近日,小米公司发布“小米隐私品牌”(题图)并明确提出:小米一直将用户的信息安全与隐私保护视为我们的生存之本。
这是国内首个将用户安全和隐私保护的“能力和承诺”提升至最高优先级的消费科技厂商。这与安全牛此前曾多次强调的“安全就是生命、安全就是创新力”不谋而合。对于一个业务遍布全球的物联网智能硬件创新公司来说,安全就是(用户和厂商自己的)生命,安全就是创新点,安全才是一家企业走向全球的“硬通货”。
但我们也注意到,即使是小米这样非常重视用户数据和隐私安全的公司,在如此重要的安全战略和品牌发布中,只字未提儿童数字安全。原因可能有两点,法规的晚点和市场(厂商与用户)的盲点。
严格的法规和监管尚且不能保证杜绝问题奶粉,更何况堪称法外飞地的儿童隐私安全密切相关的儿童数字产品。过去几年,仅儿童智能手表的大规模信息泄露事故国内外就已经发生了多起,产品厂商的高危产品能够在市场上通行无阻,与相关法律法规缺席有很大关系。
2019年10月1日,中国国家互联网信息办公室发布的《儿童个人信息网络规定》正式实施。这标志着中国在儿童信息安全领域拥有了更具针对性、严格而具体的法规保障。《规定》在《网络安全法》等个人信息保护立法一般规则的基础上,针对儿童这一特殊保护主体,规定了更为严格的信息保护义务,赋予儿童及其监护人更为全面、更为有力的权能。
从全球儿童个人信息保护总体形势来看,儿童逐步成为隐私泄露和身份盗窃的高危人群。在美国,每年有130万儿童信息被盗用,是成年人的51倍,近年来,澳大利亚、韩国等国家也纷纷出台儿童个人信息保护专门规定,美国也曾讨论修订《儿童在线隐私保护法》(以下简称COPPA),强化未成年人个人信息保护。总体来看,各国儿童数据保护呈加严趋势。
2016-2019美国K-12公立学校发生418起网络安全事件 数据来源:EdTech Strategies
从我国实践情况来看,未成年人的互联网普及率达到93.7%,不满18周岁网民数量高达1.69亿,但普遍缺乏个人信息保护意识,其中11岁以下的儿童对隐私设置的了解较少,11至16岁儿童中仅26%的儿童采取网上隐私保护措施。在此背景下,通过专门规定加强对儿童个人信息的保护是十分必要且有益的。
值得注意的是,英国今年3月份也发布了一项针对科技公司的儿童隐私保护的产品准则,以下简称《产品准则》。
对比中英两国儿童信息保护法规,我们发现二者存在如下差异:
监管对象界定。《规定》中对于监管对象的界定统一为“网络运营者”,偏向于内容和服务提供商;而《产品准则》的监管或指导对象是:
“适用于儿童可能使用的任何应用程序、网站、在线游戏和连接的设备(即使主要是成年人使用的)”
根据《产品准则》,包括智能门铃、智能手表、智能音箱、智能电视、智能门锁…所有这些能够采集儿童隐私信息或者与儿童交互的硬件和软件服务都属于监管对象。
条款的模糊性与合规。《规定》和《产品准则》在最关键的儿童信息采集范围界定上,都存在相当大的弹性和模糊地带,例如《规定》第十一条:网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。什么样的信息与服务无关,与服务有关的信息就可以不受约束地最大范围最大限度地采集吗?《产品准则》15条原则中的对应条款“最小化数据的收集和共享”稍微明确一些,但依旧模糊,增加了合规的难度,但是“默认情况下,关闭地理位置设置以防止跟踪孩子”这一条,非常准确清晰,落在实处,值得我们学习参考。
此外,中英两国法规还有很多地方都存在合规的模糊性,例如《规定》指出:“网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。”但并未对具体产品和应用规定具体的加密方式或强度要求,以及违规的惩罚依据和方式/力度。根据《规定》违规者将由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理。但是后两个法规中并未有针对未成年人的信息保护处罚条款,而《产品准则》诉诸的GDPR则有对应年龄段的处罚条例。
条款的“盲区”
《规定》强调了监护人作为知情权的主体。“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显着、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。”
这里有一点需要注意,由于儿童监护人安全意识层次不齐,有些甚至非常淡漠,很多用例中,儿童监护人无法充分准确评估“网络运营者采集、使用、转移、披露”儿童个人信息的做法是否合理。
而《产品准则》似乎更进一步,ICO在《产品准则》发行版本中表示:
该规范是一套15条灵活的标准(它们没有禁止或没有明确规定),它们提供了内置保护,允许儿童通过确保儿童的最大利益来在线探索,学习和玩耍。儿童是设计和开发在线服务时的主要考虑因素。
根据英国数据隐私监管机构的说法,负责设计、开发或提供此类服务的人员应遵循15条原则,其中包括:
·默认情况下,将隐私设置设置为最高级别,除非有充分的理由不这样做
·不采用鼓励孩子削弱隐私设置的所谓“轻推”技术
·默认情况下,关闭地理位置设置以防止跟踪孩子
·最小化数据的收集和共享
·默认情况下,关闭性能分析功能可保护子级免受目标内容的侵害
可以看出,《产品准则》对儿童信息采集使用的要求更为具体和严苛,“雷区密集”,厂商需要遵循“最小化”原则,越过红线的话,即使征得“儿童监护人”的同意也会爆雷。
例如,根据《产品准则》的规定,连接互联网的玩具(例如会说话的泰迪熊)或儿童易于使用的智能设备(例如智能音箱)出厂默认设置就应该符合《产品准则》中关于儿童数字安全的规定。
《产品准则》还强调物联网(IOT)设备(包括智能门铃、安防摄像头、智能音箱等等)也应尽量减少儿童的个人数据的收集,并提供创建儿童友好的用户配置文件的能力。
Pen Test Partners的Ken Munro专门研究IoT设备的漏洞,他指出英国规则与美国联邦贸易委员会的1998年COPPA规则相似,但称赞增加了联网玩具。
Munro指出,这要求涉及智能儿童玩具的供应商更加了解他们如何以及在何处处理儿童数据。“几年前的研究表明,有几种智能玩具将数据发送到海外进行处理,其中包括My Friend Cayla的数据被发送到了美国。”
2020,儿童数字安全的元年
根据《产品准则》,相关公司将有一个为期一年的过渡期,政府会提供“大量支持”,以帮助企业遵守新规定。
英国信息专员伊丽莎白?丹纳姆(Elizabeth Denham)表示:
英国五分之一的互联网用户是儿童,但他们使用的不是为他们设计的互联网。
有法律保护现实世界中的儿童电影分级、汽车座椅、饮酒和吸烟的年龄限制。我们也需要我们的法律来保护数字世界中的儿童。
肯·芒罗(Ken Munro)建议,只有得到强有力的执法支持,该行为准则才可能有效。
他说:
尽管这是朝正确方向迈出的一大步,但我将保留其有效性的判断,直到12个月的过渡期(供卖方更新服务和条款)到期为止。
只有到那时,我们才能看到制造商是否做出了有效的反应,或者是否需要监管者“坚持”以使他们保持一致。
网络安全公司F-Secure的安全顾问Fennel Aurora对新规则表示欢迎,但他说:
很难看到有任何理由将这些规则限制为仅保护儿童,我们所有人都应得到保护、免受攻击、骚扰和侵犯隐私。
ICO表示,《产品准则》中适龄设计规范属于GDPR的框架,这意味着如果发现违反新标准的公司可能会被处以罚款。
安全牛评
中国公司出品的智能化产品,即使在国内完全合规,也很有可能会撞上GDPR的“罚款墙”。
尤其是全球新冠疫情肆虐,大量儿童在家上网学习,大量接触联网电子设备和服务,网络霸凌、网络诈骗、隐私泄露、儿童色情等儿童数字安全问题显得尤为迫切和严峻。
罚款不是目的,目的也不是为了罚款,作为用户和媒体,我们关心的是日益严峻的儿童数字安全问题,以及我们的企业能否超越口头上的“安全优先”,不满足于本地或者全球的“合规”,真正将“安全”从“减分项”变成“加分项”。
参考资料
国家网信办《儿童个人信息网络保护规定》:
http://www.cac.gov.cn/2019-08/23/c_1124913903.htm
中国网信网:《儿童个人信息网络保护规定》亮点解读
http://www.cac.gov.cn/2019-09/05/c_1569218559599019.htm