警惕智能玩具泄露儿童隐私

       随着物联网和人工智能技术开始进入玩具领域，儿童智能玩具已经渐渐走进了千家万户，成为很多00后，10后孩子的挚爱。虽然这些玩偶、玩具、智能手表等设备互动性很强，能够与孩子沟通、游戏甚至帮助孩子学习，对家长和孩子都极具吸引力，但它们也带来了一些风险，尤其是与儿童隐私相关的风险。

       2017年7月，美国联邦调查局（FBI）发布警告称，一些有麦克风、摄像头、语音识别、GPS等功能的物联网玩具不止能给孩子带来乐趣，还可能侵犯儿童隐私并影响安全。同年11月，德国联邦网络监管局宣布，禁止在德国出售儿童智能手表并希望家长尽快摘除孩子们正在佩戴的智能手表，因为这些手表可能会被黑客轻松破解，获取儿童的位置信息、声音信息等。在稍后的12月里，法国信息与自由全国委员会警告，智能玩具可能在数米远外就可与手机互联，并且玩具可以清晰的记录孩子与玩具的对话，甚至房子里的其他声音，存在隐私泄露的风险。

       确实有许多案例显示，黑客入侵婴儿监控器，游戏软件遭到网络攻击，导致包括儿童照片在内的敏感数据被盗。去年10月，全球最大的玩具公司美泰就收到了一份15000多人联名签署的请愿书，要求美泰停止发布智能婴幼儿监护仪Aristotle，主要原因在于Aristotle涉嫌泄露儿童隐私。随后，美泰发表声明，决定不再向市场供应Aristotle。此前美泰推出的 “Hello Barbie”玩偶、Genesis Toys 公司的“My Friend Cayla”和“ i-Que ”机器人等，也都曾引发泄露儿童隐私的争议，部分产品还因此被强制下架。

       就物联网（IoT）而言，它对儿童保护的潜在风险是什么，需要采取什么措施来减轻这些风险呢？据美国联邦贸易委员会（FTC）称，物联网具有多种伤害用户（包括儿童）的潜在安全风险。这些风险包括允许非法访问和滥用个人信息（如儿童照片或聊天记录）、增加对其他系统的攻击（通过获取银行信息、密码等）和对个人安全造成威胁（在极端情况下，儿童诱骗）。从更广义上讲，英国儿童网路安全委员会调查发现有12%儿童的数据遭到过滥用，如身份盗用或他人以儿童不喜欢的方式使用其个人信息。那么这是否就意味着立法是解决这一问题的答案？目前没有专门针对物联网与儿童隐私保护的立法。由于这一概念非常新颖，技术变化又非常快，到目前为止，法律几乎还很难能跟得上这些变化。

       2014年初，美国联邦贸易委员会处理了一起针对趋势网络公司(TRENDnet)的案件，这可以说是一个比较典型的案例法。此公司主要制造可联网的安全摄像头和儿童监控器。美国联邦贸易委员会称，趋势网络公司在其广告中声称其商品“非常安全”。实际上，摄像头中存在有缺陷的软件，使得任何知道摄像头网址的联网用户都可以观看摄像头中记录下的内容，有时甚至还可以听到。由于此设计缺陷，数以百计的私人视频内容在网络上被公开，被播放的内容包括在婴儿床中熟睡的小宝宝，玩耍的儿童以及成年人的日常起居。美国联邦贸易委员会的部分处理结果如下：趋势网络不得再歪曲事实将其软件描述为“安全的”，同时他们必须在为期20年的时间里每年对其安全方案进行一次评估。

       在其他领域，有关物联网的条例是在现有法律的范围内制定的，如美国的《儿童在线隐私保护法》。同时，在英国，信息专员办公室最近提出了可穿戴设备指南，规定不可违反 《数据保护法》进行数据收集，但到目前为止尚未制定有关儿童保护和物联网的具体建议或规定。

       在等待政府决策推进物联网和儿童保护最佳方案的同时，产品设计师和智能玩具公司也有很多方法通过有效工作降低侵犯儿童隐私的风险。其中一个方面就是采用新的“设计安全”理念，并且根据国际认可的标准和最佳实践为其产品构建安全性。公司从一开始就应该将安全构建在他们的设备中，他们必须从一开始就考虑密码或者更好的生物识别技术，而不是到最后才设置密码或采用相关技术。目前，我们正处在可穿戴设备使用的一个过渡期，现在可能只有一些人佩戴了健身追踪器等，但如果五年后我们每个人都要佩戴三四个这样的设备的话，行业就必须要制定清晰的标准，规定这些设备该如何交互操作并保证终端客户的信息安全。这些对对于隐私保护比较不了解的儿童使用的智能设备尤其重要。

       数据极简化是开发者需要考虑的另一个领域。这指的是公司需要限制他们收集和保存的数据量和数据类型，当不需要时应当适时删除。就儿童数据处理而言，它可能包含朋友之间的聊天记录、照片和个人好恶等信息。美国联邦贸易委员会给出的建议是：公司可以考虑不收集数据，仅收集对商品或服务必要领域的信息；收集较不敏感的信息；或对他们收集到的信息进行去识别化(de-identify)。如果一家公司确定以上途径都无法满足其商业目标，那么它可以在用户同意的情况下收集其他类别的信息。无论是与客户沟通安全说明、隐私协议还是数据使用知情书，公司都应该使用让所有人都能理解的平实语言，最好写在A4纸的一面上。

       当然，政府也有责任通过宣传确保公众了解这些风险，特别是在物联网以及互联设备愈发流行的情况下。因为，在迄今报告的许多安全漏洞中，都在一定程度上表明人们对在线安全并不了解。例如，一个婴儿监控器被攻击的家庭只对监控器本身设置了密码，却没有给无线网络设置密码。

       （本文编译自Becky Slack发表在卫报上的文章Is the Internet of Things putting your child’s privacy at risk？部分内容由编辑增补和删减。）