Połączone zabawki
Zabawki podłączone do sieci to urządzenia z dostępem do internetu i wbudowanymi funkcjami Wi-Fi , Bluetooth lub innymi. Te zabawki, które mogą być inteligentnymi zabawkami lub nie , zapewniają dzieciom bardziej spersonalizowaną zabawę dzięki wbudowanemu oprogramowaniu, które może oferować integrację aplikacji, mowę i/lub rozpoznawanie obrazu , funkcjonalność RFID oraz funkcje wyszukiwania w sieci . Podłączona zabawka zwykle zbiera informacje o użytkownikach dobrowolnie lub nie, co budzi obawy dotyczące prywatności. Dane zbierane przez połączone zabawki są zwykle przechowywane w bazie danych, w której firmy produkujące połączone zabawki mogą wykorzystywać dane do własnych celów, pod warunkiem, że robią to zgodnie z zabezpieczeniami określonymi w ustawie o ochronie prywatności dzieci w Internecie (COPPA ) .
Zbieranie informacji
Rodzaje informacji, które mogą być gromadzone
Zabawki dla dzieci mogą gromadzić różne informacje, w tym informacje od rodziców i dzieci.
Informacje, które można zbierać od dzieci, obejmują:
- Data urodzenia, imię i płeć
- Zdjęcia profilowe
- Wiadomości głosowe , wiadomości na czacie i zdjęcia przesłane przez dzieci
- Hasła do kont
- Lokalizacja fizyczna
- Historia czatów i historia przeglądania Internetu
Informacje, które można zebrać od rodziców, obejmują:
- Adres e-mail i adres pocztowy
- Płeć
- Zdjęcia profilowe
- Wiadomości głosowe, wiadomości na czacie i zdjęcia przesłane przez rodziców
- Hasła do kont i pytania dotyczące odzyskiwania hasła
- Informacje o karcie kredytowej
- Numer telefonu
- Hasła Wi-Fi i adresy IP
Typowe sposoby zbierania
Zbieranie informacji przez połączone zabawki może odbywać się dobrowolnie lub mimowolnie. Typowe sposoby zbierania informacji obejmują:
- Informacje wypełniane przez użytkowników podczas zakładania konta
- Interakcja z zabawkami
- Połączenie z Wi-Fi lub sieciami komórkowymi
Istnieją obawy, że dane dzieci nie są odpowiednio zabezpieczone z powodu wcześniejszych naruszeń danych . Informacje zbierane przez firmy zabawkarskie są zwykle dostępne dla ogółu społeczeństwa przy niewielkim stopniu szyfrowania w systemie ze względu na brak świadomości w zakresie prywatności informacji .
Poprzednie naruszenia danych
Połączone zabawki były w centrum kilku głośnych naruszeń danych, które wzbudziły obawy co do metod stosowanych przez firmy zabawkarskie do ochrony danych dzieci.
Wyciek danych CloudPets
W 2017 roku zabawki CloudPets firmy Spiral Toys doświadczyły znacznego wycieku danych w swojej bazie danych. CloudPets przechowuje wszystkie informacje zebrane z wypchanych zabawek w internetowej bazie danych. Według ds. cyberbezpieczeństwa , Troya Hunta, podczas poważnego naruszenia danych CloudPets ujawniono ponad 820 000 kont użytkowników i ponad 2,2 miliona wiadomości głosowych, zarówno od dzieci, jak i rodziców. Przyczyną wycieku danych była niepewna baza danych, której Spiral Toys używała do przechowywania zebranych informacji. Baza danych była łatwo dostępna dla ogółu społeczeństwa, zanim doszło do wycieku danych.
Chociaż baza danych nie jest już publicznie dostępna, firma Spiral Toys nie poinformowała swoich użytkowników o wycieku danych, co stanowi naruszenie prawa powiadamiania o naruszeniu bezpieczeństwa w Kalifornii .
Wyciek danych VTech
W listopadzie 2015 r. firma VTech doznała poważnego naruszenia danych w swoim systemie przechowywania informacji, w którym haker użył wstrzyknięcia SQL , czyli „ataku polegającego na wstrzyknięciu, w którym osoba atakująca może wykonać złośliwe instrukcje SQL (powszechnie określane również jako złośliwy ładunek ) , które kontrolują serwer bazy danych aplikacji webowej (powszechnie nazywany Systemem Zarządzania Relacyjną Bazą Danych – RDBMS )”, aby uzyskać pełne uprawnienia do bazy danych, w której ma dostęp do danych osobowych dzieci i rodziców .
Według danych opublikowanych przez VTech, w kilku jej produktach na całym świecie wyciekło około 4,8 miliona kont rodziców i około 6,4 miliona profili związanych z dziećmi. Dane, które zostały naruszone podczas naruszenia, obejmowały imię i nazwisko, adres e-mail, hasło, tajne pytanie i odpowiedź w celu odzyskania hasła, adres IP, adres pocztowy i historię pobierania; w tej samej bazie danych nie były przechowywane żadne informacje o kartach kredytowych ani numery ubezpieczenia społecznego. Najbardziej ucierpiały Stany Zjednoczone z powodu naruszenia danych, gdzie zarejestrowano 2,2 miliona kont rodziców i 2,9 miliona profili dzieci, a następnie Francja, Wielka Brytania i Niemcy. Za włamanie aresztowano 21-letniego mężczyznę z Berkshire.
Udostępnianie danych
Wymiana danych między producentami zabawek a innymi przedsiębiorstwami wzbudziła obawy dotyczące prywatności danych osobowych gromadzonych przez połączone zabawki. Rozmowy i interakcje między dziećmi a zabawkami są zazwyczaj rejestrowane przez zabawki i przesyłane na serwer w chmurze producenta zabawek.
Firma zabawkarska, która wyprodukowała My Friend Cayla i i-Que Intelligent Bot, Genesis Toys, udostępnia swoje dane głosowe zebrane przez zabawki firmie Nuance Communications w celu ulepszenia technologii rozpoznawania mowy. Firma Nuance Communications ma doświadczenie w sprzedaży biometrycznych agencjom wojskowym, wywiadowczym i organom ścigania, co bierze pod uwagę kwestie prywatności dotyczące podłączonych zabawek.
Podobnie Hello Barbie wyprodukowana przez firmę Mattel, Inc. wykorzystuje technologie rozpoznawania głosu dostarczane przez firmę ToyTalk z siedzibą w Kalifornii. Dane zbierane przez Hello Barbie są aktywnie udostępniane między firmami Mattel i ToyTalk.
Przechowywanie danych
Problemem do rozważenia jest również przechowywanie danych zebranych przez podłączone zabawki. Zgodnie z ustawą o ochronie prywatności dzieci w Internecie „Operator witryny internetowej lub usługi online przechowuje dane osobowe dziecka zebrane online tylko tak długo, jak jest to rozsądnie konieczne do osiągnięcia celu, dla którego informacje zostały zebrane. Operator musi usunąć takich informacji przy użyciu rozsądnych środków w celu ochrony przed nieupoważnionym dostępem lub wykorzystaniem informacji w związku z ich usunięciem”.
Norweska Rada Konsumentów przeprowadziła dochodzenie w sprawie warunków użytkowania i polityki prywatności My Friend Cayla i i-Que Intelligent Bot w 2016 roku. Okazało się, że polityki prywatności nie wspominają konkretnie, jak długo dane będą przechowywane po zaprzestaniu korzystania przez użytkowników usługi lub usunąć konto. W szczególności polityka prywatności My Friend Cayla wspomina, że „nie zawsze jest możliwe całkowite usunięcie lub wykasowanie wszystkich informacji z naszych baz danych bez pozostałości danych z powodu kopii zapasowych i innych powodów”.
Zakaz My Friend Cayla w Niemczech
Na początku 2017 roku niemiecka Federalna Agencja Sieci, Bundesnetzagentur , wprowadziła zakaz sprzedaży i posiadania podłączonej zabawki My Friend Cayla wyprodukowanej przez Genesis Toys, twierdząc, że zabawka jest niebezpiecznym i nieautoryzowanym urządzeniem do przesyłania informacji. My Friend Cayla to pierwsza połączona zabawka, która została zakazana w Niemczech. Agencja stwierdza ponadto, że każda zabawka, która przesyła dane, w tym funkcje takie jak nagrywanie wideo i głosu, bez wykrycia, jest zakazana w Niemczech. Jest zaniepokojony potencjalnym wykorzystaniem zabawki jako urządzenia monitorującego. Prezes Bundesnetzagentur, Jochen Homann, stwierdza, że „przedmioty, które ukrywają kamery lub mikrofony i które są w stanie transmitować sygnał, a zatem mogą przesyłać dane bez wykrycia, naruszają prywatność ludzi. Dotyczy to w szczególności zabawek dla dzieci. Lalka Cayla ma został zakazany w Niemczech. Ma to również na celu ochronę najsłabszych w naszym społeczeństwie”.
Agencja prowadzi dalsze dochodzenia w sprawie innych powiązanych zabawek. Nie podjęto żadnych działań wobec rodzin, które mają zabawkę. Federalna Agencja Sieci poradziła rodzicom, aby natychmiast zniszczyli zabawkę, aby uniknąć potencjalnego ryzyka naruszenia prywatności danych osobowych .
Przepisy federalne powszechnie kojarzone z zabawkami połączonymi z siecią obejmują ustawę o ochronie prywatności dzieci w Internecie (COPPA) oraz sekcję 5 ustawy o Federalnej Komisji Handlu . Obie ustawy są egzekwowane przez Federalną Komisję Handlu w zakresie gromadzenia danych osobowych dzieci.
Ustawa o ochronie prywatności dzieci w Internecie
Zabawki, które mogą łączyć się z Internetem na różne sposoby, podlegają przepisom ustawy o ochronie prywatności dzieci w Internecie (COPPA). COPPA daje rodzicom kontrolę nad tym, jakie informacje są zbierane od ich dzieci w Internecie. Witryny internetowe są zobowiązane do uzyskania weryfikowalnych pozwoleń od rodziców przed otrzymaniem jakichkolwiek danych osobowych online od dzieci poniżej 13 roku życia. Jeśli dane są przekazywane stronie trzeciej, strona trzecia jest zobowiązana do podjęcia tych samych kroków w celu ochrony danych. Naruszenie przepisów COPPA podlega karom cywilnym w wysokości do 40 654 USD za incydent.
Pojawiły się obawy dotyczące ochrony COPPA dla podłączonych zabawek, ponieważ zabawki kupowane w sklepach detalicznych nie podlegają bezpośrednio ochronie prawnej COPPA.
Inne powody do niepokoju dotyczą przestrzegania przepisów ustawy COPPA przez powiązane firmy produkujące zabawki. Elektroniczne Centrum Informacji o Prywatności , Kampania na rzecz Dzieciństwa Wolnego od Komercji , Centrum Demokracji Cyfrowej i Unia Konsumentów złożyły skargę do Federalnej Komisji Handlu w związku z tym, jak My Friend Cayla i I-Que Intelligent Bot wyprodukowane przez Genesis Toys naruszyły prawa COPPA. W skardze wspomniano o udostępnianiu danych między Genesis Toys i Nuance Communications . Ponadto dotyczy to tego, że firma Nuance Communications nie wspomina bezpośrednio o zgodności z ustawą COPPA.
Sekcja 5 Ustawy o Federalnej Komisji Handlu
- „Nieuczciwe lub oszukańcze działania lub praktyki w handlu lub wpływające na handel” zostały uznane za niezgodne z prawem na mocy sekcji 5 Ustawy o Federalnej Komisji Handlu. Federalna Komisja Handlu wykorzystała swoją sekcję 5 do ochrony prywatności i danych osobowych konsumentów. Firmy zajmujące się zabawkami połączonymi mogą potencjalnie naruszyć ustawę o FKH, niewłaściwie gromadząc, chroniąc i niewłaściwie wykorzystując dane i informacje zebrane przez zabawki.