企業(yè)生產(chǎn)聯(lián)網(wǎng)玩具需注意信息安全

本刊編譯 張芷盈

企業(yè)生產(chǎn)聯(lián)網(wǎng)玩具需注意信息安全

Be Cautious of Privacy Protection

本刊編譯 張芷盈

近日蠕蟲病毒的大規(guī)模爆發(fā)，引起了人們對電腦聯(lián)網(wǎng)信息安全的關(guān)注。這不由讓人聯(lián)想到早前偉易達的聯(lián)網(wǎng)玩具數(shù)據(jù)庫被黑客入侵，導致大量數(shù)據(jù)外泄的報道。那么，在玩具業(yè)界，企業(yè)在生產(chǎn)聯(lián)網(wǎng)玩具時要注意什么？如何保證消費者的信息安全？德國貿(mào)易組織BIU總經(jīng)理Maximilian Schenk博士撰文給玩具企業(yè)支招。

My Friend Cayla和Hello Barbie皆身陷兒童隱私安全問題中

藍牙云數(shù)據(jù)易受黑客入侵

隨著科技對玩具行業(yè)的滲透，近年來聯(lián)網(wǎng)玩具相當普及，涵蓋娃娃、可動人偶、對戰(zhàn)游戲產(chǎn)品等等類別。很多玩具在聯(lián)網(wǎng)進行數(shù)據(jù)搜索傳輸?shù)臅r候，需要用戶注冊并填寫相關(guān)私人信息，這就涉及到隱私保護的問題。

英國數(shù)據(jù)安全機構(gòu)Context的首席研究員Paul Stone指出，雖然藍牙的連接范圍只有10~30米，家長使用藍牙玩具時，需要近距離連接（通常只能在屋內(nèi)），但是黑客卻能在屋外進行數(shù)據(jù)竊取。而目前玩具廠家卻暫時無法解決這個安全漏洞。

通過云數(shù)據(jù)共享而實現(xiàn)互動功能的智能玩具更高科技，但安全性也更令人擔心。最具代表性的是Hello Barbie娃娃、我的朋友凱拉智能娃娃。這兩款娃娃都被指不當收集和使用兒童信息，淪為竊聽的“間諜”工具而備受詬病。

互聯(lián)網(wǎng)時代，個人隱私保護值得關(guān)注

歐洲立法加強個人信息保護

目前，《歐洲數(shù)據(jù)保護指令》還有德國數(shù)據(jù)保護的相關(guān)監(jiān)管部門對未成年人的數(shù)據(jù)隱私保護措施都有一定的漏洞，尚未明確規(guī)定未成年人從幾歲開始可以授權(quán)對方使用自己的數(shù)據(jù)信息。目前，德國聯(lián)邦個人信息保護法只是用一個相對模糊的概念來代替年齡限制：如果未成年人具有必要的行為能力，那么他/她就具有獨立授權(quán)的能力。但這在實際操作中卻有著相當大的執(zhí)行困難。因此，在很多案例中，都將14歲作為一個能否具有獨立授權(quán)能力的分水嶺。

針對這個問題，2016年4月通過的《歐盟一般數(shù)據(jù)保護條例》（GDPR：General Data Protection Regulation）就將年齡界限明確定為16歲。玩具商要收集和使用16歲以下兒童的個人數(shù)據(jù)，必須獲得該兒童父母或監(jiān)護人的同意或授權(quán)。各成員國可在各國范圍內(nèi)對上述年齡進行調(diào)整，但是不得低于13歲。這個新條例的通過意味著歐盟對個人信息保護及其監(jiān)管達到了前所未有的高度，堪稱史上最嚴格的數(shù)據(jù)保護條例。

【編者注】2016年4月14日，歐洲議會投票通過了商討四年的《歐盟一般數(shù)據(jù)保護條例》，該條例將在歐盟官方公布正式文本的兩年后（2018年）生效。

保護用戶信息安全幾點原則

既然不能因噎廢食，就要想辦法做好信息安全，讓家長放心。德國貿(mào)易組織BIU總經(jīng)理Maximilian Schenk博士撰文提醒研發(fā)生產(chǎn)聯(lián)網(wǎng)玩具的企業(yè)，要注意以下幾點處理用戶信息的原則。

許可原則。根據(jù)這條原則，玩具商不可以收集、使用或者保存用戶的個人信息，除非某些立法機構(gòu)允許的特殊情況，或者未成年人達到法律要求的年齡，有權(quán)自主給商家授權(quán)同意。

范圍原則。玩具商可以就某種原因，如參加某項活動需要填寫的報名表，收集用戶信息，但是并不能要求用戶提供超出此目的范圍的個人隱私信息，如興趣、愛好、家庭情況等等。

目的原則。玩具商可以就某種目的，收集用戶個人信息，但這些信息僅限用于初始的收集目的，不能用于其他用途。

4.透明可追蹤原則。這也是這幾條原則中值得詳細解釋的原則。即信息所涉及的用戶有權(quán)追蹤商家將其信息用于什么目的、曾經(jīng)因此目的將信息透露給什么機構(gòu)等等。要做好這一條，隱私信息聲明必須簡明易懂（13歲左右的兒童能充分理解的語言）向用戶明確。考慮到即將實施的《一般數(shù)據(jù)保護條例》，玩具商可以先行一步，嚴格遵守透明可追蹤原則，以此向家長傳遞“公司對上傳的個人用戶信息就像您本人一樣重視，并會對信息安全負責到底”的信號，獲取家長的信任。只有這樣，相關(guān)玩具產(chǎn)品才能在這個數(shù)字互聯(lián)網(wǎng)時代更好地發(fā)展下去。

鏈 接

《歐盟一般數(shù)據(jù)保護條例》關(guān)鍵點

此條例將于2018年5月24日生效。

★ 適用范圍：在歐盟地區(qū)或歐盟成員國法律適用地區(qū)擁有客戶的任意公司，無論其公司本身是否位于歐洲。（有聯(lián)網(wǎng)玩具產(chǎn)品銷往歐盟地區(qū)的中國玩具公司要引起注意了！）

★ 特殊數(shù)據(jù)：除法律允許的范圍內(nèi)且已采取恰當保護措施的情況下，禁止收集處理反映個人種族或民族起源、政治觀點、宗教信仰、工會背景、個人基因識別數(shù)據(jù)、生物數(shù)據(jù)、涉及健康狀況等敏感信息。

★ 可攜帶權(quán)：用戶有權(quán)向數(shù)據(jù)控制方索要數(shù)據(jù)，也可將個人數(shù)據(jù)轉(zhuǎn)移給另一個數(shù)據(jù)控制者。

★ 被遺忘權(quán)：一旦用戶不希望自己的數(shù)據(jù)由某公司進行處理，并且“只要沒有保留該數(shù)據(jù)的合法理由”，該數(shù)據(jù)就必須刪除。

★ 泄漏通知：一旦發(fā)生嚴重數(shù)據(jù)泄露，要求公司及機構(gòu)72小時內(nèi)通知相關(guān)國家監(jiān)管機構(gòu)。當可能給用戶帶來巨大風險時，必須毫不延誤通知用戶，以便及時采取措施。

★ 巨額罰款：違反數(shù)據(jù)保護條例處罰最高可達公司全球營業(yè)額的4%。