因為是美國政府公報的關系,所以語句多少有點“官式”;我們在翻譯過程中已經在不損及原意的前提下予以軟化,如果有任何問題的話請參閱原文。其中部分僅適用于美國的信息,則有另外標示。
FBI建議消費者在購入智能物聯網互動玩具、并且帶到家中(或是其他應注意安全的環境)之前,先考慮關于安全方面的問題。
許多所謂的智能玩具或兒童娛樂設備,都會根據和使用者的互動內容,來學習并改變它們自己的行為;這類玩具(以下均如此通稱)多半使用了傳感器、麥克風、攝影鏡頭、數據儲存組件,并且具備一些包括語音識別或GPS地理定位之類的功能。這些功能的存在,可能會在兒童無意間透露許多個人信息,對于個人隱私和安全帶來風險。
為什么這一點對家庭很重要?
不同類型的玩具,會有不同的功能和配備。例如內建麥克風的玩具,就可能在一定范圍之內錄下周圍的對話;例如小孩的姓名、學校、喜好、以及最近會參與的活動等信息,也可能因為與玩具對話、或是在附近的正常對話而泄漏出去。
這樣的數據記錄能力、再加上玩具本身與Internet或其他設備之間的聯機功能,對于這些數據、甚至個人實體的安全,都可能造成影響。當我們在在線注冊玩具、設定個人賬號時,通常可能會提供姓名、出生日期、照片、住址等個人信息。
此外,有些公司還會收集大量的其他個人資料,包括語音消息、對話記錄(編按:例如客服電話錄音)、過去和現在的所在地理位置、網絡瀏覽歷史、以及所在的網絡IP地址等等。
外型特征和個人喜好之類的資料,可能被有心人士用于取得兒童信任。
如果上述這些數據曝光,就可能導致兒童身分遭到冒用;此外,諸如GPS地理位置、取自個人照片或影片的外型特征、以及個人喜好之類的數據,也可能被有心人士用于取得兒童的信任,造成更進一步的風險。
消費者在購買玩具之前,最好可以檢視一下廠商提供的使用協議書、隱私權政策(編按:一般玩具大廠的網站上會有,只是不一定有中文版),以及廠商是否揭露用戶數據會被傳送到哪里去、儲存在哪里、會不會被轉送給哪些第三方廠商。
許多廠商往往會因為趕著讓產品上市、或是為了簡化玩具的操作方式,而“忘了”補上這些聲明,所以消費者最好能在購買之前上網做功課,看看是否已經有安全專家或評鑒機構提出問題或抱怨。
為什么物聯網玩具容易有安全問題?
一般來說,來自兒童和玩具之間的互動或對話信息,多半會被傳送到玩具廠商或開發者的服務器或云端空間儲存;有些時候,負責管理語音識別軟件的第三方廠商也會收集這些資料。
如果廠商沒有妥善運用數字密鑰和編碼技術來保護,這些包括錄制語音、網站密碼(通常來自家長用的玩具管理app)、住家地址、Wi-Fi無線網絡相關信息、或是其他敏感個資也可能會在儲存或傳送過程中流出。
通常智能玩具會以下列兩種方式之一來物聯網:
直接物聯網:透過Wi-Fi無線基地臺連上網絡;
間接物聯網:透過藍牙連結Android或iOS設備來物聯網。
所以,玩具本身、相關app軟件、以及環境中Wi-Fi無線網絡的安全機制,都會直接影響整體的安全性;如果玩具、基地臺、以及對外網絡聯機之間的通訊內容經過加密,可以避免黑客借助破解玩具、或是側錄通訊和對話內容來取得個資。
由于使用藍牙聯機的玩具,通常在和其他移動設備配對的過程中,不會有透過辨識碼或密碼來認證的功能,所以更容易有不明人士接掌玩具操控、甚至借機直接跟小孩互動的狀況發生。
同樣的,如果玩具的網絡聯機功能不夠安全,也可能會有類似上述的情形。
有哪些消費者保護法可以保護我的小孩?
編按:本節為美國相關內容,僅供參考之用。
針對13歲以下兒童設計的網站和在線服務經營者、以及已知會收集13歲以下兒童個人資料的其他網站和服務,兒童在線隱私保護法案(Children’s Online Privacy Protection Act,COPPA)都已經有相關的信息保護要求;2017年6月21日,美國公平貿易委員會(FTC)也針對物聯網玩具和相關服務更新了相關規定,要求廠商必須遵守COPPA,并確實在物聯網玩具本身,以及相關app、地理定位、以及網絡語音(VoIP)等功能上加入數據防護設計。
如果廠商不對物聯網玩具進行合理的數據保護措施,可能會遭到FTC依據該委員會法案5(a)部分條文(主旨為“禁止不公平或虛假市場行為”)的追究。FBI也鼓勵消費者對于目前法律有所規范、或是尚未規范的玩具和網絡服務環境進行更多了解。
我可以做些什么?
FBI建議消費者在購買物聯網玩具之前,至少考慮下列的各項建議:
上網搜尋了解下列(和其他)已知的安全問題;
只在已確知安全的無線網絡環境下使用物聯網玩具;
了解該玩具的網絡聯機安全措施:
在進行藍牙聯機時使用認證碼或密碼;
在透過網絡聯機,將玩具上的數據傳送到遠程服務器或云端服務時,必須將數據加密;
了解該玩具是否可以透過網絡接收韌體更新、軟件更新、以及安全漏洞修補程序;
如果可以的話,請確認該玩具是否已經執行最新版本、并且已經加上所有的安全漏洞修補程序;
了解傳送給廠商會被儲存在何處(例如該廠商、第三方服務、或是兩者均有),以及這些公司是否有過去的相關安全記錄;
詳讀玩具廠商與第三方服務商的隱私政策與相關宣告,并考慮下列事項:
如果該廠商遭到網絡攻擊而損失數據,會通知消費者嗎?
如果玩具被發現有安全漏洞,會通知消費者嗎?
你的數據會被存在哪里?
誰可以接觸你的數據?
如果廠商的隱私權政策和相關宣告有所修改,會通知消費者嗎?
如果你有問題或疑慮,可以找得到廠商的公開聯絡信息嗎?
如果家長用app有監控功能,請用它密切關注小孩和玩具之間的互動內容(例如互相對話、或是玩具錄下小孩聲音);
在不使用玩具時,請關閉電源,特別是內建麥克風或攝影鏡頭的款式;
使用安全強度夠高的密碼來設定賬號,建議將英文字母大小寫、數字、以及特殊符號混合使用;
在開設帳號時,僅提供最低限度的個人資料;有些服務會要求輸入小孩的生日或喜好,以換取額外的功能,請多考慮。
(美國適用)如果您懷疑小孩的玩具已經被破解入侵,請通知FBI的網絡犯罪舉報中心 www.IC3.gov。
京公網安備 11010502049343號