你知道嗎智能電視也會強制授權、過度索權超范圍收集個人信息威脅傢庭用戶的安全。近日,中國信息通信研究院聯合電信終端產業協會發佈《OTT終端數據安全和個人信息保護研究報告(2022年)》(以下簡稱《報告》)。《報告》顯示,智能電視SDK侵犯個人信息權益的現象,比智能手機更為嚴重。
SDK:第三方軟件開發工具包OTT:互聯網公司以互聯網為媒介、以互聯網電視為終端向用戶提供各類服務
為什麼會出現這些問題?
如何保障智能電視用戶的
個人信息安全不受侵害?
對此
《中國消費者報》記者進行深入調查
1
《報告》顯示:
在數據安全和個人信息安全方面,互聯網電視APP和第三方SDK強制授權、過度索權、超范圍收集個人信息的現象大量存在;
流量欺詐方面,OTT領域虛假作弊流量比例較高,榨取廣告市場預算,威脅傢庭用戶的安全;
內容方面,內容盜版侵權,二創、搬運等軟盜版行為突出,影響視頻付費市場發展;
投屏安全方面,投屏更加便捷,但也存在泄漏用戶隱私的風險。
《報告》還顯示:
75%的被測電視操作系統存在已知安全漏洞;
60%的預裝APP存在違規采集MAC地址等用戶信息的問題;
80%的電視系統內置SDK、預裝應用存在未獲得用戶同意向第三方共享用戶敏感數據的問題。
從問題分佈來看:
系統組件存在的問題最多,達到27%;
其次為預置APP的安全問題,占23%;
來自操作系統和涉及個人信息保護的安全問題各占18%;
數據安全問題占14%。
2
《報告》顯示,在用戶數據安全問題中,數據共享安全問題比較突出。
幾乎所有的互聯網電視APP都會和集成的第三方SDK共享數據,但這一行為在隱私政策中沒有任何體現。用戶的敏感信息沒有脫敏處理便進行傳輸。如:
被測互聯網電視的預置APP會明文展示賬號信息頁面的手機號,還有的會明文傳輸用戶的遙控器操作、個人收視習慣信息等個人信息。
權限申請聲明和信息采集聲明在隱私政策中的展示也是重災區。《報告》顯示,80%互聯網電視上的APP沒有公開收集使用個人信息的其他規則。默認同意隱私政策、違規/超范圍收集使用個人信息、第三方權限申請和信息采集聲明缺失等問題大量存在。
測試發現,80%互聯網電視上的APP存在安裝軟件包未加固的問題,攻擊者可以用較低成本插入惡意代碼,造成用戶信息泄露和財產損失;57%的互聯網電視上預置APP代碼中的配置文件被設置為開啟,容易引發應用漏洞,被黑客利用。
《報告》顯示,被測試的互聯網電視上的APP均涉及私自收集個人信息的問題,同時還包括私自共享給第三方、超范圍收集個人信息、不給權限不讓用、過度索取權限等。
3
Talk⁃ingData法務總監兼數據合規官葛夢瑩對《中國消費者報》記者表示:“我認為這個內置SDK的行為是APP和電視廠商的違規操作。”
“互聯網電視本身是無法直接內置SDK。SDK作為一個軟件開發工具包,是以APP為載體的,電視系統所內置的SDK,確切地說,是電視廠商自己的APP或者合作方的APP內置SDK,而且這個內置行為需要電視廠商在技術上予以配合才能完成。
與手機不太一樣的是,很多電視廠商的APP可能是無展示頁面的,因此不會展示給個人用戶,這就造成個人用戶無感知的情況。
從合規的角度看,這裡面就存在內置APP未將所加載的SDK披露給個人用戶的問題。根據《個人信息保護法》以及工業和信息化部發佈的《關於開展信息通信服務感知提升行動的通知》的要求,APP應該在其隱私政策中披露所加載SDK的清單,包括SDK收集個人信息的基本情況,包含信息種類、使用目的、使用場景等信息。”
4
關於預裝的規定,工信部早在2013年就發佈《關於加強移動智能終端進網管理的通知》,2016年又發佈《移動智能終端應用軟件預置和分發管理暫行規定》,以此來細化規制移動智能終端生產企業和提供移動智能終端應用軟件分發服務的互聯網信息服務提供者。此後,工信部會同國傢互聯網信息辦公室今年再次起草《關於進一步規范移動智能終端應用軟件預置行為的通告(征求意見稿)》,欲進一步規范應用軟件預置和分發管理。
葛夢瑩說:“上述規定的主要目的既然是保護個人用戶的知情權和選擇權,那載體到底是移動智能終端還是智能電視,其實不重要,重要的是保護個人用戶的權益。”
葛夢瑩認為,上述法規關於預裝的告知義務的規定,是與《個人信息保護法》相一致的,其中特別指出處理個人信息前需要以顯著方式、清晰易懂的語言,真實、準確、完整地向個人履行告知義務。因此,智能電視廠商應該向個人用戶公示所預置的應用軟件列表,公示方式通常是在電視廠商的官網上。在具體方式上,還應要保障消費者的知情權和選擇選。
5
漢坤律師事務所的數據合規資深律師段志超對《中國消費者報》記者說,互聯網電視和智能手機在個人信息收集、應用的本質方面並沒有什麼區別。
他認為,盡管互聯網電視相比於智能手機可能與個人的關聯程度相對較弱,但互聯網電視及其搭載的各類終端的觀看記錄、行為數據以及與互聯網電視有關的購買記錄、安裝記錄、維修記錄等信息,同樣能夠反映出個人的部分特征,例如收入情況、興趣偏好等。
除此之外,互聯網電視為實現視頻、語音、投屏等功能而搭載的攝像頭、麥克風等功能模塊以及多設備之間的連通互動,如未采取適當的安全保護措施,會引發個人信息泄露等問題。
目前APP個人信息保護的監管重點仍主要聚焦在手機APP應用以及SDK等方面,段志超認為,無論是《個人信息保護法》還是近期發佈的《移動互聯網應用程序信息服務管理規定》,均對互聯網電視行業的個人信息保護水平提出更高的要求,監管部門能夠較為容易地將手機APP和SDK監管執法中總結的經驗或者形成的行業共識,用於互聯網電視等其他移動智能終端的監管治理之中,這些既有案例會為互聯網電視行業各方提供較為明確的方向指引。