又一年 315 晚会,其中一个现象引发了智能硬件厂商的关注,也引起了消费者的注意。
央视曝光称,低配的儿童智能手表成 " 行走的偷窥器 ",低配的儿童智能手表无需用户授权就可以开启多种敏感权限,轻易获得孩子的位置、人脸图像、录音等隐私信息,对孩子来说存在安全隐患。
一经曝光,不少消费者表示:" 太可怕了。"
低配的儿童智能手表存在隐私安全隐患
如今儿童智能手表几乎成了孩子们的 " 标配 ",它可以实时定位、高清双摄、人脸识别、视频通话。借助它,家长可以方便地与孩子沟通、掌握孩子行踪。不过,315 信息安全实验室对此展开了专门的测试却发现了很多问题。
工程师将一款有着 10 万 + 销售记录的儿童智能手表。同时将一个恶意程序进驻到智能手表中,实现了对手表的远程控制。工程师可以对孩子实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围,甚至可以判断出:孩子的家离学校很近,5 分钟就能走到;还能实时听到孩子和家人的聊天内容、看到孩子放学在书桌前做手工。
为什么儿童智能手表会成为一双时刻偷窥的眼睛?测试人员发现,根本原因就在于它的操作系统过于老旧。这款手表使用的竟然是没有任何权限管理要求的 Android ( 安卓 ) 4.4 操作系统,距今已将近 10 年,而它的最新版本已经更新到了 Android 12。厂家出于压低成本的考虑,选用低版本的操作系统,这意味着在这样的儿童手表上,各种 App 安装后,无需用户授权就可以开启多种敏感权限,轻易获得孩子的位置、人脸图像、录音等隐私信息。
而在安卓系统的手机上,需要用户主动开启权限,会明确提示:用户是否同意授权。
315 信息安全实验室认为,从技术原理上来讲,手机端的很多标准要求放到智能终端上是完全适用的。可能还是关注度不够的问题,让儿童手表这一类智能终端在个人信息的保护上成为一个重灾区。
315 信息安全实验室还测试了一款儿童智能手表使用的是 Android 9 的操作系统,看起来版本较新。但安装 App 时,系统会弹窗提示是否给予某个权限。可是,用户一旦拒绝授权,App 就会闪退,拒绝提供任何服务。
比如,测试人员打开一款叫 " 天气 " 的应用程序。它会出现一个弹窗,索要用户的存储权限。如果只查天气,不需要存储和读取用户照片,所以 315 信息安全实验室的工作人员选择拒绝。然后应用程序又索要拨打电话权限,这也是一个非必要权限,工作人员还是拒绝。再次索要定位权限,也是一个非必要权限,工作人员也拒绝。然后这款应用程序就马上闪退了。如此,消费者只有两种选择,要么完全不用,要么就拿所有的权限去换取服务。
App 的强制索权的行为危害性很大。因为用户为了获得服务,一旦妥协把权限给出去,手表里的信息也就交出去了,孩子的安全隐患可想而知。
央视儿童智能手表的案例提出了一个关键点:" 手机 App 的监管目前尚可,但是其他终端在个人信息保护上的关注度还不够。"也就是说,不仅仅是智能手表,不少智能硬件在个人信息保护上可能还不到位。
如何保障用户隐私安全?
具有防丢功能的儿童手表,因其定位、通话、设置上课禁用等丰富功能,在得到广大儿童喜爱的同时也获得家长的认可。但在使用过程中出现的一些安全事故,已经危害到儿童健康。我们要将儿童手表行业规范起来,在保护儿童健康的基础上,感受科技所带来的便利。
制定相关国家标准,建立系统性品质指标体系。目前我国儿童手表行业鱼龙混杂,儿童智能传达设备国家方面缺乏统一的行业标准,监管缺乏相应执法判断依据,砸钱打广告、冲销量成为了行业普遍现象。要改变目前只注重营销的儿童智能穿戴设备市场现状,应先制定统一的国家行业标准,把各项品质指标量化考核,拒绝标准以下产品流入市场,让监管有相关判断标准,规范儿童智能穿戴行业。
加强穿戴设备监管,严格控制材料安全范围。儿童手表长时间与皮肤接触,其中如果含有的有害物质、增塑剂、可迁移元素以及镍等,儿童皮肤相较于成年人更为敏感,存在一些安全隐患。相关部门加强监管,定期对市场上的儿童手表进行抽检,确保儿童手表的安全性。严格控制儿童手表表带、表背面的材料安全性能,使用新型无害材料,防止每天接触皮肤的穿戴设备给儿童造成伤害。
进行安全技术革新,保障儿童设备数据安全。儿童智能手表所有信息其实都在后台服务器上,根据相应ID可直接查看孩子的地理坐标、日常活动轨迹及环境录音等隐私内容,这些隐私内容的暴露,对孩子容易造成安全隐患事故。加强后台服务器安全技术,同时在设备端加强软件隐私信息安全防护性能,防止黑客攻击窃取相关信息,保障好儿童在使用过程中的信息安全,杜绝使用时信息外泄、丢包等现象的出现。
隐私泄露不是立了法就能完全遏制的
显然,隐私需要立法保护。中国人民大学法学院教授石佳友曾在接受采访时表示,隐私权的立法是个漫长的过程,即便是在欧美国家。
隐私权概念的首次提出是在1980年,但隐私权被真正写进法律,却是在“二战”以后。“二战”期间,纳粹迫害犹太人的暴行让人们意识到隐私、尊严与人格的重要性,于是1949年联合国通过《世界人权宣言》,第一次将隐私权写进国际法。
1970年法国在《民法典》第9条中写入隐私权,1974年美国制定《隐私权法》,至此隐私权才进入欧美各国立法中。
而隐私权在中国被视为“舶来品”,2009年《侵权责任法》出台,隐私权第一次在国内被写到法律中。2020年推出的《民法典》中,隐私权被定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
这正是中国隐私权立法与欧美的不同之处。德国曾尝试将隐私权写进立法,但都遭到媒体的强烈反对,隐私权至今也没能被写进德国立法中。但这并不妨碍隐私权的保障,德国本身拥有深厚的批判传统,司法机构对隐私拥有十分完整且稳定的司法解释。石佳友认为,在司法解释上,中国还有待进行系统性研究。
今年,《个人信息保护法》的生效以及《网络数据安全管理条例(征求意见稿)》的发布,预示着国内关于隐私保护的政策在逐渐收紧,国内互联网企业也在面临着越来越严格的数据安全要求。
《财新》在报道中称,10月京东和天猫对消费者信息与订单进行了加密处理,商家无法再从淘宝开放平台中获取包括姓名、电话等收件人信息。这意味着商家难以再进行广告的精准投放,电商平台的玩法和投放逻辑或许会进行重新调整。
法律的逐渐完善,一定程度上对互联网平台进行了规制,但大众对隐私边界的认知仍有待提升。美国学者曾指出,在社交网络上披露自身信息的网民其实不太注重隐私,法庭也发现这些人对自己的隐私权不抱有期待。
但当这些无意间透露信息的“小小失误”,被“广而告之”时,人们才会发现隐私不只是不痛不痒的“难言之隐”。
究竟哪些“秘密”才是我们需要隐藏,且有权利隐藏的?在人人都能辨明“隐私”与“便利”的优先级之前,答案就像风向标,随风转向不同的方向。希望明年的3.15再也不要出现这种行踪被泄露、谈话被监听的问题。
文章来源:多知网,吃饱饭的每一天,人人都是产品经理
参与评论
登录后参与讨论 0/1000