2020,兒童數字安全的元年
責編:gltian |2020-04-27 13:32:59近日,小米公司發布“小米隱私品牌”(題圖)并明確提出:小米一直將用戶的信息安全與隱私保護視為我們的生存之本。
這是國內首個將用戶安全和隱私保護的“能力和承諾”提升至最高優先級的消費科技廠商。這與安全牛此前曾多次強調的“安全就是生命、安全就是創新力”不謀而合。對于一個業務遍布全球的物聯網智能硬件創新公司來說,安全就是(用戶和廠商自己的)生命,安全就是創新點,安全才是一家企業走向全球的“硬通貨”。
但我們也注意到,即使是小米這樣非常重視用戶數據和隱私安全的公司,在如此重要的安全戰略和品牌發布中,也未提兒童數字安全。原因可能有兩點,法規的晚點和市場(廠商與用戶)的盲點。
嚴格的法規和監管尚且不能保證杜絕問題奶粉,更何況堪稱法外飛地的兒童隱私安全密切相關的兒童數字產品。過去幾年,僅兒童智能手表的大規模信息泄露事故國內外就已經發生了多起,產品廠商的高危產品能夠在市場上通行無阻,與相關法律法規缺席有很大關系。
2019年10月1日,中國國家互聯網信息辦公室發布的《兒童個人信息網絡規定》正式實施。這標志著中國在兒童信息安全領域擁有了更具針對性、嚴格而具體的法規保障。《規定》在《網絡安全法》等個人信息保護立法一般規則的基礎上,針對兒童這一特殊保護主體,規定了更為嚴格的信息保護義務,賦予兒童及其監護人更為全面、更為有力的權能。
從全球兒童個人信息保護總體形勢來看,兒童逐步成為隱私泄露和身份盜竊的高危人群。在美國,每年有130萬兒童信息被盜用,是成年人的51倍,近年來,澳大利亞、韓國等國家也紛紛出臺兒童個人信息保護專門規定,美國也曾討論修訂《兒童在線隱私保護法》(以下簡稱COPPA),強化未成年人個人信息保護。總體來看,各國兒童數據保護呈加嚴趨勢。
2016-2019美國K-12公立學校發生418起網絡安全事件 數據來源:EdTech Strategies
從我國實踐情況來看,未成年人的互聯網普及率達到93.7%,不滿18周歲網民數量高達1.69億,但普遍缺乏個人信息保護意識,其中11歲以下的兒童對隱私設置的了解較少,11至16歲兒童中僅26%的兒童采取網上隱私保護措施。在此背景下,通過專門規定加強對兒童個人信息的保護是十分必要且有益的。
值得注意的是,英國今年3月份也發布了一項針對科技公司的兒童隱私保護的產品準則,以下簡稱《產品準則》。
對比中英兩國兒童信息保護法規,我們發現二者存在如下差異:
監管對象界定。《規定》中對于監管對象的界定統一為“網絡運營者”,偏向于內容和服務提供商;而《產品準則》的監管或指導對象是:適用于兒童可能使用的任何應用程序、網站、在線游戲和連接的設備(即使主要是成年人使用的)
根據《產品準則》,包括智能門鈴、智能手表、智能音箱、智能電視、智能門鎖…所有這些能夠采集兒童隱私信息或者與兒童交互的硬件和軟件服務都屬于監管對象。
條款的模糊性與合規。《規定》和《產品準則》在最關鍵的兒童信息采集范圍界定上,都存在相當大的彈性和模糊地帶,例如《規定》第十一條:網絡運營者不得收集與其提供的服務無關的兒童個人信息,不得違反法律、行政法規的規定和雙方的約定收集兒童個人信息。什么樣的信息與服務無關,與服務有關的信息就可以不受約束地最大范圍最大限度地采集嗎?《產品準則》15條原則中的對應條款“最小化數據的收集和共享”稍微明確一些,但依舊模糊,增加了合規的難度,但是“默認情況下,關閉地理位置設置以防止跟蹤孩子”這一條,非常準確清晰,落在實處,值得我們學習參考。
此外,中英兩國法規還有很多地方都存在合規的模糊性,例如《規定》指出:“網絡運營者應當采取加密等措施存儲兒童個人信息,確保信息安全。”但并未對具體產品和應用規定具體的加密方式或強度要求,以及違規的懲罰依據和方式/力度。根據《規定》違規者將由網信部門和其他有關部門依據職責,根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》等相關法律法規規定處理。但是后兩個法規中并未有針對未成年人的信息保護處罰條款,而《產品準則》訴諸的GDPR則有對應年齡段的處罰條例。
條款的“盲區”
《規定》強調了監護人作為知情權的主體。“網絡運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的同意。”
這里有一點需要注意,由于兒童監護人安全意識層次不齊,有些甚至非常淡漠,很多用例中,兒童監護人無法充分準確評估“網絡運營者采集、使用、轉移、披露”兒童個人信息的做法是否合理。
而《產品準則》似乎更進一步,ICO在《產品準則》發行版本中表示:
該規范是一套15條靈活的標準(它們沒有禁止或沒有明確規定),它們提供了內置保護,允許兒童通過確保兒童的最大利益來在線探索,學習和玩耍。兒童是設計和開發在線服務時的主要考慮因素。
根據英國數據隱私監管機構的說法,負責設計、開發或提供此類服務的人員應遵循15條原則,其中包括:
- 默認情況下,將隱私設置設置為最高級別,除非有充分的理由不這樣做
- 不采用鼓勵孩子削弱隱私設置的所謂“輕推”技術
- 默認情況下,關閉地理位置設置以防止跟蹤孩子
- 最小化數據的收集和共享
- 默認情況下,關閉性能分析功能可保護子級免受目標內容的侵害
可以看出,《產品準則》對兒童信息采集使用的要求更為具體和嚴苛,“雷區密集”,廠商需要遵循“最小化”原則,越過紅線的話,即使征得“兒童監護人”的同意也會爆雷。
例如,根據《產品準則》的規定,連接互聯網的玩具(例如會說話的泰迪熊)或兒童易于使用的智能設備(例如智能音箱)出廠默認設置就應該符合《產品準則》中關于兒童數字安全的規定。
《產品準則》還強調物聯網(IOT)設備(包括智能門鈴、安防攝像頭、智能音箱等等)也應盡量減少兒童的個人數據的收集,并提供創建兒童友好的用戶配置文件的能力。
Pen Test Partners的Ken Munro專門研究IoT設備的漏洞,他指出英國規則與美國聯邦貿易委員會的1998年COPPA規則相似,但稱贊增加了聯網玩具。
Munro指出,這要求涉及智能兒童玩具的供應商更加了解他們如何以及在何處處理兒童數據。“幾年前的研究表明,有幾種智能玩具將數據發送到海外進行處理,其中包括My Friend Cayla的數據被發送到了美國。”
2020,兒童數字安全的元年
根據《產品準則》,相關公司將有一個為期一年的過渡期,政府會提供“大量支持”,以幫助企業遵守新規定。
英國信息專員伊麗莎白?丹納姆(Elizabeth Denham)表示:
英國五分之一的互聯網用戶是兒童,但他們使用的不是為他們設計的互聯網。
有法律保護現實世界中的兒童電影分級、汽車座椅、飲酒和吸煙的年齡限制。我們也需要我們的法律來保護數字世界中的兒童。
肯·芒羅(Ken Munro)建議,只有得到強有力的執法支持,該行為準則才可能有效。
盡管這是朝正確方向邁出的一大步,但我將保留其有效性的判斷,直到12個月的過渡期(供賣方更新服務和條款)到期為止。
只有到那時,我們才能看到制造商是否做出了有效的反應,或者是否需要監管者“堅持”以使他們保持一致。
網絡安全公司F-Secure的安全顧問Fennel Aurora對新規則表示歡迎,但他說:
很難看到有任何理由將這些規則限制為僅保護兒童,我們所有人都應得到保護、免受攻擊、騷擾和侵犯隱私。
ICO表示,《產品準則》中適齡設計規范屬于GDPR的框架,這意味著如果發現違反新標準的公司可能會被處以罰款。
中國公司出品的智能化產品,即使在國內完全合規,也很有可能會撞上GDPR的“罰款墻”。
尤其是全球新冠疫情肆虐,大量兒童在家上網學習,大量接觸聯網電子設備和服務,網絡霸凌、網絡詐騙、隱私泄露、兒童色情等兒童數字安全問題顯得尤為迫切和嚴峻。
罰款不是目的,目的也不是為了罰款,作為用戶和媒體,我們關心的是日益嚴峻的兒童數字安全問題,以及我們的企業能否超越口頭上的“安全優先”,不滿足于本地或者全球的“合規”,真正將“安全”從“減分項”變成“加分項”。
參考資料
國家網信辦《兒童個人信息網絡保護規定》:
http://www.cac.gov.cn/2019-08/23/c_1124913903.htm
中國網信網:《兒童個人信息網絡保護規定》亮點解讀
http://www.cac.gov.cn/2019-09/05/c_1569218559599019.htm