物联网隐私风险控制策略范文

一、物联网隐私风险主要特征

隐私概念深深地植入人类现代文明中。对隐私保护的关注已经证明是影响物联网技术发展的一个显著屏障。事实上，物联网上的数据采集、挖掘和提供以完全不同于我们现在所知道的方式进行。物联网对个人数据采集数量惊人。对于公众个体而言，自身很难控制个人信息不被披露。随着信息存储成本持续下降，信息一旦产生，将可能被永远保留，从而“拒绝数字遗忘”。物联网意味一种潜在的环境：个人隐私以多种方式受到威胁。物联网隐私风险主要特征表现在：

1.存在上的必然性当越来越多的日常物体都贴上无线射频识别（RFID）标签时，物联网隐私问题具有泛在性和必然性，无时不在，无处不在，涵盖物联网系统中个人数据的使用、存储和采集等方面。物联网技术的目的是让人生活得更美好，让环境更适应人。而让环境更适应人的前提是获悉人的生活习惯、偏好、精神状态、地理位置、健康状况、身份等“隐私”信息。配置有传感器、摄像头等物联网设备的环境可以监测所有人或物的运动、温度、湿度、声音、光线等方面。所有的数据可以通过在线数据库存储。通过数据分析、挖掘技术可以搜索到这些数据以发现相关的模式，对人或物的行为做出预测，以提供符合个人偏好的产品或服务。物联网技术渗透到社会的方方面面，每个人都是物联网技术的接受者和被接受者，都是物联网技术的用户。这些数据和信息的采集、通信传输、分析计算需要以一种不干扰他人生活、通信自动的、人性化的方式进行。从技术上讲，私人生活、家庭生活、家居生活和公共生活无任何秘密可言。所以，生活更美好与隐私风险就如同一枚硬币的两面：同时存在而又不可避免。

2.操作上的非自主性以无线射频识别技术为代表的物联网技术有令人不安之处：主要集中在自动收集个人数据，这些数据在没有经过当事人同意的情况下有可能被第三方使用，从而对公民的隐私和人身安全产生威胁。在进入安装有传感器网络地域的时候，个人不能控制、难以选择他们的何种信息正被采集和处理，没有自决权。例如，某一地域安装有摄像头组成的传感器网络，个人避开摄像头摄取其图像的唯一方法就是不进入该地域。虽然可以将个人头像进行模糊处理以保护他们的隐私，但是图像复原技术仍然能够按原样重新修复相关人员的头像。操作上非自主性还表现在信息采集上的隐秘、无处无时不在的监控和泛在的传播等方面。个人可能对这些“被观察”、“被跟踪”、“被分析”、“被定位”等全然不知。数据采集过程本身很可能就是技术暗箱。事实上不可能详细地知道谁采集数据，数据转发给谁，他们使用的目的是什么。任何涉及隐私的通信，任何私人的接触，任何信息都会在任何时间被捕获、被复制。

3.安全上的脆弱性在物联网环境中，隐私将受到更大的威胁：大量的微系统参与到高动态、自组织的物联网。物联网感知层、通信层和应用层任何一方面都可能成为攻击的对象。系统越复杂越脆弱。一旦系统被侵入，就发生多米诺骨牌效应，隐私信息一览无余。首先，物联网感知系统在大部分时间里无人值守，容易受到物理攻击；其次，大多数通信是有线的，极易被窃听（即使是无线的，通信也有可能被截取）；最后，就能耗和计算资源（特别在无源组件情形）而言，大部分物联网组件计算能力较低，它们不能实施复杂的方案以支持安全。更具体地说，与安全有关的主要问题是认证和数据完整性问题。以认证为例，它常常需要合适的认证基础设施和服务器，通过和其他节点进行合适的信息交换以实现其目标。在物联网情境下，如果无源无线射频识别标签不能和认证服务器交换很多信息的话，这些方法就不能得到应用。同样的道理也适用于传感器节点。

4.认知上的差异性作为一种现象，信息隐私可能与文化有关。大量有关隐私的研究文献表明隐私风险感知因国别而异。不同的文化中，公众对隐私风险做出不同的反应。这就意味着隐私风险蕴含着不同的利益取向、标准和价值观。就国家和地区而言，美国、欧盟制定了相对严格的隐私规范。而亚洲国家公众的隐私观念相对淡薄。即使就欧盟成员国来说，公众对隐私的认知也有差异。根据欧盟委员会报告，66%的顾客要求商场明确标明商品是否采用无线射频识别标签。74%的雇员关心雇主是否用无线射频识别跟踪其行为。然而，在跟踪危险物品时，公众更乐意接受无线射频识别的使用。认为隐私保护方法重要、需要采取技术措施对商品实行保护的占70%，认为隐私意识需要提高的占67%，认为法律制度重要的占55%。多数人认为共同标准和规范能提高隐私保护水平，也有很多受访者相信研究的重点是隐私增强技术。尽管欧盟成员国已经制定了广泛的数据保护法，但是一些调查者指出隐私问题的根源在于缺乏统一标准。一些调查者提出制定特别法。还有些调查者提出应对无线射频识别技术进行风险评估。随着信息和通信技术的迅速发展，公众对“隐私究竟是什么”的问题越来越困惑。隐私到底是什么？概括而言，隐私是一种权利、商品、“隐匿、独处、保留、亲密”的生活状态、控制。但是公众对于隐私的观念因人而异。以隐私是一种权利为例，公众在权利的内容、重要性以及经营者应遵守的隐私保护义务和禁令及其重要性等方面存在差异。除此之外，认知上的差异性很大程度上归因于信息的不对称性。

二、物联网隐私风险的技术控制策略

物联网隐私威胁来自信息和通信技术的进步，大多数研究者和技术开发者首先从技术层面考虑对隐私风险的控制。

1.隐私保护增强技术物联网的隐私风险一方面来源于互联网和IT基础结构提出的安全问题，比如蠕虫、拒绝式服务攻击、身份窃取、病毒等；另一方面来源于新的技术挑战，比如无线射频识别技术。读取器和标签可以隐匿式地嵌入物品。通过这种方式，可以静悄悄地识别和跟踪携带有无线射频识别标签的人。因而无线射频识别技术的扩散会带来严重的数据保护问题。为了维持数据的机密性，需要新的机制来限制获取存储在物体（比如无线射频识别）上的信息。需要进一步控制是否允许物体在任何时间或者特定时间接入（连接、传输或接收）物联网。因此，为了确保信息的机密性和完整性，需要提供防止未授权获取、编辑数据的机制（比如端对端编码、使用数字签名等）。目前隐私增强技术主要有虚拟专用网、传输层安全、DNS安全扩展、洋葱路由加密等。在行业实践中，EPCglobal提出使用无线射频识别技术的准则。但是这些准则存在缺陷，原因是有两个主要的隐私———个人隐私和位置隐私容易被标签泄露。其解决办法有：灭活标签（用32位密码完成）、暂时废止标签法（让标签休眠，然后发送密码来激活它）、动态改变标识符法、重新标记标签法、最低限度地加密法（标签包含一个假名的集合，基于读取器的查询释放不同的假名）、重新加密法、静电屏蔽法（将标签隔离于任何电磁波）、有源干扰法（让RF射频通道挤满无线信号以致标签隔离于电磁波）、标签信号拦截法等。另一种增强安全和隐私保护的方法是对等（Peer-to-Peer,P2P）网络系统，客户身份认证可以通过共享机密或使用公共密钥实现加密。标签的存废需要由用户来决定。无线射频识别标签要么放在受保护的“法拉第笼”的铝箔网（特定频率的无线电信号无法穿越）中，要么“灭活”，即将它们移除和销毁。这两种方法都有一定的缺点。虽然把标签放在特制的笼中相对安全，但是将每个产品上的标签放置在笼中，增加了使用标签的繁琐程度。客户有可能携带标签而不知悉。因此，用户依然被跟踪。虽然在物联网情境中，灭活选择是最有效的防止隐私泄露的方法，它可以永远阻绝任何使用无线射频识别的意图，但是灭活方案也存在问题：发送“灭活”指令到标签，这为标签重新激活留下空间，或者一些标识信息留在标签里。此外，企业为了保留个人隐私信息，可能为不销毁标签的用户提供奖励，使得隐私泄露成为可能。还有一种方法是解除标签和识别对象之间的连接而不用灭活标签。比如将对象命名服务（ONS）上的信息删除以保护用户的隐私。虽然标签可以依旧读取，但是不能检索有关个人的进一步潜在信息。

2.身份管理技术隐私增强技术的标签方案常常是基于自动授权访问标签读取器的应用程序。标签要能够执行复杂的加密功能（取决于加密技术的应用）、后台数据库或公共密钥管理基础设施。该方法可以阻拦读取未经授权的无线射频识别标签，但是并没有给用户提供控制或通知的可能性，这就需要一种身份上的管理。身份管理有两种方案：和假名。方案旨在以一种智能的方式为用户或标签所有权人处理授权行为，而将隐私管理功能赋予工具。这些工具可以执行不同的任务，从提供读取进程、拦截无线射频识别通信的信息到复杂的依赖语境的管理个人隐私偏好，相应地选择允许或干扰无线射频识别通信。这一功能可以由数字助理来执行，其核心是用户配置方案。用户配置方案关联到用户的通知或同意。当标签所有权人离开商店，用户配置方案建议锁定无线射频识别标签，将锁定程序直接交给所有权人控制（所有权人可以选择一个密码用来锁定或批准访问）。用户配置方案在实践中并不可行，因为配置方案可能增加硬件要求，也增加了系统复杂性，没有可操作性。工具概念也仅仅是能够祛除一些隐私威胁，保护无线射频识别通信。然而，该概念也存在脆弱性和危险。的隐私偏好管理降低或消除用户直接认知。如果错误地解释用户的偏好或者没有觉察到损坏的工具，将会降低技术的效率和信任。大数据挖掘能提供有价值的隐私信息，会增加隐私风险。因而有效的避免隐私风险问题方法是移除数据之间的链接、对数据进行匿名或假名处理。而这种身份管理技术意味着对物联网系统的构成和功能施加诸多限制。匿名仅仅在传统的服务方面提供形式上的意义。例如，对于信息服务访问，用户必须主动查询。但是在物联网环境下，这些情况并不可行，因为提供匿名服务的技术过于复杂。物联网环境下需要假名来关联用户配置。这种方法优点在于假名可以使职业等信息从隐私生活中隔离开来，或者通过定期创建新的身份以防止不同时期的数据相互关联。该框架允许用户完全控制配置文件，并提供零选择。零选择意味着能够防止任何物联网的交互行为；在一个隐私兼容的物联网环境，零选择可以理解为拒绝任何数据采集行为。同时，对于在同一地点出现几个同一的身份，必须对这些身份加以限制。在当前的信息系统中，该方法的有效性也受到极大的限制。越来越强大而有效力的海量数据分析和挖掘技术在很大程度上抵消假名功能，并限制假名所提供的保护。在互动连接中，假名必须具有排他性。这就意味着身份识别方法不能并行应用，不能存储声音或录像信息，因为这些数据可以进行生物识别。匿名或假名限制传感器的能力及其利用，如果物联网系统内采用匿名或假名身份管理，就会与物联网效率目的不兼容。身份管理也不能为个人数据提供充分的保护。虽然身份管理可能有助于减轻个人对任何数据记录行为同意的烦扰行为，但是个人数据助理可以存储个人的隐私偏好，并有可能永久同意或不同意数据采集行为这一方式。万维网联盟（W3C）的“列明隐私偏好平台”就是一个典型的技术例子。是否同意数据采集、处理等行为将取决于各自物联网系统的隐私政策是否与用户偏好一致。这个概念原则上可以转移到物联网应用，但是在互联网领域这是一个失败的方法。万维网联盟缺乏兴趣，没有进一步研发，也对在物联网环境是否能应用成功有疑问。

3.数字权利管理技术数字权利管理可以规定一个特殊的数据隐私政策，决定谁可以使用数据，以及如何使用。从理论上讲，将数字权利管理技术扩展到物联网系统的好处是，构建更为隐私友好的系统设计，例如通过集成新的维度，比如“附近”或“位置”。以“附近”为例，如果其主人在场，内置的辅助设备可以自动运行或访问存储信息。“位置”意味着会议桌可以将过去讨论的信息提供给会议室里的人（仅限于会议室这一地域，远程发起的信息请求被拒绝，从而保护隐私信息）。数字权利管理技术可以让机密数据自由流动，并依旧保护那些数据，不把信息空间留给他人，也不允许他人超越赋予的使用边界。数字权利管理技术也是缺乏可行性的，因为它不能解决同意问题。试图限制数据使用的意图要么注定失败，要么承担新的、不能接受的社会风险。主要原因在于，数字权利管理技术需要高强度的加密技术。加密是一柄双刃剑，它有利于隐藏内容和身份。运用高强度的加密技术将会被超微型组件的处理能力和能量所制约。即使达到可以防止暴力攻击的水平，处理能力的低下可能导致数据保护失效。另外，数字权利管理技术提高运营成本和风险。因为数字权利管理的前提是所有的设备必须安装数字权利管理系统，否则任何保护都可以通过隐匿的捕获、复制或重录以及连续免费个人数据信息而轻易地被克服。

三、物联网隐私风险的非技术控制策略

隐私保护是对一种基于利益的技术信任和风险的考量。隐私关注度也会因一个国家的政治、文化、经济等差异而不同。《经合组织隐私保护指南》包括8个隐私保护原则：采集限制原则、数据质量原则、目的说明原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。这八条原则对欧洲、加拿大和美国隐私法产生深远的影响。但是该指南三十多年来没有修改过，与物联网愿景存在冲突和矛盾，这就需要进一步拓展隐私保护原则。物联网隐私风险非技术控制策略主要表现在三个原则上：

1.适度原则正如前文所述，物联网隐私风险存在必然性，绝对地控制物联网隐私风险既不现实也不可能。这就需要采取一种相对的、相称的适度原则：首先，物联网隐私是一个情境化的、约定的概念。隐私一词带有信息、身体、财产和决定等方面的含义。不同的环境和语境下，隐私的含义和抗辩事由可能不同。例如，姓名、照片对于名人来说可能不是隐私，而对于公众来说是一种隐私。测谎、电子监听、基因检测、个人谈话、犯罪记录、个人艾滋病信息等隐私含义和抗辩事由也因主体、信息系统环境、安全环境和目的等差别而存在差异。例如，雇员通过公司使用的电子邮件系统与他人通讯，就失去了对隐私的合理期待。公司监听电话的目的也只能是保护公司的商业秘密、改进顾客服务技能、防止骚扰电话等商业用途。同样的隐私信息，对于不同的主体而言，对隐私的敏感度也不一样。相对于成年人来说，儿童的信息隐私更应受到保护。不同的主体对隐私的理解和主张也不完全一致。公众有隐私流通的需要。在具体利益面前，有些公众会适度放弃个人隐私而允许他人采集其个人信息，但也有些公众会坚持保护个人隐私。因而要具体地将隐私区分为敏感隐私和不敏感隐私，对于二者采取不同的隐私流通策略。根据初步调查研究，在众多的隐私之中，通讯隐私、生活隐私和财产隐私更受到中国公众的普遍关注。中国公众最不关注政治党派、政治观点、民族和宗教信仰隐私。另外，受到认知因素和环境因素的制约，需要特别保护弱势群体的隐私。其次，隐私信息的采集要符合约定的目的。既然隐私是一种约定的概念，那么个人数据必须基于特定、明确和合法的目的来采集和处理，而不允许与这些目的不一致。一旦超出约定的目的，需要通知被采集人，以获取书面的同意。从而赋予数据被采集人一种信息访问权、矫正权、删除权或阻止权。所以需要增强个人数据采集和处理的透明度机制。透明标准提高了物联网性能和责任评估，以促进相关监管法规的协调。再次，隐私风险控制技术的差异化标准。物联网隐私的价值具有双重性：对于企业和社会来说，利用个人隐私信息是实现精准预测和控制的前提；对于公众来说，充分的隐私保护是人权的基本保障。因为隐私是一种情境化的概念，不同的行业、不同的环境、不同的主体对隐私控制都有不同的要求，不见得最强的隐私风险控制技术就最好。并且要考虑到隐私风险控制技术的强度与成本成正比关系这个因素，不同的运营商或企业根据其盈利能力也会采取不同的隐私风险控制标准。但是差异化的标准并不是说标准的泛化，需要根据隐私的敏感程度和环境制定一种准入制的行业全局技术标准。再在全局标准下制定局部的分层标准，从而使运营商和企业的资质与隐私风险控制标准挂钩。

2.自律原则与其说隐私风险是客观存在的、潜在的威胁，不如说隐私风险是人为的道德失范，因此需要加强道德的自律。自律是一种私人的概念，即在国家政府提供的制度框架内自省、自我约束的道德机制。自律模式遵循自助的辅助性原则，它意味着只要政府没有采取干预行为，特定社区的参与者就可以自发、自主、自助地找到合适的解决方案。所以自律是物联网隐私风险的一种监管和控制模式：通过多方面的商业标准，从技术准则到公平的信息惯例。比如EPC准则，比如“用户须知”、“用户教育”、“保留和IT安全政策”。自律的合法性基于该事实：需求驱动的诱因主导规则制定过程。此外，自律比国家法律成本低并且更灵活。物联网隐私风险的监管和控制需要参与和对话的自律原则。物联网要想真正有益于社会、降低其隐私风险，需要的不仅仅是更多的装备有微电子的、可以相互协作的日常物体，还包括可信赖的制度架构和社会共识。鉴于互联网已经演变为全球设施的事实，物联网的国际管理应当得到政府、私营部门、市民社会和国际组织的全面支持，而不应由政府单一组织来控制。要将物联网权力具体化，增强其公众合法性和民主参与的能力。物联网应当以各种方式来关注物联网的利益相关者，保证有一种合理的代表形式，这是合法性的重要方面。利益相关者的共同行动、相互信赖是加强沟通、协调和合作的有效机制。公众必须参与有关物联网风险的控制过程。公众的参与将会使得包容性和监管的质量得到改善。充分的参与过程也有助于更多利益相关者的有效参与。作为一个公众参与的自律原则，物联网隐私风险监管将会在各实践上达成共识，这有助于建设和谐的物联网社会环境。自律原则可以包括下列行为规则：行为示范、建立内部控制程序（遵守规则）、设置热线电话以处理公众投诉、透明的数据保护政策等。

3.责任原则自律是一种“软法”，效力低于法律。自律并没有明确的范围和可靠的内容。一般来说，只能说软法是一个与法律相近的规范概念，它通常涵盖某些形式的预期和可接受的行为准则。如果不自愿遵循的话，这种自律概念缺乏执行力。因此，立法者参与制定法律制度不可避免。法律规范主要来自法律的基本原则，如善意、平等、公平、公序良俗等。责任原则是物联网隐私风险控制的一项重要原则。为了确保所有物联网应用中的参与者都遵守隐私保护要求，物联网应用需要大量不同主体之间的合作。为了合作成功，必须根据不同通信主体之间的身份信息交换签订协议。这些合作形式类似身份管理文献中描述的“信任圈”（CoT），它可以描述成一个包含很多服务提供者和身份提供者的联合体，成员们在身份信息应该如何管理上达成协议。“信任圈”的基础是在如何识别和认证用户上达成一致，同时需要在物联网框架内确定责任，以确保符合法律和政策的要求。从隐私风险控制的角度看，这些任务需要首先被分配以确保处理的机密性和安全性。从商业或政策角度看，任务分配是为了确保利益相关者信任该架构，以防止有损于参与者利益的方式进行数据采集和处理。在物联网环境中，参与者（服务提供者、身份提供者、中介机构等）可能是管理者、处理者或第三方，这取决于不同的物联网应用。当一项法律规定某种处理形式时，它应该指明何种主体可以充当管理者。在任何情况下，合作主体应该清醒地理解：根据处理操作，各主体承担何种角色，确定各自应如何遵循义务。即：哪些主体被授权作为数据提供者；哪些主体应当执行认证、授权和检查；哪些主体负责维护操作日志；哪些主体应作为数据交换的受信任方（比如中介）；哪些主体负责技术政策的更新；哪些主体应作为前台以满足数据被采集人的权利（比如访问权和矫正权）；哪些主体是违反安全事件的联络点；哪些实体负责定期政策审查等等。（本文来自于《自然辩证法研究》杂志。《自然辩证法研究》杂志简介详见）

四、结语

物联网隐私风险是不可避免的。物联网技术在给生活带来便利的同时，也会以数据采集、挖掘、分析等智能技术对隐私造成侵害为代价。物联网隐私风险存在客观上的必然性、主观上的差异性、操作上的非自主性和安全上的脆弱性，这就为物联网隐私风险的控制技术带来难度。隐私保护增强技术、身份管理技术和数字权利管理技术都具有不周延性，因而物联网隐私风险控制技术必须体现效率与公平之间的价值衡量，绝对的隐私保护并不可取。从对物联网隐私风险特征和控制技术分析中可以看出，单一策略将不适合圆满解决物联网的隐私挑战。物联网风险控制必须遵循适度、自律和责任原则。公众有隐私流通的需求，但也有限制流通的要求。需要将隐私细化为敏感隐私和不敏感隐私，进而采取不同的隐私保护策略，同时需要对弱势群体的隐私予以额外、人性化的关注。物联网隐私保护需要公众参与以建立国家立法者、非政府组织、公共利益团体、国际私营部门和公众等主体之间对话的有效平台。

作者：吴标兵许为民单位：浙江大学宁波理工学院浙江大学哲学系