在珠三角地区聚集了很多儿童智能手表厂家。有些厂家为了以低廉的价格吸引买家，不把用户隐私当回事：肆意收集各类用户隐私信息，用户却毫不知情；没有为产品制定隐私政策；用户无法注销账户；有的儿童智能手表还存在严重的安全隐患，攻击者可以直接获取儿童的实时位置和个人信息，在父母不知情的情况下联系到儿童。

欧盟的一起儿童智能手表召回事件，为这些厂商敲响了警钟：以牺牲用户隐私和安全为代价的产品创收模式，今后可能走不通了。

年初，欧盟宣布全面召回由德国品牌ENOX推出的Saft-KID-One儿童智能手表。这是有史以来欧盟第一起因数据隐私问题而召回一件产品。据外媒报道，该款手表以不加密的方式和服务器通讯，使不法分子能够轻易取得服务器上的数据，对佩戴者的位置数据、电话号码、手表序号等隐私信息进行截取或修改。家长为了保护孩子安全而购买此类产品，结果却可能适得其反。

物联网时代，产品功能与用户的个人数据越来越紧密相连。同时，用户也更加重视对个人隐私的保护，尤其当涉及支付、音视频、社交、家庭数据和儿童数据时，用户倾向于使用更安全、更尊重用户隐私的产品。

欧盟《通用数据保护条例》（GDPR），以及全球其他国家和地区逐渐完善的隐私保护相关政策法案，也督促厂商以更负责的方式去设计和生产出更安全的产品。

GDPR于2018年5月25日强制实施。在实施后的半年内，欧盟各国的数据保护委员会（DPA）收到近10 万起用户投诉，以及数据处理者上报的4 万多起数据泄漏事故。

2019年1月21日，美国谷歌公司违反了数据隐私保护相关规定，法国数据保护局CNIL将对其处以5,000万欧元罚款

Knuddels.de没有对密码等个人敏感信息进行任何形式的保护，而是以明文形式存储，被Baden-Württemberg数据保护局罚款20,000欧元

葡萄牙一家名为Barreiro的医院因其“未将临床数据的访问权限分开”，对患者数据的保护不当被处以40万欧元的罚款

▲ 图片来源：欧盟官方期刊

概括来说，服务提供商必须至少做到以下三点：

1．给予用户拒绝收集和处理用户数据的权利，包括：拒绝利用该数据进行用户画像、产品优化

2．默认关闭此类功能，并确保用户数据不会被用于服务范围以外，包括且不限于：非法出售获取利益、精准广告投放等

3．采用匿名化等技术手段保护用户隐私

智能产品直接与用户进行交互，是获取用户个人数据的入口。欧盟的个人用户与买家普遍越来越关注智能产品是否符合GDPR 的数据保护要求。产品如果不能满足数据保护要求，不但很可能面临欧盟数据保护委员会的罚款，还会影响欧盟买家对产品的认可度。

捡证网提供相关检测认证咨询服务，咨询电话：13636483412  QQ: 495226609

邮箱：yangda@jz-cert.com