中國資訊通訊研究院：2022年 75%被測電視作業系統存在已知安全漏洞

SDK：第三方軟體開發工具包OTT：網際網路公司以網際網路為媒介、以網際網路電視為終端向使用者提供各類服務

為什麼會出現這些問題？

如何保障智慧電視使用者的

個人資訊保安不受侵害？

對此

《中國消費者報》記者進行了深入調查

1

《報告》顯示：

在資料安全和個人資訊保安方面，網際網路電視APP和第三方SDK強制授權、過度索權、超範圍收集個人資訊的現象大量存在；

流量欺詐方面，OTT領域虛假作弊流量比例較高，榨取廣告市場預算，威脅家庭使用者的安全；

內容方面，內容盜版侵權，二創、搬運等軟盜版行為突出，影響視訊付費市場發展；

投屏安全方面，投屏更加便捷，但也存在洩漏使用者隱私的風險。

《報告》還顯示：

75%的被測電視作業系統存在已知安全漏洞；

60%的預裝APP存在違規採集MAC地址等使用者資訊的問題；

80%的電視系統內建SDK、預裝應用存在未獲得使用者同意向第三方共享使用者敏感資料的問題。

從問題分佈來看：

系統元件存在的問題最多，達到27%；

其次為預置APP的安全問題，佔23%；

來自作業系統和涉及個人資訊保護的安全問題各佔18%；

資料安全問題佔14%。

2

《報告》顯示，在使用者資料安全問題中，資料共享安全問題比較突出。

幾乎所有的網際網路電視APP都會和整合的第三方SDK共享資料，但這一行為在隱私政策中沒有任何體現。使用者的敏感資訊沒有脫敏處理便進行傳輸。如：

被測網際網路電視的預置APP會明文展示賬號資訊頁面的手機號，還有的會明文傳輸使用者的遙控器操作、個人收視習慣資訊等個人資訊。

許可權申請宣告和資訊採集宣告在隱私政策中的展示也是重災區。《報告》顯示，80%網際網路電視上的APP沒有公開收集使用個人資訊的其他規則。預設同意隱私政策、違規/超範圍收集使用個人資訊、第三方許可權申請和資訊採集宣告缺失等問題大量存在。

測試發現，80%網際網路電視上的APP存在安裝軟體包未加固的問題，攻擊者可以用較低成本插入惡意程式碼，造成使用者資訊洩露和財產損失；57%的網際網路電視上預置APP程式碼中的配置檔案被設定為開啟，容易引發應用漏洞，被黑客利用。

《報告》顯示，被測試的網際網路電視上的APP均涉及私自收集個人資訊的問題，同時還包括私自共享給第三方、超範圍收集個人資訊、不給許可權不讓用、過度索取許可權等。

3

Talk⁃ingData法務總監兼資料合規官葛夢瑩對《中國消費者報》記者表示：“我認為這個內建SDK的行為是APP和電視廠商的違規操作。”

“網際網路電視本身是無法直接內建SDK。SDK作為一個軟體開發工具包，是以APP為載體的，電視系統所內建的SDK，確切地說，是電視廠商自己的APP或者合作方的APP內建了SDK，而且這個內建行為需要電視廠商在技術上予以配合才能完成。

與手機不太一樣的是，很多電視廠商的APP可能是無展示頁面的，因此不會展示給個人使用者，這就造成了個人使用者無感知的情況。

從合規的角度看，這裡面就存在內建APP未將所載入的SDK披露給個人使用者的問題。根據《個人資訊保護法》以及工業和資訊化部發布的《關於開展資訊通訊服務感知提升行動的通知》的要求，APP應該在其隱私政策中披露所載入SDK的清單，包括SDK收集個人資訊的基本情況，包含資訊種類、使用目的、使用場景等資訊。”

4

關於預裝的規定，工信部早在2013年就釋出了《關於加強移動智慧終端進網管理的通知》，2016年又釋出了《移動智慧終端應用軟體預置和分發管理暫行規定》，以此來細化規制移動智慧終端生產企業和提供移動智慧終端應用軟體分發服務的網際網路資訊服務提供者。此後，工信部會同國家網際網路資訊辦公室今年再次起草了《關於進一步規範移動智慧終端應用軟體預置行為的通告（徵求意見稿）》，欲進一步規範應用軟體預置和分發管理。

葛夢瑩說：“上述規定的主要目的既然是保護個人使用者的知情權和選擇權，那載體到底是移動智慧終端還是智慧電視，其實不重要，重要的是保護個人使用者的權益。”

葛夢瑩認為，上述法規關於預裝的告知義務的規定，是與《個人資訊保護法》相一致的，其中特別指出處理個人資訊前需要以顯著方式、清晰易懂的語言，真實、準確、完整地向個人履行告知義務。因此，智慧電視廠商應該向個人使用者公示所預置的應用軟體列表，公示方式通常是在電視廠商的官網上。在具體方式上，還應要保障消費者的知情權和選擇選。

5

漢坤律師事務所的資料合規資深律師段志超對《中國消費者報》記者說，網際網路電視和智慧手機在個人資訊收集、應用的本質方面並沒有什麼區別。

他認為，儘管網際網路電視相比於智慧手機可能與個人的關聯程度相對較弱，但網際網路電視及其搭載的各類終端的觀看記錄、行為資料以及與網際網路電視有關的購買記錄、安裝記錄、維修記錄等資訊，同樣能夠反映出個人的部分特徵，例如收入情況、興趣偏好等。

除此之外，網際網路電視為實現視訊、語音、投屏等功能而搭載的攝像頭、麥克風等功能模組以及多裝置之間的連通互動，如未採取適當的安全保護措施，會引發個人資訊洩露等問題。

目前APP個人資訊保護的監管重點仍主要聚焦在手機APP應用以及SDK等方面，段志超認為，無論是《個人資訊保護法》還是近期釋出的《移動網際網路應用程式資訊服務管理規定》，均對網際網路電視行業的個人資訊保護水平提出了更高的要求，監管部門能夠較為容易地將手機APP和SDK監管執法中總結的經驗或者形成的行業共識，用於網際網路電視等其他移動智慧終端的監管治理之中，這些既有案例會為網際網路電視行業各方提供較為明確的方向指引。