其明确了基于依法合规、用户至上、安全便捷、最小必要的原则，保障用户合法权益的基本原则。

针对生产企业和分发服务提供者，其应特别注意保障用户的知情权和选择权。针对知情权，应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息。在终端产品说明书中提供预置应用软件列表信息，并在终端产品说明书或外包装中标示预置应用软件详细信息的查询方法。

针对选择权，除基本功能软件外的预置应用软件均可卸载，实现同一基本功能的预置应用软件只能有一个是不可卸载的，且卸载方式至少与安装方式同等便捷。卸载后的应用软件在操作系统升级时也不应被强行恢复。

针对预置应用软件开发者，虽然相关软件已经预先被安装在设备中，但是其依然需要履行应用软件的相关合规义务。预置运用软件应基于最小必要原则来收集个人信息，在开始收集个人信息前，应该先通过隐私政策等形式履行告知义务，需要披露所嵌入的SDK的列表清单，告知用户所嵌入的SDK的类型、收集的个人信息类型、目的、SDK隐私政策等信息。

在获取用户同意前不收集个人信息，除非存在《个人信息保护法》中所规定的其他合法基础。此外，预置应用软件还需要采取相应的加密、去标识化等安全保护措施来保障数据安全。

针对《报告》中所关注的SDK问题，主要包括SDK是否超出 APP隐私政策的范围来收集个人信息、APP隐私协议是否披露SDK、是否未脱敏展示和使用个人信息、SDK是否向第三方私自传输用户个人信息、是否存在用户敏感数据未加密传输等问题。

但值得注意的是《报告》所披露的问题本质上是互联网电视厂商和APP开发者之间的问题。因为常规的SDK必须以APP为载体，无法自己主动埋入系统中，SDK若想预置在互联网电视中，需要经过APP开发者和互联网电视厂商的双重审核确认。

首先，APP在嵌入SDK前需对SDK进行严格审核，确保其所收集的个人信息与其功能相匹配，并在SDK通过审核后，在APP的隐私政策中披露SDK的名称、类型、所收集的个人信息类型、处理目的等信息。

其次，APP若想预置在互联网电视中，也需要先与互联网电视厂商沟通一致达成合作，而互联网电视厂商也需要对APP进行合规审核，其中也包括对其嵌入的SDK的审核，APP在完成审核之后才可以被预置在互联网电视中。

因此，《报告》所体现出的SDK和APP的问题本质上也是由互联网电视厂商审核不严而导致的，良好的互联网电视生态环境还是需要从互联网电视厂商这个源头进行治理。

《报告》所关注的SDK合规问题	TalkingData 合规说明
SDK是否超出 APP隐私政策的范围来收集个人信息	TalkingData 的SDK不会超出APP隐私政策所披露的个人信息收集范围。除了协议约束外，TalkingData 为了满足APP开发者的自主选择权及数据处理的最小必要原则，还针对SDK独立的功能模块提供单独的开启和关闭选项。 TalkingData 要求APP开发者在下载SDK前，应当自主勾选所需要的具体功能模块，不会强制捆绑无关功能，亦不会以此为由申请无关权限或收集无关的个人信息。APP Analytics定制SDK的官网页面如下：
APP隐私政策是否披露SDK	TalkingData 设置了勾选同意的前置承诺机制。APP开发者必须先阅读《SDK下载特别声明》并勾选同意才能下载SDK，其要求APP开发者披露所嵌入的SDK的相关信息，并应确保在APP首次运行时通过显著方式提示终端用户阅读其隐私政策并取得授权同意，再初始化SDK进行信息收集。《SDK下载合规声明》相关条款如下：为了确保APP开发者切实获得终端用户的授权，并保证TalkingData 获取终端用户个人信息的合法合规性，在双方订立合作协议前，TalkingData 会进行数据合规尽职调查以评估风险，查看APP开发者官网公开的终端用户协议/服务条款与隐私政策等文件以审查同意授权与告知机制等。合作后，TalkingData 也会追踪查看签约APP的披露情况，并进行汇总记录。更多信息请见《TalkingData数据源合规授权说明》。
SDK是否未脱敏展示和使用个人信息	个人信息进入TalkingData 数据平台后，TalkingData 会严格按照法律法规的要求以及业务需求进行数据脱敏处理，采用匿名的TDID作为实体标识主键与业务数据关联，去除可直接识别实体的具体ID，保证数据可用性和安全性的平衡。 TDID由TalkingData 自有的ID生成逻辑及加密算法来生成，具体规则是：版本号＋加密算法F(设备ID因子1,设备ID因子2,设备ID因子N, Salt)。 TalkingData 的SDK收集的数据会先在设备边缘侧做设备ID去标识化等预处理工作，同时采用加密方式存储和传输，通道加密方式回传。更多信息请见《TalkingData SDK合规与安全指南》。
SDK是否向第三方私自传输用户个人信息	TalkingData 已经在隐私政策中明确了关于个人信息的共享、转让、公开披露规则，不会向第三方私自传输用户个人信息。而且对于获取个人信息主体授权同意后共享个人信息的公司、组织、个人，TalkingData 也会与其签署严格的保密协定，要求他们按照TalkingData 的说明、隐私政策以及其他任何相关保密和安全措施来处理个人信息。如果涉及共享，TalkingData 会在获取用户授权后再进行共享。首先，APP开发者在与TalkingData 合作之前，必须先仔细阅读并主动勾选同意TalkingData 的隐私政策，此行为即视为APP开发者承诺其接受并遵守隐私政策的全部条款。 TalkingData 隐私政策已明确指出TalkingData 的共享规则，具体截图如下：其次，APP开发者在勾选同意了TalkingData 的隐私政策之后还需要勾选同意《SDK下载合规声明》才能下载使用TalkingData 的SDK。《SDK下载合规声明》明确要求APP运营者应确保在APP运营者在其隐私政策中披露其使用的第三方SDK的相关信息，并在首次运行时通过明显方式提示用户阅读隐私政策，通过用户勾选同意的行为取得用户的合法授权。 APP开发者往往还会在其隐私政策中特别指出第三方SDK会遵循其隐私政策来收集处理个人信息，终端用户同意了APP隐私政策的同时也授权同意了第三方SDK的隐私政策，并按照第三方SDK的隐私政策处理终端用户的个人信息。例如天眼查，截图如下：最后，当用户勾选同意APP隐私政策后也就同意了SDK的个人信息处理规则。因此，TalkingData 仅会在获取用户授权的情形下进行共享。更多信息请见《TalkingData数据源合规授权说明》。
SDK是否加密传输用户敏感数据	TalkingData 在传输前会对不同的数据设置不同的数据保密等级，从而采用不同的加密方式，如MD5、密钥加密等。数据传输时会采用https协议以保障传输通道加密安全。数据传输报文采用符合国家要求的加密算法RC4进行加密，同时加密算法秘钥动态分存管理以防止秘钥丢失或被破解。 TalkingData 根据组织内外部的数据传输要求，采用了适当的加密措施来保障传输的通道、节点和数据的安全，防止数据在传输过程中泄露。更多信息请见《TalkingData SDK合规与安全指南》。