近日,有网友在自家的创维电视里发现,勾正数据服务SDK(下称“勾正SDK”)频繁监控家里的联网设备,探测周围的WiFi名称,并回传至后台。该网友质疑:“确定这不是间谍服务?”
随后,涉事主体纷纷发布声明,称第一时间已禁用勾正SDK。创维电视强调,勾正SDK超出授权范围的行为,均未得到许可及授权。同时,勾正SDK解释了收集信息的目的,并为隐私政策不清晰而道歉。
虽然创维电视在发现问题后第一时间禁用了有问题的SDK,那它还需要承担责任吗?勾正SDK又需要承担什么责任呢?
文|尤一炜 李梦涵
智能电视里的SDK监控所有联网设备
近日,有用户在网上发帖称,发现自家电视反应有点慢,查看后台服务后,发现“勾正数据服务”SDK每隔10分钟扫描一次全家联网设备,把 hostname(主机名)、mac地址、ip地址,甚至网络延迟时间全部回传后台,还探测、上传周围的WiFi名称。
也就是说,家里有什么智能设备、手机在不在家、谁来家里联网了、周围邻居WiFi的名称,勾正SDK随时采集上传,“确定这不是间谍服务吗?”该用户质疑道。
此帖引起网友关注。有的直言太可怕,电视变成了“监控设备”!
随着舆论的发酵,4月27日,涉事主体之一创维电视发布声明称,已第一时间禁用勾正SDK,并强调与勾正SDK的合作内容仅限于以抽样调查国内收视情况为目的的必要的数据采集。其他任何超出此范围的行为,均未得到本公司的许可及授权。
创维电视还表示,已发函与勾正公司解除合作关系,并责令其删除非法获取的创维用户相关数据。
创维电视的声明。图自官网
同日,勾正SDK也发布声明,解释采集用户数据是用于收视研究相关业务:家庭和个人收视率、收视效果分析、广告收视分析和优化,并为隐私政策提示不够清晰,引起部分用户隐私安全的担忧而致歉。
勾正数据的声明。图自官网
据了解,勾正数据是一个智能终端大数据分析平台,通过数据采集技术、智能电视终端数据及大数据分析能力,对中国智能电视用户行为大数据领域进行研究,为企业用户提供智能终端用户行为数据与分析报告。
“(电视用户)什么时候在电视机的前面,看了电视机里的哪些广告,整个家庭到底有多少智能设备,比如说有一台智能冰箱,两个智能空调,一个智能洗衣机,这些数据我们都能采集到,而且把它以家庭为单位整合到一起,实现数据的大融合。”勾正数据广告和媒体事业部副总经理陈正轩2019年在某科技论坛上如是表示。
据官网显示,勾正数据成立于2014年,目前有效覆盖1.49亿家庭,有效覆盖人口4.57亿,累计覆盖智能电视终端超过1.4亿台,覆盖有TCL、创维、酷开、康佳、长虹、风行等国内知名电视机企业。
对于超出授权范围收集的数据,北京市京师律师事务所网络安全法律事务中心主任、律师王琮玮强调,勾正应当按照创维电视以及个人信息主体的要求进行不可恢复的删除处理,以最大限度保证信息主体的权利。
勾正应承担侵犯公民个人信息权益的民事、行政或刑事责任
网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
《信息安全技术 个人信息安全规范》明确规定,个人信息控制者委托第三方处理个人信息时,应对委托行为进行个人信息安全影响评估,确保受委托者达到一定的数据安全能力要求;受托方应严格按照个人信息控制者的要求处理个人信息。
王琮玮表示,从现实情况看,勾正SDK的服务内容显然已超出了创维电视的授权,超范围收集了个人信息,违反了合法性和正当性原则。另外其收集的信息也不符合创维电视授权其收集信息的目的,也违反了个人信息保护的必要性原则。
此外,她认为勾正SDK以为了优化的目的而收集个人信息的理由并不成立。南都个人信息保护课题组注意到,在近日工信部刚刚发布的《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿)中明确,从事App个人信息处理活动的,不得以改善服务质量、提升使用体验等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。
《信息安全技术 个人信息安全规范》也规定,个人信息控制者不得仅以改善服务质量、提升使用体验等为由,强制要求个人信息主体同意收集个人信息。
“勾正明显违反网络安全法等法规中的相关规定,应根据情况和后果承担侵犯公民个人信息权益的民事、行政或刑事责任。同时其行为也违反了与创维之间的授权约定,构成违约应承担相应的法律后果。”
王琮玮还强调,即便创维电视授权的第三方也就是勾正SDK在收集个人信息时取得用户的明确授权,也不等于创维电视完全合法合规。
她分析说,网络安全法要求网络服务提供者在提供服务过程中应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
如果创维没有及时发现勾正非法搜集个人信息的行为,发现以后没有按照程序告知用户并向有关部门报告,则其行为依然违反法律规定的要求。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。