中國(guó)信息通信研究院(以下稱中國(guó)信通院)近日聯(lián)合電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布的《OTT終端數(shù)據(jù)安全和個(gè)人信息保護(hù)研究報(bào)告(2022年)》(以下簡(jiǎn)稱《報(bào)告》)顯示，在對(duì)多款互聯(lián)網(wǎng)電視評(píng)測(cè)后發(fā)現(xiàn)，80%電視系統(tǒng)的內(nèi)置SDK(第三方軟件開(kāi)發(fā)工具包)、預(yù)裝APP擅自向第三方共享用戶敏感數(shù)據(jù)。智能電視SDK侵犯?jìng)€(gè)人信息權(quán)益的現(xiàn)象，比智能手機(jī)更為嚴(yán)重。

OTT發(fā)展迅猛但隱患多多

近年來(lái)，OTT(互聯(lián)網(wǎng)公司以互聯(lián)網(wǎng)為媒介、以互聯(lián)網(wǎng)電視為終端向用戶提供各類服務(wù))行業(yè)快速發(fā)展。

《報(bào)告》顯示，互聯(lián)網(wǎng)電視銷量穩(wěn)步增長(zhǎng)，傳統(tǒng)和網(wǎng)生電視內(nèi)容并駕齊驅(qū)，媒體價(jià)值持續(xù)快速增長(zhǎng)。截至2021年底，互聯(lián)網(wǎng)電視用戶數(shù)10.83億戶，OTT廣告營(yíng)收達(dá)到150億元，同比增長(zhǎng)45%。發(fā)展趨勢(shì)上，軟硬件同步發(fā)力;營(yíng)銷趨勢(shì)方面，程序化、大小屏打通、精準(zhǔn)化投放成為主流;內(nèi)容方面，長(zhǎng)視頻平臺(tái)內(nèi)容和電視直播內(nèi)容占據(jù)主流，點(diǎn)播、短視頻等業(yè)務(wù)服務(wù)在快速發(fā)展。

OTT終端產(chǎn)業(yè)迅猛發(fā)展的同時(shí)也帶來(lái)了諸多安全問(wèn)題，包括互聯(lián)網(wǎng)電視系統(tǒng)版本落后、大量漏洞修補(bǔ)不及時(shí)、控制模塊容易越權(quán)操控、語(yǔ)音控制內(nèi)容容易被篡改、預(yù)置應(yīng)用過(guò)度索取權(quán)限、用戶數(shù)據(jù)非法采集共享、數(shù)據(jù)安全問(wèn)題等。這些安全問(wèn)題可能被不法分子以遠(yuǎn)程控制電視、遠(yuǎn)程安裝惡意軟件、遠(yuǎn)程監(jiān)控家庭等方式利用，最終造成用戶隱私泄露、財(cái)產(chǎn)損失。為厘清互聯(lián)網(wǎng)電視行業(yè)目前在數(shù)據(jù)安全和個(gè)人信息保護(hù)方面面臨的安全問(wèn)題，中國(guó)信通院泰爾終端實(shí)驗(yàn)室、電信終端產(chǎn)業(yè)協(xié)會(huì)移動(dòng)安全工作委員會(huì)聯(lián)合安全團(tuán)隊(duì)和互聯(lián)網(wǎng)電視廠商，對(duì)多款主流品牌型號(hào)的互聯(lián)網(wǎng)電視產(chǎn)品開(kāi)展安全評(píng)測(cè)，評(píng)測(cè)內(nèi)容包括：硬件安全、操作系統(tǒng)和系統(tǒng)組件安全、預(yù)置應(yīng)用安全、第三方軟件安裝安全、個(gè)人隱私和數(shù)據(jù)安全6個(gè)方面。

SDK強(qiáng)制授權(quán)大量存在

傳統(tǒng)電視是單向信息流動(dòng)的，你坐在沙發(fā)上看電視為你播放的信息。而互聯(lián)網(wǎng)電視是一種智能終端，具有強(qiáng)交互特征。也就是說(shuō)，你在看電視的時(shí)候，電視里的SDK也在“看”你。

《報(bào)告》顯示，在數(shù)據(jù)安全和個(gè)人信息安全方面，互聯(lián)網(wǎng)電視APP和第三方SDK強(qiáng)制授權(quán)、過(guò)度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在;流量欺詐方面，OTT領(lǐng)域虛假作弊流量比例較高，榨取廣告市場(chǎng)預(yù)算，威脅家庭用戶的安全;內(nèi)容方面，內(nèi)容盜版侵權(quán)，二創(chuàng)、搬運(yùn)等軟盜版行為突出，影響視頻付費(fèi)市場(chǎng)發(fā)展;投屏安全方面，投屏更加便捷，但也存在泄漏用戶隱私的風(fēng)險(xiǎn)。

《報(bào)告》顯示，75%的被測(cè)電視操作系統(tǒng)存在已知安全漏洞，60%的預(yù)裝APP存在違規(guī)采集MAC地址等用戶信息的問(wèn)題;80%的電視系統(tǒng)內(nèi)置SDK、預(yù)裝應(yīng)用存在未獲得用戶同意向第三方共享用戶敏感數(shù)據(jù)的問(wèn)題。

從問(wèn)題分布來(lái)看，系統(tǒng)組件存在的問(wèn)題最多，達(dá)到27%。其次為預(yù)置APP的安全問(wèn)題，占23%。來(lái)自操作系統(tǒng)和涉及個(gè)人信息保護(hù)的安全問(wèn)題各占18%，數(shù)據(jù)安全問(wèn)題占14%。

數(shù)據(jù)共享安全問(wèn)題突出

《報(bào)告》顯示，在用戶數(shù)據(jù)安全問(wèn)題中，數(shù)據(jù)共享安全問(wèn)題比較突出。幾乎所有的互聯(lián)網(wǎng)電視APP都會(huì)和集成的第三方SDK共享數(shù)據(jù)，但這一行為在隱私政策中沒(méi)有任何體現(xiàn)。用戶的敏感信息沒(méi)有脫敏處理便進(jìn)行傳輸。如被測(cè)互聯(lián)網(wǎng)電視的預(yù)置APP會(huì)明文展示賬號(hào)信息頁(yè)面的手機(jī)號(hào)，還有的會(huì)明文傳輸用戶的遙控器操作、個(gè)人收視習(xí)慣信息等個(gè)人信息。

權(quán)限申請(qǐng)聲明和信息采集聲明在隱私政策中的展示也是重災(zāi)區(qū)。《報(bào)告》顯示，80%互聯(lián)網(wǎng)電視上的APP沒(méi)有公開(kāi)收集使用個(gè)人信息的其他規(guī)則。默認(rèn)同意隱私政策、違規(guī)/超范圍收集使用個(gè)人信息、第三方權(quán)限申請(qǐng)和信息采集聲明缺失等問(wèn)題大量存在。

測(cè)試發(fā)現(xiàn)，80%互聯(lián)網(wǎng)電視上的APP存在安裝軟件包未加固的問(wèn)題，攻擊者可以用較低成本插入惡意代碼，造成用戶信息泄露和財(cái)產(chǎn)損失;57%的互聯(lián)網(wǎng)電視上預(yù)置APP代碼中的配置文件被設(shè)置為開(kāi)啟，容易引發(fā)應(yīng)用漏洞，被黑客利用。

《報(bào)告》顯示，被測(cè)試的互聯(lián)網(wǎng)電視上的APP均涉及私自收集個(gè)人信息的問(wèn)題，同時(shí)還包括私自共享給第三方、超范圍收集個(gè)人信息、不給權(quán)限不讓用、過(guò)度索取權(quán)限等。

實(shí)現(xiàn)全覆蓋監(jiān)管迫在眉睫

OTT行業(yè)在不斷創(chuàng)造價(jià)值的同時(shí)，其數(shù)據(jù)安全、隱私保護(hù)等問(wèn)題需要產(chǎn)業(yè)生態(tài)共同努力。依據(jù)評(píng)測(cè)結(jié)果，《報(bào)告》提出以下五點(diǎn)建議：

一是加大對(duì)OTT終端及其APP、SDK的管理，對(duì)OTT終端企業(yè)、電視應(yīng)用商店、重點(diǎn)電視APP、SDK實(shí)現(xiàn)監(jiān)管全覆蓋，打造更為安全的信息消費(fèi)通信環(huán)境。

二是針對(duì)目前互聯(lián)網(wǎng)電視各家服務(wù)商對(duì)于用戶隱私保護(hù)協(xié)議尚不規(guī)范的現(xiàn)狀，特別是在數(shù)據(jù)管理、廣告活動(dòng)所需采集的個(gè)人信息種類和如何使用、存儲(chǔ)和保護(hù)用戶數(shù)據(jù)方面，迫切需要制定規(guī)則。此外，鑒于《個(gè)人信息保護(hù)法》已將不可變更的設(shè)備標(biāo)識(shí)定義為個(gè)人信息，測(cè)試表明，目前互聯(lián)網(wǎng)電視終端里的APP和SDK均存在違規(guī)直接采集MAC地址等問(wèn)題，因此亟須制定符合數(shù)據(jù)安全與個(gè)人信息保護(hù)法律法規(guī)要求，又能滿足不同業(yè)務(wù)需求的標(biāo)準(zhǔn)規(guī)范。

三是鼓勵(lì)企業(yè)建立整體數(shù)據(jù)隱私安全策略并告知用戶，內(nèi)部形成制度規(guī)則和流程，利用區(qū)塊鏈、隱私計(jì)算技術(shù)建設(shè)安全體系，通過(guò)匿名化等手段將信息數(shù)據(jù)和具體個(gè)人脫鉤，以達(dá)到信息數(shù)據(jù)流通的目的。

四是對(duì)互聯(lián)網(wǎng)電視的操作系統(tǒng)、APP、SDK等開(kāi)展檢測(cè)認(rèn)證，盡快推進(jìn)三方企業(yè)進(jìn)行流量反欺詐認(rèn)證。

五是加強(qiáng)用戶教育，提高個(gè)人信息保護(hù)意識(shí)，鼓勵(lì)用戶在選擇互聯(lián)網(wǎng)電視產(chǎn)品時(shí)，盡量選擇經(jīng)過(guò)安全認(rèn)證的產(chǎn)品和應(yīng)用軟件，仔細(xì)閱讀隱私政策相關(guān)內(nèi)容，謹(jǐn)慎操作相關(guān)敏感權(quán)限。

關(guān)鍵詞： OTT發(fā)展迅猛但隱患多多 中國(guó)信息通信研究院 智能手機(jī) 侵犯?jìng)€(gè)人信息權(quán)益的現(xiàn)象