今天一早起來，宅宅的朋友圈就被一群天（zhuang）真（nen）的中年兒童刷屏了，紛紛表示這個節(jié)日是自己的，為了堵住質(zhì)疑人士的嘴，還弄出一張嚴(yán)肅的過節(jié)證。。。（即使測試的年齡結(jié)果是這樣的）

總之，這些二三十的“兒童們”對于過節(jié)這件事情非常上心，熱情一點(diǎn)不比小朋友低~

但其實(shí)，這個充滿歡聲笑語的節(jié)日，還有一層顏色是凝重的灰色。它的初衷是為了悼念1942年6月10日的“利迪策慘案”和全世界所有在戰(zhàn)爭中死難的兒童。1942年6月10日，德國法西斯槍殺了捷克利迪策村16歲以上的男性公民140余人和全部嬰兒，并把婦女和90名兒童押往集中營，后者也鮮有人僥幸逃脫。

所以今天，宅宅也想和諸位聊一個有點(diǎn)嚴(yán)肅的話題---兒童數(shù)據(jù)泄露。

在戰(zhàn)爭年代有兒童被傷害，在和平年代，也同樣有很多兒童正在遭受數(shù)據(jù)泄露所帶來的風(fēng)險。

市面上過半 Android 應(yīng)用涉嫌侵犯兒童隱私

跟我們小時候不同，現(xiàn)在的小朋友一出生就生活在信息爆炸的年代（我沒有暴露年齡吧？），各類智能電子設(shè)備就是他們兒時的玩具，而商家們也絞盡腦汁在上面搭載豐富的應(yīng)用來獲取關(guān)注。

但是，這些眼花繚亂的應(yīng)用又有多少是考慮到了兒童數(shù)據(jù)安全的？有家研究機(jī)構(gòu)認(rèn)真的做了一波調(diào)查。

根據(jù)國際計算機(jī)科學(xué)研究所在今年的一份新研究報告，市面上起碼有過半的 Android 應(yīng)用，涉嫌違反了《兒童在線隱私保護(hù)法案》（COPPA），現(xiàn)在來說說這個結(jié)果是如何得出的。

研究人員首先開發(fā)并使用了一款自動化工具，對 5855 款標(biāo)記為“少兒或家庭軟件”的 Android 應(yīng)用進(jìn)行了分析，一共發(fā)現(xiàn)了 3337 款面向兒童或者家庭的手機(jī)軟件在違規(guī)采集少兒隱私信息。

其中，281 個是在并未獲得家長同意的條件下，違規(guī)采集少兒用戶的通訊錄和位置信息；另外1100個安卓軟件將少兒的隱私信息開放給了外部第三方使用（使用功能受到限制）；而剩下的2281款軟件涉嫌違反谷歌的使用條款（與分享持久性標(biāo)示符有關(guān)，可導(dǎo)致跨設(shè)備平臺的身份追蹤）。

在這些數(shù)據(jù)中，并未包含iOS平臺的手機(jī)軟件。

研究指出，通常蘋果 iOS 在第三方軟件獲取用戶隱私信息以及對外分享信息方面受到更加嚴(yán)格的管理，用戶隱私保護(hù)要好于安卓系統(tǒng)。

出現(xiàn)這種狀況的原因之一，是因?yàn)楣雀璧?nbsp;Android 是面向全球的開源的系統(tǒng)，各手機(jī)廠商可以自由修改定制，對于應(yīng)用的隱私管理規(guī)定，實(shí)際上掌握在這些手機(jī)廠商手中，而不是谷歌或是各國政府。

千萬別以為我這是在給 iOS 打call，蘋果的問題同樣嚴(yán)重！

iOS 問題也很嚴(yán)重，大量兒童隱私數(shù)據(jù)已在暗網(wǎng)上售賣

對于家長而言，不得不接受這樣一個現(xiàn)實(shí)---手機(jī)等智能設(shè)備正在越來越多的吸引孩子的注意力。

嗅覺靈敏的商家，早就看到了這塊巨大的市場，一款名為 TeenSafe 的監(jiān)管應(yīng)用就俘獲了不少家長的心，他們借此可以掌握小孩的所處位置以及知曉他們發(fā)送短信的習(xí)慣。

與普通的蘋果用戶不同，要想實(shí)現(xiàn)上述功能，必須雙方都下載這個應(yīng)用，而且必須關(guān)閉蘋果的雙重認(rèn)證功能，這樣才能更容易的登錄并查看到孩子的 iCloud 數(shù)據(jù)，這本是一個為了兒童安全而設(shè)計的應(yīng)用。

但不久前，一位安全研究員 Robert Wiggins 就發(fā)現(xiàn) ， TeenSafe 這款家長監(jiān)管應(yīng)用，是將兒童的數(shù)據(jù)存放在兩臺亞馬遜服務(wù)器上，而這些數(shù)據(jù)卻沒有被保護(hù)起來，已經(jīng)有幾千個賬戶信息被泄漏。其中一臺服務(wù)器保存的是測試數(shù)據(jù)，而另一臺中包含兒童的 Apple ID 郵箱地址和密碼，不僅是兒童的賬號密碼，一些家長的蘋果賬號恐怕也已經(jīng)泄露。

事件曝光后，TeenSafe 向媒體發(fā)表聲明稱，它們已經(jīng)關(guān)閉了相關(guān)服務(wù)器并開始向可能受到影響的客戶發(fā)出警告。

其實(shí)，TeenSafe 并不是第一個被曝光的家長監(jiān)管應(yīng)用，早在2015年，另一款針對兒童的安全應(yīng)用“mSpy”也曾暴露出嚴(yán)重的安全問題，在東窗事發(fā)前，這款標(biāo)榜“家長可以通過 mSpy 對小孩的移動設(shè)備進(jìn)行追蹤，7×24小時在線客服和256位加密更讓mSpy保障孩子安全”的應(yīng)用，受到大批父母青睞。

但隨后，安全研究人員發(fā)現(xiàn)，大量mSpy用戶的郵箱、短信、支付信息、位置等數(shù)據(jù)出現(xiàn)在“暗網(wǎng)”上，這直接導(dǎo)致數(shù)以千計的兒童數(shù)據(jù)陷入危險境地。

這還是被曝光出來的安全問題，但還有多少是黑客已經(jīng)掌握但還沒有被公布的，我們不得而知。

近兩年的兒童數(shù)據(jù)泄露事件

接下來，雷鋒網(wǎng)為大家盤點(diǎn)幾類兒童數(shù)據(jù)的安全事件，也許未來你或你的家人在考慮成為使用者時，會有更加理性的認(rèn)知。

2017年5月，一款名為“Cayla”的智能玩偶遭到了德國的禁售，引起了全球各地父母的擔(dān)憂，他們主要擔(dān)憂的一個潛在威脅就是：孩子和其他人之間的對話會被記錄并轉(zhuǎn)發(fā)。

而在稍早之前，聯(lián)網(wǎng)玩具 CloudPets 的生產(chǎn)商 Spiral Toys 就遭遇了數(shù)據(jù)泄漏事件，泄漏了超過兩百萬兒童及其父母的語音信息，以及超過 80 萬電子郵件和密碼。

2017年11月，挪威消費(fèi)者委員會（NCC）和安全公司 Mnemonic 發(fā)表的研究報告指出，在給孩子買 Gator 或者 Xplora 這種智能手表時，父母應(yīng)該三思。 因?yàn)橛脩艉驼莆沼脩魯?shù)據(jù)的公司之間沒有法律協(xié)議，在被調(diào)查的品牌手表中，沒有一款手表可以刪除孩子的數(shù)據(jù)，那些手表廠商也無法確保營銷人員不會用這些數(shù)據(jù)向孩子推銷產(chǎn)品。

更為嚴(yán)重的是，對于所有數(shù)據(jù)的存儲位置，商家也沒有明確說明。該報告的作者還擔(dān)心，這種智能手表向用戶灌輸了一種“錯誤的安全感”。兒童智能手表一貫推崇它具有緊急呼叫按鈕，在兒童遇到緊急狀況時，可以按此按鈕，分享他們的地理位置，這樣當(dāng)孩子離開了某個特定領(lǐng)域，父母可以收到警示。 

但事實(shí)上，這些功能在現(xiàn)實(shí)測試中被證明是“不可靠的”！

除了娛樂性的應(yīng)用和玩具，國外安全人員還發(fā)現(xiàn)了更加觸目驚心的情況---多家醫(yī)院的兒童病例信息和學(xué)校的學(xué)生檔案也正在被兜售！

黑客 “Skyscraper” 曾在2017年4月向媒體爆料，在暗網(wǎng)上有超過50萬份兒童病歷可供人下載。這些病歷包含了這些兒童及其父母的姓名、社會保險號、電話號碼以及住址。

雖然該媒體并未點(diǎn)名被黑客攻擊的機(jī)構(gòu)名稱，但它提到，除了醫(yī)院，還有多所小學(xué)系統(tǒng)被黑客攻擊，超過20萬份學(xué)生檔案被泄露。

說了這么多國外的情況，我國的狀況又如何？

據(jù)相關(guān)數(shù)據(jù)顯示，國內(nèi)教育 APP總量超過7萬個，約占全國APP市場份額的10%，其中，家長對于幼教類APP的花費(fèi)在教育類APP中位居榜首！這類軟件竊取用戶隱私的行為非常猖獗，追蹤用戶位置更會對兒童的人身安全造成顯著威脅。

而在未來，類似智能手表、智能玩具、智能音箱等包含有大量的身份信息甚至是互動信息的物聯(lián)網(wǎng)設(shè)備，將越來越多的進(jìn)入到兒童的生活中，針對數(shù)據(jù)泄漏的問題，也許歐洲剛剛出臺的 GDPR（通用數(shù)據(jù)保護(hù)條例）對我們有些參考作用。

GDPR 對未成年人的數(shù)據(jù)保護(hù)有特殊要求，它規(guī)定企業(yè)和組織必須取得父母的同意，才能處理 16 歲以下兒童的個人數(shù)據(jù)，這意味著，未來取得兒童的數(shù)據(jù)將變得更為困難，而父母作為監(jiān)護(hù)人也將承擔(dān)更大的責(zé)任。

其實(shí)，今天正好是《中華人民共和國網(wǎng)絡(luò)安全法》正式施行一周年，在去年的今天，與《網(wǎng)絡(luò)安全法》同步施行的還有最高人民法院和最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），《解釋》中明確了“公民個人信息”的范圍，以及非法獲取公民個人信息的認(rèn)定標(biāo)準(zhǔn)及量刑標(biāo)準(zhǔn)等。

未來，如果你認(rèn)為自己或者家人的個人信息受到了侵犯，可以拿起法律武器保護(hù)自己?，F(xiàn)在，宅宅把其中重點(diǎn)的內(nèi)容整理如下：

第一，擴(kuò)大“公民個人信息”范圍并明確處理罰則。電商、社交、搜索、地圖、直播、云等，收集使用的用戶行蹤軌跡等活動情況以及全平臺賬號密碼信息被納入“公民個人信息”范圍，未來，大家可以根據(jù)具體情況來根據(jù)法律條例找到標(biāo)尺和抓手。

第二，收集個人信息，需讓用戶“知情同意”。“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意”。

第三，在提供互聯(lián)網(wǎng)服務(wù)的同時，要有能力采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

目前，國內(nèi)的這兩部法規(guī)都從能夠獲取用戶個人信息的互聯(lián)網(wǎng)企業(yè)及個人，到獲取信息后的可處理方式等做了規(guī)范，但對于針對違法獲取和處理兒童信息，還沒有具體的處罰措施，所以未來針對兒童的數(shù)據(jù)安全仍然任重而道遠(yuǎn)。

雷鋒網(wǎng) VIA 電腦報、freebuf

最后，希望這篇有些嚴(yán)肅的文章沒有影響各位過節(jié)的心情，在這里，還是要祝愿各位寶寶節(jié)日快樂，特此奉上雷鋒網(wǎng)的兒童節(jié)海報一張，好了，我去吃零食了~

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。