解读

面试官想确认两点：

1. 你是否把“麦克风录音”识别为“敏感个人信息”，并理解国内《个人信息保护法》（PIPL）与欧盟 GDPR 的共性与差异；
2. 你能否把合规要求落地到 Android 工程实践，而不是空谈法规条文。
   回答时要体现“最小必要、用户知情、可撤销、可审计、数据不出境”五大原则，并给出可编译、可验证的代码级措施。

知识点

1. 敏感个人信息定义：GDPR Special Category + PIPL 第28条“生物识别、特定身份、行踪轨迹”均包含声纹。
2. 合法性基础：GDPR 需“明确同意（Opt-in）”，PIPL 需“单独同意”且不得捆绑其他权限。
3. 最小必要：录音时长、采样率、码率、场景（语音搜索/客服/配音）需与业务功能直接相关。
4. 数据主体权利：访问权、删除权、撤回同意权、数据可携带权；撤回后需在15个工作日内完成端侧+云端删除。
5. 境内存储：PIPL 第38条，录音数据原则上本地化；跨境传输需通过安全评估或认证。
6. 技术措施：
   • 权限模型：RECORD_AUDIO 归为“危险权限”，Android 6.0+ 需动态申请；targetSdk≥33 需额外声明高采样率后台录音权限。
   • 沙箱与加密：录音文件默认落私有目录，AES-256-GCM 加密，密钥存 Android Keystore，TEE 级密钥不出安全硬件。
   • 匿名化：实时语音转文字后，立即丢弃原始 PCM，仅保留脱敏文本；若必须保留，需做声纹特征随机化。
   • 可撤销设计：录音文件命名带 UUID+时间戳，数据库建“user_consent”表，记录 consentToken、scope、timestamp；用户撤同时，根据 UUID 级联删除本地+OSS。
   • 审计日志：埋点仅上报“开始录音/结束录音”事件，不上传内容；日志存本地，加密后按需回捞。
7. 合规测试：
   • 静态扫描：使用 PrivacySandbox 权限检查器，确保无“后台录音”误用。
   • 动态测试：adb shell dumpsys activity permissions 查看 grantResults；mitmproxy 抓包验证无原始音频流上传。
   • 渗透测试：模拟 root 后提取 /sdcard/Android/data/<pkg>/，验证录音文件加密且无法解密。

答案

“在 Android 侧确保录音合规，我分四步落地：
第一步，最小化场景。只在用户点击‘按住录音’按钮时，才动态申请 RECORD_AUDIO，并在 Manifest 中增加 android:foregroundServiceType="microphone"，拒绝后台偷录。
第二步，单独同意。弹窗文案用‘我们需要使用麦克风录制您的声音，用于语音留言功能，录音仅保存在本地，30 天后自动删除’，提供‘同意并继续’和‘拒绝’两个按钮；拒绝后业务链直接降级为文字输入。
第三步，端侧加密与匿名化。录音 PCM 流通过 AudioRecord 读到内存后，立刻用 Jetpack Security 生成的 TEE 密钥做流式 AES-256-GCM 加密，写入私有目录；语音转文字在本地完成，文本脱敏（正则抹除手机号）后再上传，原始加密文件不上云。若业务必须上传，则先分片、再加密，使用国密 SM4 或 AES-256，密钥通过 RSA-2048 公钥信封加密，私钥放服务端 HSM。
第四步，可撤销与审计。每次录音生成 UUID，本地 SQLite 记录 consentToken；用户可在‘隐私中心’一键撤回，触发 WorkManager 任务遍历本地与云端，调用 Server API 删除对应 UUID 文件，15 分钟内完成并回调刷新 UI。审计日志只记录“录音开始/结束”时间戳与 UUID，不含内容，本地加密保存 90 天，到期自动擦除。
最后，跨境合规。服务端部署在阿里云华东二，录音元数据与文件均不出境；若海外用户需回欧盟，则走 Google Cloud 的 VPC 对等连接+标准合同条款（SCC），并在隐私政策中单独列出接收方与联系方式。”

拓展思考

1. 儿童场景：若 App 可能面向 14 岁以下用户，需再征得监护人单独同意，可在首次录音时弹出监护人实名验证+短信 OTP。
2. 车载与 Wear：车机录音需叠加《汽车数据安全管理若干规定》，行驶中录音默认不启，停车后由用户主动唤醒；Wear OS 录音文件极小，可直接在本地完成语音识别，只回传文本，实现“数据不出腕”。
3. 生成式 AI：若后续用录音训练语音合成模型，需走“个人信息匿名化”评估，建议采用差分隐私加噪声，或联邦学习方案，确保无法逆向还原原声。