你知道吗?智能电视也会强制授权、过度索权、超范围收集个人信息。
近日,中国信息通信研究院联合电信终端产业协会发布了《OTT终端数据安全和个人信息保护研究报告(2022年)》(以下简称《报告》)。
《报告》显示,智能电视SDK侵犯个人信息权益的现象,比智能手机更为严重。(SDK:第三方软件开发工具包;OTT:互联网公司以互联网为媒介、以互联网电视为终端向用户提供各类服务。)
为什么会出现这些问题?如何保障智能电视用户的个人信息安全不受侵害?对此,《中国消费者报》记者进行了深入调查。
SDK强制授权大量存在
《报告》显示:在数据安全和个人信息安全方面,互联网电视APP和第三方SDK强制授权、过度索权、超范围收集个人信息的现象大量存在;投屏安全方面,投屏更加便捷,但也存在泄漏用户隐私的风险。
《报告》还显示:75%的被测电视操作系统存在已知安全漏洞;60%的预装APP存在违规采集MAC地址等用户信息的问题;80%的电视系统内置SDK、预装应用存在未获得用户同意向第三方共享用户敏感数据的问题。
从问题分布来看:系统组件存在的问题最多,达到27%;其次为预置APP的安全问题,占23%;来自操作系统和涉及个人信息保护的安全问题各占18%;数据安全问题占14%。
数据共享安全问题突出
《报告》显示,在用户数据安全问题中,数据共享安全问题比较突出。
几乎所有的互联网电视APP都会和集成的第三方SDK共享数据,但这一行为在隐私政策中没有任何体现。用户的敏感信息没有脱敏处理便进行传输。如:
被测互联网电视的预置APP会明文展示账号信息页面的手机号,还有的会明文传输用户的遥控器操作、个人收视习惯信息等个人信息。
权限申请声明和信息采集声明在隐私政策中的展示也是重灾区。《报告》显示,80%互联网电视上的APP没有公开收集使用个人信息的其他规则。默认同意隐私政策、违规/超范围收集使用个人信息、第三方权限申请和信息采集声明缺失等问题大量存在。
测试发现,80%互联网电视上的APP存在安装软件包未加固的问题,攻击者可以用较低成本插入恶意代码,造成用户信息泄露和财产损失;57%的互联网电视上预置APP代码中的配置文件被设置为开启,容易引发应用漏洞,被黑客利用。
《报告》显示,被测试的互联网电视上的APP均涉及私自收集个人信息的问题,同时还包括私自共享给第三方、超范围收集个人信息、不给权限不让用、过度索取权限等。
智能电视预装SDK未披露不合规
Talk⁃ingData法务总监兼数据合规官葛梦莹对《中国消费者报》记者表示:“我认为这个内置SDK的行为是APP和电视厂商的违规操作。”
“互联网电视本身是无法直接内置SDK。SDK作为一个软件开发工具包,是以APP为载体的,电视系统所内置的SDK,确切地说,是电视厂商自己的APP或者合作方的APP内置了SDK,而且这个内置行为需要电视厂商在技术上予以配合才能完成。
与手机不太一样的是,很多电视厂商的APP可能是无展示页面的,因此不会展示给个人用户,这就造成了个人用户无感知的情况。
从合规的角度看,这里面就存在内置APP未将所加载的SDK披露给个人用户的问题。根据《个人信息保护法》以及工业和信息化部发布的《关于开展信息通信服务感知提升行动的通知》的要求,APP应该在其隐私政策中披露所加载SDK的清单,包括SDK收集个人信息的基本情况,包含信息种类、使用目的、使用场景等信息。”
APP相关规范应适用于智能电视
关于预装的规定,工信部早在2013年就发布了《关于加强移动智能终端进网管理的通知》,2016年又发布了《移动智能终端应用软件预置和分发管理暂行规定》,以此来细化规制移动智能终端生产企业和提供移动智能终端应用软件分发服务的互联网信息服务提供者。此后,工信部会同国家互联网信息办公室今年再次起草了《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》,欲进一步规范应用软件预置和分发管理。
葛梦莹说:“上述规定的主要目的既然是保护个人用户的知情权和选择权,那载体到底是移动智能终端还是智能电视,其实不重要,重要的是保护个人用户的权益。”
葛梦莹认为,上述法规关于预装的告知义务的规定,是与《个人信息保护法》相一致的,其中特别指出处理个人信息前需要以显著方式、清晰易懂的语言,真实、准确、完整地向个人履行告知义务。因此,智能电视厂商应该向个人用户公示所预置的应用软件列表,公示方式通常是在电视厂商的官网上。在具体方式上,还应要保障消费者的知情权和选择选。
关联度虽低但仍会侵犯个人信息
汉坤律师事务所的数据合规资深律师段志超对《中国消费者报》记者说,互联网电视和智能手机在个人信息收集、应用的本质方面并没有什么区别。
他认为,尽管互联网电视相比于智能手机可能与个人的关联程度相对较弱,但互联网电视及其搭载的各类终端的观看记录、行为数据以及与互联网电视有关的购买记录、安装记录、维修记录等信息,同样能够反映出个人的部分特征,例如收入情况、兴趣偏好等。
除此之外,互联网电视为实现视频、语音、投屏等功能而搭载的摄像头、麦克风等功能模块以及多设备之间的连通互动,如未采取适当的安全保护措施,会引发个人信息泄露等问题。
目前APP个人信息保护的监管重点仍主要聚焦在手机APP应用以及SDK等方面,段志超认为,无论是《个人信息保护法》还是近期发布的《移动互联网应用程序信息服务管理规定》,均对互联网电视行业的个人信息保护水平提出了更高的要求,监管部门能够较为容易地将手机APP和SDK监管执法中总结的经验或者形成的行业共识,用于互联网电视等其他移动智能终端的监管治理之中,这些既有案例会为互联网电视行业各方提供较为明确的方向指引。