美国FCC因数据安全漏洞拟对视频门铃制造商处以70多万美元罚款

文摘   2024-11-24 21:48   北京  

2024年11月21日,美国联邦通信委员会(FCC)提议对总部位于中国香港的智能家居设备制造商Eken处以734,872美元的罚款,原因是该公司涉嫌违反FCC规定,未指定位于美国的代理人。此外,FCC执法局正在继续调查与Eken及其他中国设备制造商相关的隐私和数据安全问题。FCC主席杰西卡·罗森沃瑟尔(Jessica Rosenworcel)还宣布,将对使用与Eken相同美国指定代理信息的数百项认证进行审核。

在2024年3月,美国产品评估机构《消费者报告》(Consumer Reports)发布了一篇新闻报道,指控在网购平台亚马逊上发售的中国制Eken可摄像门铃,存在严重安全漏洞,会暴露用户数据。Eken的智能可摄像门铃,在亚马逊上出售。门铃的人工智能技术,可以摄下造访者、将门铃传到用户手机、并让用户与造访者通话。《消费者报告》的测试显示,只需下载Aiwit应用程序,并站在门铃附近,进行手机配对模式,就能与门铃连接。那样,几乎任何人都可以查看门铃摄像机捕捉到的图像。《消费者报告》还发现,无需键入密码,只需使用门铃的序列号,就能远程访问这些门铃的照片和视频流。《消费者报告》认为这种安全漏洞可被企图不轨者利用,门铃会暴露主人家的IP地址、Wi-Fi网络名称,而且收集的数据亦没有加密。企图不轨者,将可控制装置,查看图像或锁住装置,令户主无法访问。如欲盗窃或骚扰住户,更可以利用门铃监视出入物业的人。虽然在亚马逊出品的Ring和谷歌的Nest才是目前市场上最受欢迎的产品。但《消费者报告》称,仅在今年1 月份,亚马逊就售出了约4200个Eken和Tuck品牌的此类设备。《消费者报告》技术政策总监布鲁克曼(Justin Brookman)认为,"他们是在依赖自己的声誉,把有问题的产品,留给不知情的消费者。"当《消费者报道》联系中国电子商务平台Temu时,该公司表示,已立即从其网站上撤下门铃。Temu发言人说,"我们要求所有在我们平台上销售的公司,完全遵守其销市场的法律法规,包括提供必要的产品证明文件。"沃尔玛则表示,已迅速撤下该门铃,并说明它们来自第三方卖家。该公司还表示,将为购买了产品的顾客提供退款。

在这篇新闻报道指控Eken的视频门铃存在重大隐私和安全漏洞后,FCC执法局开始对该公司进行调查。此次调查也是响应美国参议员马可·鲁比奥(Marco Rubio)和FCC委员杰弗里·斯塔克斯(Geoffrey Starks)的呼吁而采取的行动(信件)。

FCC执法局调查人员向该公司的美国指定代理人发送了一份正式的询问函——根据FCC规定,该代理人是FCC在需要送达文件或以其他方式联系持有FCC设备认证的公司时的国内联系点。在此案中,调查人员发现,该公司最近于2024年3月4日提交的位于科罗拉多州科罗拉多斯普林斯的代理人地址,实际上是一个自2019年以来就已停用的邮箱。FCC还通过电子邮件和邮件联系了签署Eken文件的人员。截至目前,FCC尚未收到对该询问函的回复。在三份FCC申请中提供虚假指定代理人地址的行为,构成了对FCC规定的三次明显违反,导致提出了三项法律规定的最高罚款金额。加上因未回复询问函而提议的罚款,最终合计提议罚款金额为734,872美元。

FCC对Eken设备的调查仍在进行中。新闻报道称,其视频门铃暴露了用户的家庭IP地址和Wi-Fi网络名称,并允许外部人员通过一系列非常简单的步骤访问家庭摄像头的照片和视频。这种对极其私密和个人数据的远程访问引发了严重的隐私担忧,包括跟踪、家庭暴力幸存者安全等问题。

近年来,FCC已加强了对不安全设备和设备授权机构的规则。FCC已:

  • 实施了“拆除和替换”计划,以移除、替换和处置由华为技术有限公司或中兴通讯股份有限公司生产或提供的通信设备和服务

  • 禁止了FCC“覆盖清单”上的中国电信和视频监控设备的设备授权,这些设备被FCC认为对美国国家安全构成威胁。

  • 提议了规则,以确保设备测试实验室和授权机构不受不可信行为者的影响。

  • 根据国家安全机构的建议,撤销了四家中国国有运营商的第214条运营授权,并提议建立一个定期重新评估现有授权的流程。

  • 恢复了宽带网络中立性监管,这将允许FCC拒绝受敌对外国政府控制的公司接入宽带网络。

  • 投票决定为无线消费者物联网(“IoT”)产品创建一个自愿的网络安全标签计划——“美国网络信任标志”(U.S. Cyber Trust Mark)。

FCC的“隐私和数据保护特别工作组”由主席设立,负责处理《通信法》授权范围内的隐私和数据保护问题。FCC还与所有大型无线运营商达成了“消费者隐私升级”协议,包括2024年9月与T-Mobile和AT&T的和解,以及2024年7月代表TracFone与Verizon的和解,这些协议涵盖了有益的数据保护、网络安全和消费者隐私条款。

该提议行动,正式称为“明显责任通知及没收提议”(Notice of Apparent Liability for Forfeiture,NAL),仅包含指控,用于告知当事方其如何明显违反了法律,并可能提出罚款建议。委员会在此案中不得施加高于NAL中提议金额的罚款。NAL中的指控和提议制裁均非委员会的最终行动。当事方将有机会进行回应,委员会将在考虑当事方提交的证据和法律论点后,再采取进一步行动以解决此问题。

委员会于2024年11月21日采取行动,发布“明显责任通知及没收提议”(FCC 24-122)。主席罗森沃瑟尔、委员卡尔、斯塔克斯和戈麦斯表示赞成。委员西明顿表示反对。主席罗森沃瑟尔和委员斯塔克斯分别发表了声明。

清华大学智能法治研究院
发布清华大学法学院、清华大学智能法治研究院在“计算法学”(Computational Law)前沿领域的活动信息与研究成果。
 最新文章