你知道嗎？智能電視也會強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息。

近日，中國信息通信研究院聯(lián)合電信終端產(chǎn)業(yè)協(xié)會發(fā)布了《OTT終端數(shù)據(jù)安全和個人信息保護(hù)研究報(bào)告（2022年）》（以下簡稱《報(bào)告》）。

《報(bào)告》顯示，智能電視SDK侵犯個人信息權(quán)益的現(xiàn)象，比智能手機(jī)更為嚴(yán)重。（SDK：第三方軟件開發(fā)工具包；OTT：互聯(lián)網(wǎng)公司以互聯(lián)網(wǎng)為媒介、以互聯(lián)網(wǎng)電視為終端向用戶提供各類服務(wù)。）

為什么會出現(xiàn)這些問題？如何保障智能電視用戶的個人信息安全不受侵害？對此，《中國消費(fèi)者報(bào)》記者進(jìn)行了深入調(diào)查。

SDK強(qiáng)制授權(quán)大量存在

《報(bào)告》顯示：在數(shù)據(jù)安全和個人信息安全方面，互聯(lián)網(wǎng)電視APP和第三方SDK強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象大量存在；投屏安全方面，投屏更加便捷，但也存在泄漏用戶隱私的風(fēng)險(xiǎn)。

《報(bào)告》還顯示：75%的被測電視操作系統(tǒng)存在已知安全漏洞；60%的預(yù)裝APP存在違規(guī)采集MAC地址等用戶信息的問題；80%的電視系統(tǒng)內(nèi)置SDK、預(yù)裝應(yīng)用存在未獲得用戶同意向第三方共享用戶敏感數(shù)據(jù)的問題。

從問題分布來看：系統(tǒng)組件存在的問題最多，達(dá)到27%；其次為預(yù)置APP的安全問題，占23%；來自操作系統(tǒng)和涉及個人信息保護(hù)的安全問題各占18%；數(shù)據(jù)安全問題占14%。

數(shù)據(jù)共享安全問題突出

《報(bào)告》顯示，在用戶數(shù)據(jù)安全問題中，數(shù)據(jù)共享安全問題比較突出。

幾乎所有的互聯(lián)網(wǎng)電視APP都會和集成的第三方SDK共享數(shù)據(jù)，但這一行為在隱私政策中沒有任何體現(xiàn)。用戶的敏感信息沒有脫敏處理便進(jìn)行傳輸。如：

被測互聯(lián)網(wǎng)電視的預(yù)置APP會明文展示賬號信息頁面的手機(jī)號，還有的會明文傳輸用戶的遙控器操作、個人收視習(xí)慣信息等個人信息。

權(quán)限申請聲明和信息采集聲明在隱私政策中的展示也是重災(zāi)區(qū)。《報(bào)告》顯示，80%互聯(lián)網(wǎng)電視上的APP沒有公開收集使用個人信息的其他規(guī)則。默認(rèn)同意隱私政策、違規(guī)/超范圍收集使用個人信息、第三方權(quán)限申請和信息采集聲明缺失等問題大量存在。

測試發(fā)現(xiàn)，80%互聯(lián)網(wǎng)電視上的APP存在安裝軟件包未加固的問題，攻擊者可以用較低成本插入惡意代碼，造成用戶信息泄露和財(cái)產(chǎn)損失；57%的互聯(lián)網(wǎng)電視上預(yù)置APP代碼中的配置文件被設(shè)置為開啟，容易引發(fā)應(yīng)用漏洞，被黑客利用。

《報(bào)告》顯示，被測試的互聯(lián)網(wǎng)電視上的APP均涉及私自收集個人信息的問題，同時還包括私自共享給第三方、超范圍收集個人信息、不給權(quán)限不讓用、過度索取權(quán)限等。

智能電視預(yù)裝SDK未披露不合規(guī)

Talk?ingData法務(wù)總監(jiān)兼數(shù)據(jù)合規(guī)官葛夢瑩對《中國消費(fèi)者報(bào)》記者表示：“我認(rèn)為這個內(nèi)置SDK的行為是APP和電視廠商的違規(guī)操作。”

“互聯(lián)網(wǎng)電視本身是無法直接內(nèi)置SDK。SDK作為一個軟件開發(fā)工具包，是以APP為載體的，電視系統(tǒng)所內(nèi)置的SDK，確切地說，是電視廠商自己的APP或者合作方的APP內(nèi)置了SDK，而且這個內(nèi)置行為需要電視廠商在技術(shù)上予以配合才能完成。

與手機(jī)不太一樣的是，很多電視廠商的APP可能是無展示頁面的，因此不會展示給個人用戶，這就造成了個人用戶無感知的情況。

從合規(guī)的角度看，這里面就存在內(nèi)置APP未將所加載的SDK披露給個人用戶的問題。根據(jù)《個人信息保護(hù)法》以及工業(yè)和信息化部發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動的通知》的要求，APP應(yīng)該在其隱私政策中披露所加載SDK的清單，包括SDK收集個人信息的基本情況，包含信息種類、使用目的、使用場景等信息。”

APP相關(guān)規(guī)范應(yīng)適用于智能電視

關(guān)于預(yù)裝的規(guī)定，工信部早在2013年就發(fā)布了《關(guān)于加強(qiáng)移動智能終端進(jìn)網(wǎng)管理的通知》，2016年又發(fā)布了《移動智能終端應(yīng)用軟件預(yù)置和分發(fā)管理暫行規(guī)定》，以此來細(xì)化規(guī)制移動智能終端生產(chǎn)企業(yè)和提供移動智能終端應(yīng)用軟件分發(fā)服務(wù)的互聯(lián)網(wǎng)信息服務(wù)提供者。此后，工信部會同國家互聯(lián)網(wǎng)信息辦公室今年再次起草了《關(guān)于進(jìn)一步規(guī)范移動智能終端應(yīng)用軟件預(yù)置行為的通告（征求意見稿）》，欲進(jìn)一步規(guī)范應(yīng)用軟件預(yù)置和分發(fā)管理。

葛夢瑩說：“上述規(guī)定的主要目的既然是保護(hù)個人用戶的知情權(quán)和選擇權(quán)，那載體到底是移動智能終端還是智能電視，其實(shí)不重要，重要的是保護(hù)個人用戶的權(quán)益?！?/p>

葛夢瑩認(rèn)為，上述法規(guī)關(guān)于預(yù)裝的告知義務(wù)的規(guī)定，是與《個人信息保護(hù)法》相一致的，其中特別指出處理個人信息前需要以顯著方式、清晰易懂的語言，真實(shí)、準(zhǔn)確、完整地向個人履行告知義務(wù)。因此，智能電視廠商應(yīng)該向個人用戶公示所預(yù)置的應(yīng)用軟件列表，公示方式通常是在電視廠商的官網(wǎng)上。在具體方式上，還應(yīng)要保障消費(fèi)者的知情權(quán)和選擇選。

關(guān)聯(lián)度雖低但仍會侵犯個人信息

漢坤律師事務(wù)所的數(shù)據(jù)合規(guī)資深律師段志超對《中國消費(fèi)者報(bào)》記者說，互聯(lián)網(wǎng)電視和智能手機(jī)在個人信息收集、應(yīng)用的本質(zhì)方面并沒有什么區(qū)別。

他認(rèn)為，盡管互聯(lián)網(wǎng)電視相比于智能手機(jī)可能與個人的關(guān)聯(lián)程度相對較弱，但互聯(lián)網(wǎng)電視及其搭載的各類終端的觀看記錄、行為數(shù)據(jù)以及與互聯(lián)網(wǎng)電視有關(guān)的購買記錄、安裝記錄、維修記錄等信息，同樣能夠反映出個人的部分特征，例如收入情況、興趣偏好等。

除此之外，互聯(lián)網(wǎng)電視為實(shí)現(xiàn)視頻、語音、投屏等功能而搭載的攝像頭、麥克風(fēng)等功能模塊以及多設(shè)備之間的連通互動，如未采取適當(dāng)?shù)陌踩Ｗo(hù)措施，會引發(fā)個人信息泄露等問題。

目前APP個人信息保護(hù)的監(jiān)管重點(diǎn)仍主要聚焦在手機(jī)APP應(yīng)用以及SDK等方面，段志超認(rèn)為，無論是《個人信息保護(hù)法》還是近期發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》，均對互聯(lián)網(wǎng)電視行業(yè)的個人信息保護(hù)水平提出了更高的要求，監(jiān)管部門能夠較為容易地將手機(jī)APP和SDK監(jiān)管執(zhí)法中總結(jié)的經(jīng)驗(yàn)或者形成的行業(yè)共識，用于互聯(lián)網(wǎng)電視等其他移動智能終端的監(jiān)管治理之中，這些既有案例會為互聯(lián)網(wǎng)電視行業(yè)各方提供較為明確的方向指引。