智能电视正在让你“裸奔”：创维与勾正数据解约，低价换隐私你愿意吗？

卢洁萍

2021-04-30 18:52:18

来源: 时代财经

一个关于数据的选择。

pexels-markus-spiske-1089438 (1).jpg 图片来源于Pexels

试着想象一下：因为智能电视运行有点慢，你打开后台服务一看，发现有个陌生App正每隔10分钟扫描一遍全家联网设备，它可以知道你家中有什么智能设备、谁来家里联网了、手机在不在家、周围邻居wifi名称，并随时上传这些信息。会不会觉得后背发凉？

4月23日，就有创维电视用户在论坛上讲述了这一意外发现，“我家电视机正在监视所有连网设备，确定这不是间谍服务？”

一石惊起千层浪，该帖引起不少网友讨论。4月26日，用户提到的采集数据APP开发公司勾正数据公司人员在接受媒体采访时表示，公司已经注意到网上热议，用户反应的信息有些夸大，但是勾正数据采集、数据使用等过程都是合法的。

4月27日，创维电视发布声明称，因非法获取创维用户数据，创维旗下深圳市酷开网络科技有限公司（以下简称“酷开科技”）解除和北京勾正数据科技有限公司（以下简称“勾正数据”）的合作关系，并责令其删除非法获取的创维用户相关数据。

随后勾正数据也发布声明道歉，“由于我司用户隐私政策提示不够清晰，引起部分用户隐私安全的担忧，我司向广大用户诚恳致歉。”

采集数据是为更方便推送广告

上述创维电视用户表示，电视安装的是安卓系统，当他把数据抓包研究后发现，“勾正数据服务”APP把hostname、mac、ip、周围的wifi SSID名称，甚至网络延迟时间全部打包传回到了gz-data .com这个域名。

勾正数据在4月27日解释道，“勾正数据服务”APK是北京勾正数据科技有限公司产品，勾正数据和创维旗下酷开网络科技股份有限公司签订业务合作，此APK用户可以自行禁用，而所采集用户数据的相关信息用于收视研究相关业务：家庭和个人收视率、收视效果分析、广告收视分析和优化。

创维则表示，酷开网络与勾正数据的合作内容仅限于以抽样调查国内收视情况为目的的必要的数据采集。其他任何超出此范围的行为，均未得到创维的许可及授权。

“勾正明显违反网络安全法等法规中的相关规定，应根据情况和后果承担侵犯公民个人信息权益的民事、行政或刑事责任。同时其行为也违反了与创维之间的授权约定，构成违约应承担相应的法律后果。” 太琨律创始人合伙人朱界平律师对时代财经表示。

有安全企业IoT安全研究员对时代财经表示，企业收集这些数据可以更方便地推送广告，与IoT通信安全关系不大。

天眼查显示，勾正数据成立于2014年5月，经营范围为技术推广服务、数据处理、设计、制作、代理、发布广告等，并在2014年就与创维酷开正式建立了战略合作关系。

在2019年4月，勾正数据表示，已与创维酷开完成全量终端的数据融合，从人群基础属性标签到大屏使用行为，从收视内容到消费者属性标签已实现全量对齐。

勾正数据称，结合其丰富的标签系统，可为广告主提供中国家庭营销解决方案CHMS(China Household Marketing Solution)，包括基于用户洞察的OTT投放策略，根据OTT人群标签进行精准投放，验证广告触达用户的人群画像。

另外勾正数据官网显示，截至发稿前，其数据覆盖1.49亿家庭、超过1.4亿台智能电视终端以及0.3亿台OTT BOX。此前TCL、长虹、风行、微鲸/电视猫等品牌都全面对接了勾正数据的中国家庭营销解决方案，可实现全平台智能电视广告的精准投放。

用户画像在互联网时代早非新词，它的核心工作主要是利用存储在服务器上的海量日志和数据库里的大量数据，给用户贴“标签”，从而实现企业的精准营销、用户分析、数据应用和分析。

一般而言，某用户在什么时间、地点、做了什么事，对什么内容有兴趣、偏好、需求，用户的访问设备、访问时段、访问媒体、访问页面、访问时长、访问频次、流量来源、流量去向等信息，都是企业构建用户画像所需的基本内容。

勾正数据称，酷开通过其营销方案，可实现全平台智能电视广告的定向策略投放，提升广告主触达效率，并优化智能电视端广告投资回报。

创维并不无辜

事实上，智能电视端广告是不少电视品牌的重要收入来源之一。酷开科技由深圳创维-RGB电子有限公司持股56.95%，爱奇艺、百度、腾讯入股，主要业务包括“酷开”和“Coocaa”品牌下互联网运作的智能电视系统，主要收入来自内容订阅、广告和软件应用程式操作。

创维集团财报显示，2020年，创维酷开系统中国市场累计覆盖智能终端逾6500万台，去年其互联网增值服务收入录得10.56亿元，同比大增27.8%。同时，酷开科技目前已签署上市辅导协议，计划在境内交易所挂牌上市。

IoT云平台服务商艾拉物联硬件开发部总监韩智强对时代财经表示，“这里的数据安全和纯黑客不一样，黑客是从体系外获取数据，这种情况则是体系内的人在某个环节进行数据分流，将数据导向他所拥有的服务器，这其实是管理问题，而不是一个技术问题。这是可以在管理系统上把这个问题回避掉的。”

韩智强称，硬件设备可以建立网络策略去甄别哪些是真正有效的数据。“数据一定是通过网络传出去的，在防火墙中设立规则，可以让预期外数据传不出去。这对手机来说相对难一些，但对IoT设备是很容易的，因为IoT需求比较单一，把其他数据过滤掉，还是可以做到的。”

律师朱界平则认为，即便创维电视授权的第三方，也就是勾正SDK在收集个人信息时取得用户的明确授权，也不等于创维电视完全合法合规。

网络安全法要求网络服务提供者在提供服务过程中应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

“在发生或者可能发生个人信息泄露、毁损、丢失的情况时，网络服务提供者应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。如果创维没有及时发现勾正非法搜集个人信息的行为，发现以后没有按照程序告知用户并向有关部门报告，则其行为依然违反法律规定的要求。”朱界平表示。

要隐私，还是要性价比？

目前，国内IoT用户的安全隐私保护问题颇为严峻，IoT设备厂商更多关注产品功能和挖掘新需求，对产品安全性问题考虑不多，导致物联网IoT设备正成为黑客发起攻击的新目标。

根据物联网安全厂商梆梆安全发布的《2020年IoT终端安全白皮书》，机顶盒、摄像头、路由器已成为风险漏洞最高的三大IoT设备。

韩智强称，为了追求效益和用户体验，国内有些厂商在固件的系统设计之初，对产品的安全性考虑得并不严谨。“在系统整体的最初设计时，从安全角度，可以对一些常用的黑客攻击手段做预防。此外，通过soc3认证、ISO27001安全管理体系认证等第三方认证也有一定作用，它对企业的管理流程、技术、研发流程，包括代码要怎么提交，都有一些要求。”

但目前不管是企业管理人员、开发工程师还是普通消费者，关于IoT设备的隐私安全意识都有待提高。

上述白皮书显示，在固件开发过程中，为了节约开发成本、提高开发效率，很多开发厂商会直接使用第三方库。几乎所有的软件中都含有第三方库，据Gartner统计，2018年软件使用第三方库的代码量占到了总代码量的80%，自研代码比例越来越低。

“大部分固件开发厂商在引入第三方库时，并未关注引入组件是否存在安全隐患或者缺陷，默认软件安全应该由组件提供者保障，也就是供应链上游进行检测。但实际上，通过对一些著名开源工程进行分析发现，这些工程几乎完全不去做任何安全校验。”该白皮书显示。

韩智强也透露，很多厂商包括知名企业会直接对第三方开放SSH服务（安全协议）。“很多开发人员觉得，开放了也没事，因为还有密码保障，但一旦密码被攻破，就会有一批产品被控制。”韩智强认为，企业只要稍微注意就可以避免很多安全事件。

另一方面，为了提高设备安全常常需要舍弃更低的生产成本、更好的用户体验以及更有竞争力的产品性能。“比如艾拉物联所有产品的访问都是需要加密的，所以对CPU、带宽、芯片的需求就更高，产品价格就高了。这事关一个企业的决策行为。如果消费者可以因为产品的安全性接受更高价格，那整个产业链格局或许都会改变。”

行业更进一步需要的是关于数据隐私保护的政策法规。“中国需要有像欧洲《通用数据保护条例》（General Data Protection Regulation，简称GDPR）这样的政策法规，企业如果有疏漏，会付出它承受不了的成本，大环境就会好起来。” 韩智强表示。

据悉，4月26日，工业和信息化部会同公安部、市场监管总局刚刚起草了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》。意见稿显示，从事APP个人信息处理活动的，应当具有明确、合理的目的，并遵循最小必要原则，不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。

同时意见稿还包括，对于不影响其他服务功能的独立服务功能模块，APP开发运营者应当向用户提供关闭或者退出该独立服务功能的选项，不得因用户采取关闭或者退出操作而拒绝提供其他服务。