企業(yè)生產(chǎn)聯(lián)網(wǎng)玩具需注意信息安全

本刊編譯 張芷盈

企業(yè)生產(chǎn)聯(lián)網(wǎng)玩具需注意信息安全

Be Cautious of Privacy Protection

本刊編譯 張芷盈

近日蠕蟲病毒的大規(guī)模爆發(fā)，引起了人們對(duì)電腦聯(lián)網(wǎng)信息安全的關(guān)注。這不由讓人聯(lián)想到早前偉易達(dá)的聯(lián)網(wǎng)玩具數(shù)據(jù)庫被黑客入侵，導(dǎo)致大量數(shù)據(jù)外泄的報(bào)道。那么，在玩具業(yè)界，企業(yè)在生產(chǎn)聯(lián)網(wǎng)玩具時(shí)要注意什么？如何保證消費(fèi)者的信息安全？德國貿(mào)易組織BIU總經(jīng)理Maximilian Schenk博士撰文給玩具企業(yè)支招。

My Friend Cayla和Hello Barbie皆身陷兒童隱私安全問題中

藍(lán)牙云數(shù)據(jù)易受黑客入侵

隨著科技對(duì)玩具行業(yè)的滲透，近年來聯(lián)網(wǎng)玩具相當(dāng)普及，涵蓋娃娃、可動(dòng)人偶、對(duì)戰(zhàn)游戲產(chǎn)品等等類別。很多玩具在聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)搜索傳輸?shù)臅r(shí)候，需要用戶注冊(cè)并填寫相關(guān)私人信息，這就涉及到隱私保護(hù)的問題。

英國數(shù)據(jù)安全機(jī)構(gòu)Context的首席研究員Paul Stone指出，雖然藍(lán)牙的連接范圍只有10~30米，家長使用藍(lán)牙玩具時(shí)，需要近距離連接（通常只能在屋內(nèi)），但是黑客卻能在屋外進(jìn)行數(shù)據(jù)竊取。而目前玩具廠家卻暫時(shí)無法解決這個(gè)安全漏洞。

通過云數(shù)據(jù)共享而實(shí)現(xiàn)互動(dòng)功能的智能玩具更高科技，但安全性也更令人擔(dān)心。最具代表性的是Hello Barbie娃娃、我的朋友凱拉智能娃娃。這兩款娃娃都被指不當(dāng)收集和使用兒童信息，淪為竊聽的“間諜”工具而備受詬病。

互聯(lián)網(wǎng)時(shí)代，個(gè)人隱私保護(hù)值得關(guān)注

歐洲立法加強(qiáng)個(gè)人信息保護(hù)

目前，《歐洲數(shù)據(jù)保護(hù)指令》還有德國數(shù)據(jù)保護(hù)的相關(guān)監(jiān)管部門對(duì)未成年人的數(shù)據(jù)隱私保護(hù)措施都有一定的漏洞，尚未明確規(guī)定未成年人從幾歲開始可以授權(quán)對(duì)方使用自己的數(shù)據(jù)信息。目前，德國聯(lián)邦個(gè)人信息保護(hù)法只是用一個(gè)相對(duì)模糊的概念來代替年齡限制：如果未成年人具有必要的行為能力，那么他/她就具有獨(dú)立授權(quán)的能力。但這在實(shí)際操作中卻有著相當(dāng)大的執(zhí)行困難。因此，在很多案例中，都將14歲作為一個(gè)能否具有獨(dú)立授權(quán)能力的分水嶺。

針對(duì)這個(gè)問題，2016年4月通過的《歐盟一般數(shù)據(jù)保護(hù)條例》（GDPR：General Data Protection Regulation）就將年齡界限明確定為16歲。玩具商要收集和使用16歲以下兒童的個(gè)人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。各成員國可在各國范圍內(nèi)對(duì)上述年齡進(jìn)行調(diào)整，但是不得低于13歲。這個(gè)新條例的通過意味著歐盟對(duì)個(gè)人信息保護(hù)及其監(jiān)管達(dá)到了前所未有的高度，堪稱史上最嚴(yán)格的數(shù)據(jù)保護(hù)條例。

【編者注】2016年4月14日，歐洲議會(huì)投票通過了商討四年的《歐盟一般數(shù)據(jù)保護(hù)條例》，該條例將在歐盟官方公布正式文本的兩年后（2018年）生效。

保護(hù)用戶信息安全幾點(diǎn)原則

既然不能因噎廢食，就要想辦法做好信息安全，讓家長放心。德國貿(mào)易組織BIU總經(jīng)理Maximilian Schenk博士撰文提醒研發(fā)生產(chǎn)聯(lián)網(wǎng)玩具的企業(yè)，要注意以下幾點(diǎn)處理用戶信息的原則。

許可原則。根據(jù)這條原則，玩具商不可以收集、使用或者保存用戶的個(gè)人信息，除非某些立法機(jī)構(gòu)允許的特殊情況，或者未成年人達(dá)到法律要求的年齡，有權(quán)自主給商家授權(quán)同意。

范圍原則。玩具商可以就某種原因，如參加某項(xiàng)活動(dòng)需要填寫的報(bào)名表，收集用戶信息，但是并不能要求用戶提供超出此目的范圍的個(gè)人隱私信息，如興趣、愛好、家庭情況等等。

目的原則。玩具商可以就某種目的，收集用戶個(gè)人信息，但這些信息僅限用于初始的收集目的，不能用于其他用途。

4.透明可追蹤原則。這也是這幾條原則中值得詳細(xì)解釋的原則。即信息所涉及的用戶有權(quán)追蹤商家將其信息用于什么目的、曾經(jīng)因此目的將信息透露給什么機(jī)構(gòu)等等。要做好這一條，隱私信息聲明必須簡明易懂（13歲左右的兒童能充分理解的語言）向用戶明確。考慮到即將實(shí)施的《一般數(shù)據(jù)保護(hù)條例》，玩具商可以先行一步，嚴(yán)格遵守透明可追蹤原則，以此向家長傳遞“公司對(duì)上傳的個(gè)人用戶信息就像您本人一樣重視，并會(huì)對(duì)信息安全負(fù)責(zé)到底”的信號(hào)，獲取家長的信任。只有這樣，相關(guān)玩具產(chǎn)品才能在這個(gè)數(shù)字互聯(lián)網(wǎng)時(shí)代更好地發(fā)展下去。

鏈 接

《歐盟一般數(shù)據(jù)保護(hù)條例》關(guān)鍵點(diǎn)

此條例將于2018年5月24日生效。

★ 適用范圍：在歐盟地區(qū)或歐盟成員國法律適用地區(qū)擁有客戶的任意公司，無論其公司本身是否位于歐洲。（有聯(lián)網(wǎng)玩具產(chǎn)品銷往歐盟地區(qū)的中國玩具公司要引起注意了?。?/p>

★ 特殊數(shù)據(jù)：除法律允許的范圍內(nèi)且已采取恰當(dāng)保護(hù)措施的情況下，禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教信仰、工會(huì)背景、個(gè)人基因識(shí)別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康狀況等敏感信息。

★ 可攜帶權(quán)：用戶有權(quán)向數(shù)據(jù)控制方索要數(shù)據(jù)，也可將個(gè)人數(shù)據(jù)轉(zhuǎn)移給另一個(gè)數(shù)據(jù)控制者。

★ 被遺忘權(quán)：一旦用戶不希望自己的數(shù)據(jù)由某公司進(jìn)行處理，并且“只要沒有保留該數(shù)據(jù)的合法理由”，該數(shù)據(jù)就必須刪除。

★ 泄漏通知：一旦發(fā)生嚴(yán)重?cái)?shù)據(jù)泄露，要求公司及機(jī)構(gòu)72小時(shí)內(nèi)通知相關(guān)國家監(jiān)管機(jī)構(gòu)。當(dāng)可能給用戶帶來巨大風(fēng)險(xiǎn)時(shí)，必須毫不延誤通知用戶，以便及時(shí)采取措施。

★ 巨額罰款：違反數(shù)據(jù)保護(hù)條例處罰最高可達(dá)公司全球營業(yè)額的4%。