一、德国禁售智能玩具事件回顾
2017年2月17日,德国联邦网络管理局宣布紧急停售一款名为“凯拉”(Cayla)的智能玩具,并将其列为“非法监听设备”,要求相关经销商停止销售该玩具。“凯拉”由美国玩具厂商“创世纪玩具”生产,该玩具配备了蓝牙、摄像头和微型通话装置,联网后通过第三方的语义分析服务能够与儿童进行交流互动,该玩具自2015年上市以来已向世界各地出售了上百万个。
德国监管部门认为,“凯拉”玩具隐藏了摄像头和麦克风,同时具备联网传输数据的能力,一旦遭遇黑客攻击,就可能在用户未察觉的情况下上传用户数据、侵犯用户隐私、甚至威胁用户安全。特别是儿童相关信息更为敏感,更需要监管机构重点保护。根据德国《电信法》第90条规定,“禁止拥有、生产、销售、进口或是以其他方式引进伪装成其他产品或日用品、且可在他人没有察觉的情况下监听其非公共性谈话或拍摄其照片的传输设备”,德国监管部门将“凯拉”玩具认定为“非法监听设备”,在德国境内全面下架该玩具,并表示将进一步审查其他具有交流互动功能的儿童玩具,禁止任何能够传送数据且可在用户不知情的状况下录制声音或图像的智能玩具流入德国市场。
二、智能玩具引发的网络安全问题分析
智能玩具已获得越来越多消费者青睐,根据欧盟科学和知识服务部门联合研究中心测算,2015年全球智能玩具市场规模约28亿美元,预计2020年将达到113亿美元。同时,智能玩具的网络安全风险也引起了各国监管部门的重视。除德国禁售“凯拉”外,欧洲消费者联盟(BEUC)在2016年12月也表示了对智能玩具引发网络安全问题的担忧,认为此类玩具涉嫌违反欧盟的《一般数据保护条例》、《不公平合同条款指令》和《玩具安全指令》。同月,美国佛罗里达州参议员比尔•尼尔森在向参议院委员会提交的一份报告中指出,“能联网的智能玩具可能存在严重的个人信息和数据安全隐患”。
(一)智能玩具可被滥用作非法监听设备和窃取用户信息的新通道
2016年11月,挪威消费者委员会委托咨询公司Bouvet对包括“凯拉”在内的三款主流智能玩具的安全性能进行技术分析,发现这些智能玩具缺少有效的网络安全防护手段,可轻易被黑客非法远程控制作为监听设备,在用户不知情的状况下,记录、窃取儿童及其家人的敏感信息。“斯诺登事件”表明,部分发达国家有意识地利用技术、产业等优势开展信息监控计划,随着智能玩具产业的不断发展,智能玩具很有可能被不法分子或组织盯上,成为肆意监听、窃取公民个人信息的新通道,危害公民个人安全。
(二)智能玩具厂商主动收集海量用户数据,个人信息泄露风险较高
“凯拉”等智能玩具能够收集包括用户身份、账户密码、电话、邮箱、信用卡、联网记录、位置信息等大量用户个人信息,智能玩具厂商引起的数据泄露风险也越发严峻。近年来,香港伟易达集团、美国费雪集团、美国KGPS公司等智能玩具厂商均被曝光发生大规模用户信息泄露事件。其中,香港伟易达集团在2015年11月遭受黑客攻击,导致包括用户身份、账户密码、密保问题及答案等在内的海量用户信息泄露,涉及全球超过600万儿童和400万家长。
(三)大量涉及儿童的敏感数据跨境流动,缺乏有效监管
目前,世界主流智能玩具厂商及其第三方合作服务商多为美国企业,购买和使用此类智能玩具时不可避免的将带来大量儿童个人信息和敏感数据跨境流动的问题。但是,国际社会对于跨境数据流动的管理尚未形成统一的规则或框架,而且世界各国普遍更为关注政府和公共部门数据的跨境流动管理,多数国家对公民个人信息特别是儿童敏感信息的跨境流动管理缺乏有效监管。
三、对我国网络安全管理的启示和建议
我国智能玩具市场尚处于刚刚兴起阶段,随着国内二胎政策的放开、儿童教育的需要和消费习惯的升级,我国智能玩具市场发展前景广阔。但目前中高端智能玩具市场仍以美国企业为主,我国同样面临智能玩具发展所带来的上述三类网络安全问题。更重要的是,随着万物互联、万物智能的快速发展,新型智能产品引发的网络安全威胁和风险将更加严峻。建议我国网络安全管理部门应加强新型智能产品的监管力度,督促企业加强设备安全防护,切实增强网络数据安全,有力保障国家网络安全。
一是加强对新型智能产品的安全审查。当前,中央网信办已发布《网络产品和服务安全审查办法(试行)》,审查重点是关系国家安全和公共利益的信息系统中使用的重要网络产品和服务。智能玩具为代表的新型智能产品存在的网络安全威胁和风险尚未引起网络安全管理部门的足够重视。建议研究将新型智能产品纳入安全审查范围,特别要重视可能用作非法监听的智能产品;逐步建立新型智能产品的网络安全标准和认证体系;鼓励第三方专业机构开展新型智能产品的安全检测和评估工作。
二是强化儿童的信息安全保护。由于认知、辨别能力有限,儿童在网络活动中往往处于弱势地位,儿童的个人信息也被世界各国认定为敏感数据,纷纷制定相关法律予以保护。建议我国加强个人信息保护立法,推动《未成年人网络保护条例》和《个人信息和重要数据出境安全评估办法》尽快出台,明确公民个人信息特别是儿童信息的收集、存储、使用、销毁和跨境流动等关键环节相关规则,严格保护儿童等弱势群体的个人信息安全。
三是督促企业加强网络数据安全防护。督促新型智能产品制造企业全面落实《网络安全法》要求,设立首席安全官,明确数据安全保护工作责任部门,制定完善数据安全管理规章制度。健全数据防窃密、防篡改、防泄漏和数据备份、数据脱敏、数据审计、数据泄露通知等措施。鼓励企业定期采取自查、委托第三方专业机构等方式进行网络数据安全状况检测和风险评估。
(作者:中国信息通信研究院政策与经济研究所 刘悦、张春飞)
声明:本文来自互联网信息安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。