六一儿童节的初衷是为了悼念1942年6月10日的“利迪策惨案”和全世界所有在战争中死难的儿童。1942年6月10日，德国法西斯枪杀了捷克利迪策村16岁以上的男性公民140余人和全部婴儿，并把妇女和90名儿童押往集中营，后者也鲜有人侥幸逃脱。

　　跟我们小时候不同，现在的小朋友一出生就生活在信息爆炸的年代（我没有暴露年龄吧？），各类智能电子设备就是他们儿时的玩具，而商家们也绞尽脑汁在上面搭载丰富的应用来获取关注。

　　根据国际计算机科学研究所在今年的一份新研究报告，市面上起码有过半的 Android 应用，涉嫌违反了《儿童在线隐私保护法案》（COPPA），现在来说说这个结果是如何得出的。

　　研究人员首先开发并使用了一款自动化工具，对 5855 款标记为“少儿或家庭软件”的 Android 应用进行了分析，一共发现了 3337 款面向儿童或者家庭的手机软件在违规采集少儿隐私信息。

　　其中，281 个是在并未获得家长同意的条件下，违规采集少儿用户的通讯录和位置信息；另外1100个安卓软件将少儿的隐私信息开放给了外部第三方使用（使用功能受到限制）；而剩下的2281款软件涉嫌违反谷歌的使用条款（与分享持久性标示符有关，可导致跨设备平台的身份追踪）。

　　研究指出，通常苹果 iOS 在第三方软件获取用户隐私信息以及对外分享信息方面受到更加严格的管理，用户隐私保护要好于安卓系统。

　　出现这种状况的原因之一，是因为谷歌的 Android 是面向全球的开源的系统，各手机厂商可以自由修改定制，对于应用的隐私管理规定，实际上掌握在这些手机厂商手中，而不是谷歌或是各国政府。

　　嗅觉灵敏的商家，早就看到了这块巨大的市场，一款名为 TeenSafe 的监管应用就俘获了不少家长的心，他们借此可以掌握小孩的所处位置以及知晓他们发送短信的习惯。

　　与普通的苹果用户不同，要想实现上述功能，必须双方都下载这个应用，而且必须关闭苹果的双重认证功能，这样才能更容易的登录并查看到孩子的 iCloud 数据，这本是一个为了儿童安全而设计的应用。

　　但不久前，一位安全研究员 Robert Wiggins 就发现 ， TeenSafe 这款家长监管应用，是将儿童的数据存放在两台亚马逊服务器上，而这些数据却没有被保护起来，已经有几千个账户信息被泄漏。其中一台服务器保存的是测试数据，而另一台中包含儿童的 Apple ID 邮箱地址和密码，不仅是儿童的账号密码，一些家长的苹果账号恐怕也已经泄露。

　　事件曝光后，TeenSafe 向媒体发表声明称，它们已经关闭了相关服务器并开始向可能受到影响的客户发出警告。

　　其实，TeenSafe 并不是第一个被曝光的家长监管应用，早在2015年，另一款针对儿童的安全应用“mSpy”也曾暴露出严重的安全问题，在东窗事发前，这款标榜“家长可以通过 mSpy 对小孩的移动设备进行追踪，7×24小时在线位加密更让mSpy保障孩子安全”的应用，受到大批父母青睐。

　　但随后，安全研究人员发现，大量mSpy用户的邮箱、短信、支付信息、位置等数据出现在“暗网”上，这直接导致数以千计的儿童数据陷入危险境地。

　　接下来，雷锋网为大家盘点几类儿童数据的安全事件，也许未来你或你的家人在考虑成为使用者时，会有更加理性的认知。

　　2017年5月，一款名为“Cayla”的智能玩偶遭到了德国的禁售，引起了全球各地父母的担忧，他们主要担忧的一个潜在威胁就是：孩子和其他人之间的对话会被记录并转发。

　　而在稍早之前，联网玩具 CloudPets 的生产商 Spiral Toys 就遭遇了数据泄漏事件，泄漏了超过两百万儿童及其父母的语音信息，以及超过 80 万电子邮件和密码。

　　2017年11月，挪威消费者委员会（NCC）和安全公司 Mnemonic 发表的研究报告指出，在给孩子买 Gator 或者 Xplora 这种智能手表时，父母应该三思。 因为用户和掌握用户数据的公司之间没有法律协议，在被调查的品牌手表中，没有一款手表可以删除孩子的数据，那些手表厂商也无法确保营销人员不会用这些数据向孩子推销产品。

　　更为严重的是，对于所有数据的存储位置，商家也没有明确说明。该报告的作者还担心，这种智能手表向用户灌输了一种“错误的安全感”。儿童智能手表一贯推崇它具有紧急呼叫按钮，在儿童遇到紧急状况时，可以按此按钮，分享他们的地理位置，这样当孩子离开了某个特定领域，父母可以收到警示。

　　除了娱乐性的应用和玩具，国外安全人员还发现了更加触目惊心的情况---多家医院的儿童病例信息和学校的学生档案也正在被兜售！

　　黑客 “Skyscraper” 曾在2017年4月向媒体爆料，在暗网上有超过50万份儿童病历可供人下载。这些病历包含了这些儿童及其父母的姓名、社会保险号、电话号码以及住址。

　　虽然该媒体并未点名被黑客攻击的机构名称，但它提到，除了医院，还有多所小学系统被黑客攻击，超过20万份学生档案被泄露。

　　据相关数据显示，国内教育 APP总量超过7万个，约占全国APP市场份额的10%，其中，家长对于幼教类APP的花费在教育类APP中位居榜首！这类软件窃取用户隐私的行为非常猖獗，追踪用户位置更会对儿童的人身安全造成显著威胁。

　　而在未来，类似智能手表、智能玩具、智能音箱等包含有大量的身份信息甚至是互动信息的物联网设备，将越来越多的进入到儿童的生活中，针对数据泄漏的问题，也许欧洲刚刚出台的 GDPR（通用数据保护条例）对我们有些参考作用。

　　GDPR 对未成年人的数据保护有特殊要求，它规定企业和组织必须取得父母的同意，才能处理 16 岁以下儿童的个人数据，这意味着，未来取得儿童的数据将变得更为困难，而父母作为监护人也将承担更大的责任。

　　其实，今年6月1日正好是《中华人民共和国网络安全法》正式施行一周年，在去年的今天，与《网络安全法》同步施行的还有最高人民法院和最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），《解释》中明确了“公民个人信息”的范围，以及非法获取公民个人信息的认定标准及量刑标准等。

　　未来，如果你认为自己或者家人的个人信息受到了侵犯，可以拿起法律武器保护自己。现在，宅宅把其中重点的内容整理如下：

　　第一，扩大“公民个人信息”范围并明确处理罚则。电商、社交、搜索、地图、直播、云等，收集使用的用户行踪轨迹等活动情况以及全平台账号密码信息被纳入“公民个人信息”范围，未来，大家可以根据具体情况来根据法律条例找到标尺和抓手。

　　第二，收集个人信息，需让用户“知情同意”。“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”。

　　第三，在提供互联网服务的同时，要有能力采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

　　第一，扩大“公民个人信息”范围并明确处理罚则。电商、社交、搜索、地图、直播、云等，收集使用的用户行踪轨迹等活动情况以及全平台账号密码信息被纳入“公民个人信息”范围，未来，大家可以根据具体情况来根据法律条例找到标尺和抓手。

　　第二，收集个人信息，需让用户“知情同意”。“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意”。

　　第三，在提供互联网服务的同时，要有能力采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

　　目前苹果双重认证id账号恢复流程，国内的这两部法规都从能够获取用户个人信息的互联网企业及个人，到获取信息后的可处理方式等做了规范，但对于针对违法获取和处理儿童信息，还没有具体的处罚措施，所以未来针对儿童的数据安全仍然任重而道远。