企业生产联网玩具需注意信息安全

2017-08-22 05:05本刊编译张芷盈
中外玩具制造 2017年6期
关键词:数据保护条例信息安全

本刊编译 张芷盈

企业生产联网玩具需注意信息安全

Be Cautious of Privacy Protection

本刊编译 张芷盈

近日蠕虫病毒的大规模爆发,引起了人们对电脑联网信息安全的关注。这不由让人联想到早前伟易达的联网玩具数据库被黑客入侵,导致大量数据外泄的报道。那么,在玩具业界,企业在生产联网玩具时要注意什么?如何保证消费者的信息安全?德国贸易组织BIU总经理Maximilian Schenk博士撰文给玩具企业支招。

My Friend Cayla和Hello Barbie皆身陷儿童隐私安全问题中

蓝牙云数据易受黑客入侵

随着科技对玩具行业的渗透,近年来联网玩具相当普及,涵盖娃娃、可动人偶、对战游戏产品等等类别。很多玩具在联网进行数据搜索传输的时候,需要用户注册并填写相关私人信息,这就涉及到隐私保护的问题。

英国数据安全机构Context的首席研究员Paul Stone指出,虽然蓝牙的连接范围只有10~30米,家长使用蓝牙玩具时,需要近距离连接(通常只能在屋内),但是黑客却能在屋外进行数据窃取。而目前玩具厂家却暂时无法解决这个安全漏洞。

通过云数据共享而实现互动功能的智能玩具更高科技,但安全性也更令人担心。最具代表性的是Hello Barbie娃娃、我的朋友凯拉智能娃娃。这两款娃娃都被指不当收集和使用儿童信息,沦为窃听的“间谍”工具而备受诟病。

互联网时代,个人隐私保护值得关注

欧洲立法加强个人信息保护

目前,《欧洲数据保护指令》还有德国数据保护的相关监管部门对未成年人的数据隐私保护措施都有一定的漏洞,尚未明确规定未成年人从几岁开始可以授权对方使用自己的数据信息。目前,德国联邦个人信息保护法只是用一个相对模糊的概念来代替年龄限制:如果未成年人具有必要的行为能力,那么他/她就具有独立授权的能力。但这在实际操作中却有着相当大的执行困难。因此,在很多案例中,都将14岁作为一个能否具有独立授权能力的分水岭。

针对这个问题,2016年4月通过的《欧盟一般数据保护条例》(GDPR:General Data Protection Regulation)就将年龄界限明确定为16岁。玩具商要收集和使用16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可在各国范围内对上述年龄进行调整,但是不得低于13岁。这个新条例的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护条例。

【编者注】2016年4月14日,欧洲议会投票通过了商讨四年的《欧盟一般数据保护条例》,该条例将在欧盟官方公布正式文本的两年后(2018年)生效。

保护用户信息安全几点原则

既然不能因噎废食,就要想办法做好信息安全,让家长放心。德国贸易组织BIU总经理Maximilian Schenk博士撰文提醒研发生产联网玩具的企业,要注意以下几点处理用户信息的原则。

许可原则。根据这条原则,玩具商不可以收集、使用或者保存用户的个人信息,除非某些立法机构允许的特殊情况,或者未成年人达到法律要求的年龄,有权自主给商家授权同意。

范围原则。玩具商可以就某种原因,如参加某项活动需要填写的报名表,收集用户信息,但是并不能要求用户提供超出此目的范围的个人隐私信息,如兴趣、爱好、家庭情况等等。

目的原则。玩具商可以就某种目的,收集用户个人信息,但这些信息仅限用于初始的收集目的,不能用于其他用途。

4.透明可追踪原则。这也是这几条原则中值得详细解释的原则。即信息所涉及的用户有权追踪商家将其信息用于什么目的、曾经因此目的将信息透露给什么机构等等。要做好这一条,隐私信息声明必须简明易懂(13岁左右的儿童能充分理解的语言)向用户明确。考虑到即将实施的《一般数据保护条例》,玩具商可以先行一步,严格遵守透明可追踪原则,以此向家长传递“公司对上传的个人用户信息就像您本人一样重视,并会对信息安全负责到底”的信号,获取家长的信任。只有这样,相关玩具产品才能在这个数字互联网时代更好地发展下去。

链 接

《欧盟一般数据保护条例》关键点

此条例将于2018年5月24日生效。

★ 适用范围:在欧盟地区或欧盟成员国法律适用地区拥有客户的任意公司,无论其公司本身是否位于欧洲。(有联网玩具产品销往欧盟地区的中国玩具公司要引起注意了!)

★ 特殊数据:除法律允许的范围内且已采取恰当保护措施的情况下,禁止收集处理反映个人种族或民族起源、政治观点、宗教信仰、工会背景、个人基因识别数据、生物数据、涉及健康状况等敏感信息。

★ 可携带权:用户有权向数据控制方索要数据,也可将个人数据转移给另一个数据控制者。

★ 被遗忘权:一旦用户不希望自己的数据由某公司进行处理,并且“只要没有保留该数据的合法理由”,该数据就必须删除。

★ 泄漏通知:一旦发生严重数据泄露,要求公司及机构72小时内通知相关国家监管机构。当可能给用户带来巨大风险时,必须毫不延误通知用户,以便及时采取措施。

★ 巨额罚款:违反数据保护条例处罚最高可达公司全球营业额的4%。

猜你喜欢
数据保护条例信息安全
基于区块链技术的船舶信息安全预测
中华人民共和国外商投资法实施条例 第三章 投资 保护 (1)
中华人民共和国外商投资法实施条例 第一章 总则
信息安全不止单纯的技术问题
欧洲数据保护委员会通过《一般数据保护条例》相关准则
新版党纪处分条例修订要点
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
新修订的党纪处分条例干货全在这里
2014第十五届中国信息安全大会奖项