中国消费者报报道(记者武晓莉)80%电视系统的内置SDK、预装APP擅自向第三方共享用户敏感数据。中国信息通信研究院联合电信终端产业协会发布的《OTT终端数据安全和个人信息保护研究报告(2022年)》显示,智能电视SDK侵犯个人信息权益的现象,比智能手机更为严重。特别是在数据安全和个人信息安全方面,互联网电视上APP和第三方SDK强制授权、过度索权、超范围收集个人信息的现象大量存在;流量欺诈方面,OTT领域虚假作弊流量比例较高,榨取广告市场预算,威胁家庭用户的安全;内容方面,内容盗版侵权,二创、搬运等软盗版行为突出,影响视频付费市场发展;投屏安全方面,投屏更加便捷但也存在泄漏用户隐私的风险。 这些问题出现的成因是什么?应该如何治理?如何保障广大智能电视用户的个人信息安全不受侵害?对此,《中国消费者报》记者进行了深入调查。 智能电视预装SDK未披露不合规 “我认为这个内置SDK的行为是APP和电视厂商的违规操作。”TalkingData法务总监兼数据合规官葛梦莹对《中国消费者报》记者说。 葛梦莹认为,对智能电视APP内置SDK这件事,要详细分析看待。她说:“首先,互联网电视本身是无法直接内置SDK的。SDK作为一个软件开发工具包,是以APP为载体的,因此测评发现,电视系统所内置的SDK,确切地说,是电视厂商自己的APP或者合作方的APP内置了SDK,而且这个内置行为需要电视厂商在技术上予以配合才能完成。与手机不太一样的是,很多电视厂商的APP可能是无展示页面的,因此不会展示给个人用户,这就造成了个人用户无感知的情况。从合规的角度看,这里面就存在内置APP未将所加载的SDK披露给个人用户的问题。根据《个人信息保护法》以及工业和信息化部发布的《关于开展信息通信服务感知提升行动的通知》的要求,APP应该在其隐私政策中披露所加载SDK的清单,包括SDK收集个人信息的基本情况,包含信息种类、使用目的、使用场景等信息。” APP相关规范应适用于智能电视 广大手机用户都能感受到随着预装软件方面各项法律、法规、标准逐步完善,以及经过一段时间的治理,手机APP侵犯用户权益的现象目前已得到了明显遏制。但相关法律是否适用于智能电视呢? 关于预装的规定,工信部早在2013年就发布了《关于加强移动智能终端进网管理的通知》,2016年又发布了《移动智能终端应用软件预置和分发管理暂行规定》,以此来细化规制移动智能终端生产企业和提供移动智能终端应用软件分发服务的互联网信息服务提供者。此后,工信部会同国家互联网信息办公室今年再次起草了《关于进一步规范移动智能终端应用软件预置行为的通告(征求意见稿)》,欲进一步规范应用软件预置和分发管理。 葛梦莹说:“虽然这三个规定都是针对移动智能终端应用的,可能从语义表述上并不包括OTT终端,但是上述规定的主要目的既然是保护个人用户的知情权和选择权,那载体到底是移动智能终端还是智能电视,其实不重要,重要的是要保护个人用户的权益。” 葛梦莹认为,上述法规关于预装的告知义务的规定,是与《个人信息保护法》相一致的,其中特别指出处理个人信息前需要以显著方式、清晰易懂的语言真实、准确、完整地向个人履行告知义务。因此,智能电视厂商应该向个人个人用户公示所预置的应用软件列表,公示方式通常是在电视厂商的官网上。 在具体明示方式上,葛梦莹指出:“在一些涉及预置软件的案例里,也能看到法院的明确态度。对于用户知情权和选择权的保障,应当体现在用户购买设备时,厂商应通过官网公示的告知形式对预置的应用软件。针对知情权,应通过用户提示、企业网站等方式,明示所提供移动智能终端应用软件的信息。在终端产品说明书中,应提供预置应用软件列表信息,并在终端产品说明书或外包装中标示预置应用软件详细信息的查询方法。针对选择权,除基本功能软件外的预置应用软件应均允许卸载,实现同一基本功能的预置应用软件只能有一个是不可卸载的,且卸载方式至少与安装方式同等便捷。此外,卸载后的应用软件在操作系统升级时也不应被强行恢复。” 关联度虽低但仍会侵犯个人信息 “互联网电视不仅能提供更为丰富的电视内容,也搭载了日趋多样的终端应用,并为互联网广告行业提供了新的竞争平台。”汉坤律师事务所的数据合规资深律师段志超对《中国消费者报》记者说,“在此过程中,互联网电视产业的各方主体,包括互联网电视牌照方、硬件提供方、操作系统提供方、第三方应用和SDK插件提供方等,都需要依赖大量的个人信息,在个人信息的共享、流通、挖掘中寻找新的商业价值。” 在段志超看来,互联网电视和智能手机在个人信息收集、应用的本质方面并没有什么区别。他认为,尽管互联网电视相比于智能手机可能与单个个人的关联程度相对较弱,但互联网电视及其搭载的各类终端的观看记录、行为数据以及与互联网电视有关的购买记录、安装记录、维修记录等信息,同样能够反映出个人的部分特征,例如收入情况、兴趣偏好等。操作系统提供方、第三方应用和SDK插件提供方均有可能基于这些信息对互联网电视的使用者进行分析、定位并开展一定的精准营销和推广活动。除此之外,考虑到互联网电视一般放置于较为私密的家庭、办公场所,而互联网电视为实现视频、语音、投屏等功能而搭载的摄像头、麦克风等功能模块以及多设备之间的连通互动,如未采取适当的安全保护措施,会引发个人信息泄露等问题。 智能电视信息保护须多主体协同 段志超认为,互联网电视的个人信息保护问题需要多方协同配合,软件和硬件的提供方需要从设计层面入手,提升硬件和系统的安全性,对第三方应用和SDK形成一个良好的控制。通过设计环节的一些设置,实现记录并定期审核这些第三方应用和SDK的个人信息处理活动。而第三方应用和SDK插件则应当接受相应的管理,不断提升自身个人信息保护水平。除此之外,互联网电视牌照方也更应该发挥其审核管理的作用,对第三方应用和SDK插件的上架、集成等进行监督,连同操作系统提供方做好审核准入和持续监督等工作,提升互联网电视接入功能的个人信息保护合规水平。 目前APP个人信息保护的监管重点仍主要聚焦在手机APP应用以及SDK等方面,段志超认为,无论是《个人信息保护法》还是近期发布的《移动互联网应用程序信息服务管理规定》,均对互联网电视行业的个人信息保护水平提出了更高的要求,监管部门能够较为容易地将手机APP和SDK监管执法中总结的经验或者形成的行业共识,并适用于互联网电视等其他移动智能终端的监管治理之中,这些既有案例也可能会为互联网电视行业各方提供较为明确的方向指引。 另据了解,除了法规层面外,在行业自律方面,中国电子视像行业协会牵头发布了《智能电视开机广告服务规范》,中国网络视听节目服务协会和互联网电视工作委员也推出了《互联网电视应用商店(应用)管理规范》等行业规范。 |