信息化觀察網(wǎng)

近日，小米公司發(fā)布“小米隱私品牌”（題圖）并明確提出：小米一直將用戶的信息安全與隱私保護(hù)視為我們的生存之本。

這是國內(nèi)首個(gè)將用戶安全和隱私保護(hù)的“能力和承諾”提升至最高優(yōu)先級(jí)的消費(fèi)科技廠商。這與安全牛此前曾多次強(qiáng)調(diào)的“安全就是生命、安全就是創(chuàng)新力”不謀而合。對(duì)于一個(gè)業(yè)務(wù)遍布全球的物聯(lián)網(wǎng)智能硬件創(chuàng)新公司來說，安全就是（用戶和廠商自己的）生命，安全就是創(chuàng)新點(diǎn)，安全才是一家企業(yè)走向全球的“硬通貨”。

但我們也注意到，即使是小米這樣非常重視用戶數(shù)據(jù)和隱私安全的公司，在如此重要的安全戰(zhàn)略和品牌發(fā)布中,只字未提兒童數(shù)字安全。原因可能有兩點(diǎn)，法規(guī)的晚點(diǎn)和市場(chǎng)（廠商與用戶）的盲點(diǎn)。

嚴(yán)格的法規(guī)和監(jiān)管尚且不能保證杜絕問題奶粉，更何況堪稱法外飛地的兒童隱私安全密切相關(guān)的兒童數(shù)字產(chǎn)品。過去幾年，僅兒童智能手表的大規(guī)模信息泄露事故國內(nèi)外就已經(jīng)發(fā)生了多起，產(chǎn)品廠商的高危產(chǎn)品能夠在市場(chǎng)上通行無阻，與相關(guān)法律法規(guī)缺席有很大關(guān)系。

2019年10月1日，中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《兒童個(gè)人信息網(wǎng)絡(luò)規(guī)定》正式實(shí)施。這標(biāo)志著中國在兒童信息安全領(lǐng)域擁有了更具針對(duì)性、嚴(yán)格而具體的法規(guī)保障?！兑?guī)定》在《網(wǎng)絡(luò)安全法》等個(gè)人信息保護(hù)立法一般規(guī)則的基礎(chǔ)上，針對(duì)兒童這一特殊保護(hù)主體，規(guī)定了更為嚴(yán)格的信息保護(hù)義務(wù)，賦予兒童及其監(jiān)護(hù)人更為全面、更為有力的權(quán)能。

從全球兒童個(gè)人信息保護(hù)總體形勢(shì)來看，兒童逐步成為隱私泄露和身份盜竊的高危人群。在美國，每年有130萬兒童信息被盜用，是成年人的51倍，近年來，澳大利亞、韓國等國家也紛紛出臺(tái)兒童個(gè)人信息保護(hù)專門規(guī)定，美國也曾討論修訂《兒童在線隱私保護(hù)法》(以下簡稱COPPA),強(qiáng)化未成年人個(gè)人信息保護(hù)?？傮w來看，各國兒童數(shù)據(jù)保護(hù)呈加嚴(yán)趨勢(shì)。

2016-2019美國K-12公立學(xué)校發(fā)生418起網(wǎng)絡(luò)安全事件 數(shù)據(jù)來源：EdTech Strategies

從我國實(shí)踐情況來看，未成年人的互聯(lián)網(wǎng)普及率達(dá)到93.7%，不滿18周歲網(wǎng)民數(shù)量高達(dá)1.69億，但普遍缺乏個(gè)人信息保護(hù)意識(shí)，其中11歲以下的兒童對(duì)隱私設(shè)置的了解較少，11至16歲兒童中僅26%的兒童采取網(wǎng)上隱私保護(hù)措施。在此背景下，通過專門規(guī)定加強(qiáng)對(duì)兒童個(gè)人信息的保護(hù)是十分必要且有益的。

值得注意的是，英國今年3月份也發(fā)布了一項(xiàng)針對(duì)科技公司的兒童隱私保護(hù)的產(chǎn)品準(zhǔn)則，以下簡稱《產(chǎn)品準(zhǔn)則》。

對(duì)比中英兩國兒童信息保護(hù)法規(guī)，我們發(fā)現(xiàn)二者存在如下差異：

監(jiān)管對(duì)象界定。《規(guī)定》中對(duì)于監(jiān)管對(duì)象的界定統(tǒng)一為“網(wǎng)絡(luò)運(yùn)營者”，偏向于內(nèi)容和服務(wù)提供商；而《產(chǎn)品準(zhǔn)則》的監(jiān)管或指導(dǎo)對(duì)象是：

“適用于兒童可能使用的任何應(yīng)用程序、網(wǎng)站、在線游戲和連接的設(shè)備（即使主要是成年人使用的）”

根據(jù)《產(chǎn)品準(zhǔn)則》，包括智能門鈴、智能手表、智能音箱、智能電視、智能門鎖…所有這些能夠采集兒童隱私信息或者與兒童交互的硬件和軟件服務(wù)都屬于監(jiān)管對(duì)象。

條款的模糊性與合規(guī)。《規(guī)定》和《產(chǎn)品準(zhǔn)則》在最關(guān)鍵的兒童信息采集范圍界定上，都存在相當(dāng)大的彈性和模糊地帶，例如《規(guī)定》第十一條：網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的兒童個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集兒童個(gè)人信息。什么樣的信息與服務(wù)無關(guān)，與服務(wù)有關(guān)的信息就可以不受約束地最大范圍最大限度地采集嗎？《產(chǎn)品準(zhǔn)則》15條原則中的對(duì)應(yīng)條款“最小化數(shù)據(jù)的收集和共享”稍微明確一些，但依舊模糊，增加了合規(guī)的難度，但是“默認(rèn)情況下，關(guān)閉地理位置設(shè)置以防止跟蹤孩子”這一條，非常準(zhǔn)確清晰，落在實(shí)處，值得我們學(xué)習(xí)參考。

此外，中英兩國法規(guī)還有很多地方都存在合規(guī)的模糊性，例如《規(guī)定》指出：“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取加密等措施存儲(chǔ)兒童個(gè)人信息，確保信息安全。”但并未對(duì)具體產(chǎn)品和應(yīng)用規(guī)定具體的加密方式或強(qiáng)度要求，以及違規(guī)的懲罰依據(jù)和方式/力度。根據(jù)《規(guī)定》違規(guī)者將由網(wǎng)信部門和其他有關(guān)部門依據(jù)職責(zé)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等相關(guān)法律法規(guī)規(guī)定處理。但是后兩個(gè)法規(guī)中并未有針對(duì)未成年人的信息保護(hù)處罰條款，而《產(chǎn)品準(zhǔn)則》訴諸的GDPR則有對(duì)應(yīng)年齡段的處罰條例。

條款的“盲區(qū)”

《規(guī)定》強(qiáng)調(diào)了監(jiān)護(hù)人作為知情權(quán)的主體。“網(wǎng)絡(luò)運(yùn)營者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人，并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意。”

這里有一點(diǎn)需要注意，由于兒童監(jiān)護(hù)人安全意識(shí)層次不齊，有些甚至非常淡漠，很多用例中，兒童監(jiān)護(hù)人無法充分準(zhǔn)確評(píng)估“網(wǎng)絡(luò)運(yùn)營者采集、使用、轉(zhuǎn)移、披露”兒童個(gè)人信息的做法是否合理。

而《產(chǎn)品準(zhǔn)則》似乎更進(jìn)一步，ICO在《產(chǎn)品準(zhǔn)則》發(fā)行版本中表示：

該規(guī)范是一套15條靈活的標(biāo)準(zhǔn)（它們沒有禁止或沒有明確規(guī)定），它們提供了內(nèi)置保護(hù)，允許兒童通過確保兒童的最大利益來在線探索，學(xué)習(xí)和玩耍。兒童是設(shè)計(jì)和開發(fā)在線服務(wù)時(shí)的主要考慮因素。

根據(jù)英國數(shù)據(jù)隱私監(jiān)管機(jī)構(gòu)的說法，負(fù)責(zé)設(shè)計(jì)、開發(fā)或提供此類服務(wù)的人員應(yīng)遵循15條原則，其中包括：

·默認(rèn)情況下，將隱私設(shè)置設(shè)置為最高級(jí)別，除非有充分的理由不這樣做

·不采用鼓勵(lì)孩子削弱隱私設(shè)置的所謂“輕推”技術(shù)

·默認(rèn)情況下，關(guān)閉地理位置設(shè)置以防止跟蹤孩子

·最小化數(shù)據(jù)的收集和共享

·默認(rèn)情況下，關(guān)閉性能分析功能可保護(hù)子級(jí)免受目標(biāo)內(nèi)容的侵害

可以看出，《產(chǎn)品準(zhǔn)則》對(duì)兒童信息采集使用的要求更為具體和嚴(yán)苛，“雷區(qū)密集”，廠商需要遵循“最小化”原則，越過紅線的話，即使征得“兒童監(jiān)護(hù)人”的同意也會(huì)爆雷。

例如，根據(jù)《產(chǎn)品準(zhǔn)則》的規(guī)定，連接互聯(lián)網(wǎng)的玩具（例如會(huì)說話的泰迪熊）或兒童易于使用的智能設(shè)備（例如智能音箱）出廠默認(rèn)設(shè)置就應(yīng)該符合《產(chǎn)品準(zhǔn)則》中關(guān)于兒童數(shù)字安全的規(guī)定。

《產(chǎn)品準(zhǔn)則》還強(qiáng)調(diào)物聯(lián)網(wǎng)（IOT）設(shè)備（包括智能門鈴、安防攝像頭、智能音箱等等）也應(yīng)盡量減少兒童的個(gè)人數(shù)據(jù)的收集，并提供創(chuàng)建兒童友好的用戶配置文件的能力。

Pen Test Partners的Ken Munro專門研究IoT設(shè)備的漏洞，他指出英國規(guī)則與美國聯(lián)邦貿(mào)易委員會(huì)的1998年COPPA規(guī)則相似，但稱贊增加了聯(lián)網(wǎng)玩具。

Munro指出，這要求涉及智能兒童玩具的供應(yīng)商更加了解他們?nèi)绾我约霸诤翁幪幚韮和瘮?shù)據(jù)。“幾年前的研究表明，有幾種智能玩具將數(shù)據(jù)發(fā)送到海外進(jìn)行處理，其中包括My Friend Cayla的數(shù)據(jù)被發(fā)送到了美國。”

2020，兒童數(shù)字安全的元年

根據(jù)《產(chǎn)品準(zhǔn)則》，相關(guān)公司將有一個(gè)為期一年的過渡期，政府會(huì)提供“大量支持”，以幫助企業(yè)遵守新規(guī)定。

英國信息專員伊麗莎白?丹納姆（Elizabeth Denham）表示：

英國五分之一的互聯(lián)網(wǎng)用戶是兒童，但他們使用的不是為他們?cè)O(shè)計(jì)的互聯(lián)網(wǎng)。

有法律保護(hù)現(xiàn)實(shí)世界中的兒童電影分級(jí)、汽車座椅、飲酒和吸煙的年齡限制。我們也需要我們的法律來保護(hù)數(shù)字世界中的兒童。

肯·芒羅（Ken Munro）建議，只有得到強(qiáng)有力的執(zhí)法支持，該行為準(zhǔn)則才可能有效。

他說：

盡管這是朝正確方向邁出的一大步，但我將保留其有效性的判斷，直到12個(gè)月的過渡期（供賣方更新服務(wù)和條款）到期為止。

只有到那時(shí)，我們才能看到制造商是否做出了有效的反應(yīng)，或者是否需要監(jiān)管者“堅(jiān)持”以使他們保持一致。

網(wǎng)絡(luò)安全公司F-Secure的安全顧問Fennel Aurora對(duì)新規(guī)則表示歡迎，但他說：

很難看到有任何理由將這些規(guī)則限制為僅保護(hù)兒童，我們所有人都應(yīng)得到保護(hù)、免受攻擊、騷擾和侵犯隱私。

ICO表示，《產(chǎn)品準(zhǔn)則》中適齡設(shè)計(jì)規(guī)范屬于GDPR的框架，這意味著如果發(fā)現(xiàn)違反新標(biāo)準(zhǔn)的公司可能會(huì)被處以罰款。

安全牛評(píng)

中國公司出品的智能化產(chǎn)品，即使在國內(nèi)完全合規(guī)，也很有可能會(huì)撞上GDPR的“罰款墻”。

尤其是全球新冠疫情肆虐，大量兒童在家上網(wǎng)學(xué)習(xí)，大量接觸聯(lián)網(wǎng)電子設(shè)備和服務(wù)，網(wǎng)絡(luò)霸凌、網(wǎng)絡(luò)詐騙、隱私泄露、兒童色情等兒童數(shù)字安全問題顯得尤為迫切和嚴(yán)峻。

罰款不是目的，目的也不是為了罰款，作為用戶和媒體，我們關(guān)心的是日益嚴(yán)峻的兒童數(shù)字安全問題，以及我們的企業(yè)能否超越口頭上的“安全優(yōu)先”，不滿足于本地或者全球的“合規(guī)”，真正將“安全”從“減分項(xiàng)”變成“加分項(xiàng)”。

參考資料

國家網(wǎng)信辦《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》：

http://www.cac.gov.cn/2019-08/23/c_1124913903.htm

中國網(wǎng)信網(wǎng)：《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》亮點(diǎn)解讀

http://www.cac.gov.cn/2019-09/05/c_1569218559599019.htm