中國資訊通訊研究院（以下稱中國信通院）近日聯合電信終端產業協會發布的《OTT終端資料安全和個人資訊保護研究報告（2022年）》（以下簡稱《報告》）顯示，在對多款網際網路電視評測後發現，80%電視系統的內建SDK（第三方軟體開發工具包）、預裝APP擅自向第三方共享使用者敏感資料。智慧電視SDK侵犯個人資訊權益的現象，比智慧手機更為嚴重。

OTT發展迅猛但隱患多多

近年來，OTT（網際網路公司以網際網路為媒介、以網際網路電視為終端向用戶提供各類服務）行業快速發展。

《報告》顯示，網際網路電視銷量穩步增長，傳統和網生電視內容並駕齊驅，媒體價值持續快速增長。截至2021年底，網際網路電視使用者數10。83億戶，OTT廣告營收達到150億元，同比增長45%。發展趨勢上，軟硬體同步發力；營銷趨勢方面，程式化、大小屏打通、精準化投放成為主流；內容方面，長影片平臺內容和電視直播內容佔據主流，點播、短影片等業務服務在快速發展。

OTT終端產業迅猛發展的同時也帶來了諸多安全問題，包括網際網路電視系統版本落後、大量漏洞修補不及時、控制模組容易越權操控、語音控制內容容易被篡改、預置應用過度索取許可權、使用者資料非法採集共享、資料安全問題等。這些安全問題可能被不法分子以遠端控制電視、遠端安裝惡意軟體、遠端監控家庭等方式利用，最終造成使用者隱私洩露、財產損失。為釐清網際網路電視行業目前在資料安全和個人資訊保護方面面臨的安全問題，中國信通院泰爾終端實驗室、電信終端產業協會移動安全工作委員會聯合安全團隊和網際網路電視廠商，對多款主流品牌型號的網際網路電視產品開展安全評測，評測內容包括：硬體安全、作業系統和系統元件安全、預置應用安全、第三方軟體安裝安全、個人隱私和資料安全6個方面。

SDK強制授權大量存在

傳統電視是單向資訊流動的，你坐在沙發上看電視為你播放的資訊。而網際網路電視是一種智慧終端，具有強互動特徵。也就是說，你在看電視的時候，電視裡的SDK也在“看”你。

《報告》顯示，在資料安全和個人資訊保安方面，網際網路電視APP和第三方SDK強制授權、過度索權、超範圍收集個人資訊的現象大量存在；流量欺詐方面，OTT領域虛假作弊流量比例較高，榨取廣告市場預算，威脅家庭使用者的安全；內容方面，內容盜版侵權，二創、搬運等軟盜版行為突出，影響影片付費市場發展；投屏安全方面，投屏更加便捷，但也存在洩漏使用者隱私的風險。

《報告》顯示，75%的被測電視作業系統存在已知安全漏洞，60%的預裝APP存在違規採集MAC地址等使用者資訊的問題；80%的電視系統內建SDK、預裝應用存在未獲得使用者同意向第三方共享使用者敏感資料的問題。

從問題分佈來看，系統元件存在的問題最多，達到27%。其次為預置APP的安全問題，佔23%。來自作業系統和涉及個人資訊保護的安全問題各佔18%，資料安全問題佔14%。

資料共享安全問題突出

《報告》顯示，在使用者資料安全問題中，資料共享安全問題比較突出。幾乎所有的網際網路電視APP都會和整合的第三方SDK共享資料，但這一行為在隱私政策中沒有任何體現。使用者的敏感資訊沒有脫敏處理便進行傳輸。如被測網際網路電視的預置APP會明文展示賬號資訊頁面的手機號，還有的會明文傳輸使用者的遙控器操作、個人收視習慣資訊等個人資訊。

許可權申請宣告和資訊採集宣告在隱私政策中的展示也是重災區。《報告》顯示，80%網際網路電視上的APP沒有公開收集使用個人資訊的其他規則。默認同意隱私政策、違規/超範圍收集使用個人資訊、第三方許可權申請和資訊採集宣告缺失等問題大量存在。

測試發現，80%網際網路電視上的APP存在安裝軟體包未加固的問題，攻擊者可以用較低成本插入惡意程式碼，造成使用者資訊洩露和財產損失；57%的網際網路電視上預置APP程式碼中的配置檔案被設定為開啟，容易引發應用漏洞，被駭客利用。

《報告》顯示，被測試的網際網路電視上的APP均涉及私自收集個人資訊的問題，同時還包括私自共享給第三方、超範圍收集個人資訊、不給許可權不讓用、過度索取許可權等。

實現全覆蓋監管迫在眉睫

OTT行業在不斷創造價值的同時，其資料安全、隱私保護等問題需要產業生態共同努力。依據評測結果，《報告》提出以下五點建議：

一是加大對OTT終端及其APP、SDK的管理，對OTT終端企業、電視應用商店、重點電視APP、SDK實現監管全覆蓋，打造更為安全的資訊消費通訊環境。

二是針對目前網際網路電視各家服務商對於使用者隱私保護協議尚不規範的現狀，特別是在資料管理、廣告活動所需採集的個人資訊種類和如何使用、儲存和保護使用者資料方面，迫切需要制定規則。此外，鑑於《個人資訊保護法》已將不可變更的裝置標識定義為個人資訊，測試表明，目前網際網路電視終端裡的APP和SDK均存在違規直接採集MAC地址等問題，因此亟須制定符合資料安全與個人資訊保護法律法規要求，又能滿足不同業務需求的標準規範。

三是鼓勵企業建立整體資料隱私安全策略並告知使用者，內部形成制度規則和流程，利用區塊鏈、隱私計算技術建設安全體系，透過匿名化等手段將資訊資料和具體個人脫鉤，以達到資訊資料流通的目的。

四是對網際網路電視的作業系統、APP、SDK等開展檢測認證，儘快推進三方企業進行流量反欺詐認證。

五是加強使用者教育，提高個人資訊保護意識，鼓勵使用者在選擇網際網路電視產品時，儘量選擇經過安全認證的產品和應用軟體，仔細閱讀隱私政策相關內容，謹慎操作相關敏感許可權。

（ 中國消費者報）