物聯(lián)網(wǎng)隱私保護(hù)

物聯(lián)網(wǎng)將人、機(jī)、物廣泛互聯(lián)，由于分布式節(jié)點(diǎn)多、數(shù)據(jù)傳輸分散、監(jiān)管不到位等原因，物聯(lián)網(wǎng)的安全與隱私問(wèn)題更加突出，已成為物聯(lián)網(wǎng)安全管理需要重點(diǎn)關(guān)注的內(nèi)容。

一、物聯(lián)網(wǎng)用戶隱私與安全問(wèn)題凸顯

物聯(lián)網(wǎng)直接暴露于互聯(lián)網(wǎng)，容易遭受網(wǎng)絡(luò)攻擊。據(jù)Gartner調(diào)查，近20%的企業(yè)或機(jī)構(gòu)在過(guò)去的3年內(nèi)遭受了至少一次物聯(lián)

網(wǎng)攻擊，用戶隱私也因此遭受著較大的泄露風(fēng)險(xiǎn)。

（一）智能玩具隱私泄露

物聯(lián)網(wǎng)已融入玩具世界，使玩具具有信息處理功能并越來(lái)越智能。如某款芭比娃娃玩具，能夠?qū)�兒童的談話傳到云端，不僅能分析小朋友的語(yǔ)言，并且還能做出“符合邏輯”的回話，再通過(guò)玩具內(nèi)置的揚(yáng)聲器與兒童交談。但該款芭比娃娃易受黑客的攻擊，黑客不僅可查看用戶的賬戶信息、系統(tǒng)信息及云服務(wù)器上存儲(chǔ)的音頻文件等，還進(jìn)一步可獲得家庭地址等信息。此外，黑客不僅能夠利用芭比娃娃來(lái)竊取個(gè)人信息，還可以找到更新其服務(wù)器信息的方法，并通過(guò)麥克風(fēng)向芭比娃娃發(fā)送其設(shè)定的回復(fù)內(nèi)容。

（二）智能家居安全

智能家居已在公眾生活中越來(lái)越普遍，在極大地方便日常生活的同時(shí)，也存在不容忽視的安全問(wèn)題。如某品牌的智能家居系統(tǒng)，黑客可以利用其智能系統(tǒng)存在的漏洞完全控制一個(gè)用戶賬戶，然后遠(yuǎn)程劫持家用電器智能傳感器，包括冰箱、干衣機(jī)、洗碗機(jī)、微波爐以及吸塵機(jī)器人等。

（三）智慧醫(yī)療安全

黑客可以利用遠(yuǎn)程醫(yī)療設(shè)備通信協(xié)議中存在的安全設(shè)計(jì)缺陷與硬件設(shè)備安全漏洞，通過(guò)遠(yuǎn)程控制心臟起搏器等方式殺人于無(wú)形之中。

2014年5月，美國(guó)知名科技媒體撰稿人吉姆曾特（KimZetter）對(duì)現(xiàn)代醫(yī)院醫(yī)療設(shè)備展開(kāi)了一次詳盡的調(diào)查，指出目前醫(yī)院所使用的大多數(shù)醫(yī)療設(shè)備都存在著被黑客入侵的風(fēng)險(xiǎn)，而這一風(fēng)險(xiǎn)甚至可能會(huì)造成致命的后果。美國(guó)食品及制藥管理局已經(jīng)出臺(tái)了要求醫(yī)療設(shè)備制造廠強(qiáng)制檢查出廠設(shè)備安全性指導(dǎo)意見(jiàn)。

美國(guó)McAfee公司的資深信息安全專家巴納比?杰克模擬了黑客入侵醫(yī)療設(shè)備的過(guò)程，操控設(shè)備能夠按照他的意志“行兇”。巴納比和團(tuán)隊(duì)利用無(wú)線電設(shè)備成功干擾了一臺(tái)胰島素泵的正常工作，利用計(jì)算機(jī)篡改胰島素泵原本的工作流程，實(shí)現(xiàn)逆向通信。至此這臺(tái)胰島素泵就處于黑客的控制中，黑客可隨意加快胰島素泵的注射頻率，短時(shí)間內(nèi)把胰島素注入病人體內(nèi)，這樣病人就會(huì)血糖急降，有可能因搶救不及時(shí)而死亡。巴納比說(shuō)，他在距離胰島素泵91米以內(nèi)的范圍就可實(shí)現(xiàn)干擾，又不被患者本人和醫(yī)護(hù)人員識(shí)破。

（四）可穿戴智能設(shè)備安全

隨著移動(dòng)互聯(lián)網(wǎng)的普及，可穿戴智能市場(chǎng)備受關(guān)注，包括谷歌、蘋(píng)果、三星在內(nèi)的許多互聯(lián)網(wǎng)公司都已推出可穿戴智能設(shè)備。谷歌眼鏡被指存在重大的安全隱患。黑客可以通過(guò)電腦控制谷歌眼鏡，從而獲得用戶的所見(jiàn)所聞及用戶的密碼等敏感信息。馬薩諸塞大學(xué)的研究人員發(fā)現(xiàn)，黑客可以利用谷歌眼鏡盜取用戶智能手機(jī)密碼，從而進(jìn)入用戶智能手機(jī)，并盜取手機(jī)中的數(shù)據(jù)。

從技術(shù)層面上說(shuō)，黑客完全有能力通過(guò)技術(shù)手段攻破并控制物聯(lián)網(wǎng)設(shè)備，可穿戴設(shè)備是與人們生活關(guān)聯(lián)度最高的聯(lián)網(wǎng)設(shè)備，出現(xiàn)問(wèn)題可能不止是損失錢(qián)財(cái)，嚴(yán)重的甚至?xí)�威脅到使用者的生命安全。

二、物聯(lián)網(wǎng)的隱私安全威脅與攻擊

隱私安全威脅是制約物聯(lián)網(wǎng)應(yīng)用的重要障礙。物聯(lián)網(wǎng)應(yīng)用廣泛，其體系結(jié)構(gòu)基本相同，隱私安全威脅主要集中在感知層

和處理層，包括以下幾個(gè)方面。

（一）非法訪問(wèn)

用戶利用物聯(lián)網(wǎng)漏洞，非授權(quán)接入網(wǎng)絡(luò)和使用網(wǎng)絡(luò)資源，甚至發(fā)起網(wǎng)絡(luò)攻擊。用戶非授權(quán)訪問(wèn)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)，包括用戶個(gè)人信息、用戶資料、路由信息等。

（二）位置隱私泄露

位置隱私泄露是物聯(lián)網(wǎng)隱私的重要威脅，主要指物聯(lián)網(wǎng)在提供各種位置服務(wù)時(shí)面臨的位置隱私泄露問(wèn)題，包括用戶位置隱私、傳感器節(jié)點(diǎn)位置隱私、基于位置服務(wù)中的位置隱私等。

（三）通信傳輸脆弱性

物聯(lián)網(wǎng)一般使用無(wú)線射頻信號(hào)進(jìn)行通信，其固有的通信脆弱性很容易遭受外界攻擊，如攻擊者干擾認(rèn)證信息、影響基站工作、信號(hào)劫持、偵聽(tīng)、篡改、重放等多種形式的攻擊。

（四）拒絕服務(wù)

由于物聯(lián)網(wǎng)節(jié)點(diǎn)數(shù)目大、分布廣，一些漏洞容易被攻擊者利用和控制，形成僵尸網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)發(fā)起分布式拒絕服務(wù)攻擊，會(huì)顯著降低網(wǎng)絡(luò)通信性能，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。

（五）惡意軟件感染

物聯(lián)網(wǎng)終端設(shè)備種類繁多，客戶端軟件和應(yīng)用程序也是不勝枚舉，攻擊者很可能利用感知終端或節(jié)點(diǎn)的漏洞植入木馬、病毒等，實(shí)施偷窺隱私、劫持勒索，或作為跳板滲透和攻擊其他網(wǎng)絡(luò)。

三、物聯(lián)網(wǎng)隱私保護(hù)規(guī)范

傳統(tǒng)時(shí)代的隱私保護(hù)具有被動(dòng)和防御特點(diǎn)，信息時(shí)代背景下的隱私保護(hù)應(yīng)具有主動(dòng)性與支配性，隱私保護(hù)在利益與風(fēng)險(xiǎn)之間權(quán)衡，既關(guān)注更強(qiáng)、更靈活的隱私保護(hù)，又支持網(wǎng)絡(luò)資源共享和互聯(lián)互通。無(wú)論歐美還是我國(guó)的網(wǎng)絡(luò)隱私保護(hù)法規(guī)尚在通用層面，物聯(lián)網(wǎng)隱私保護(hù)的實(shí)施可從中借鑒。

歐美等國(guó)家對(duì)隱私關(guān)注較早，隱私保護(hù)規(guī)范也相對(duì)完善，不同組織、國(guó)別的隱私保護(hù)規(guī)范側(cè)重點(diǎn)有所不同。

（一）早期經(jīng)合組織的隱私保護(hù)規(guī)范

經(jīng)合組織早在1974年就成立了一個(gè)關(guān)于個(gè)人信息和隱私權(quán)保護(hù)的專家組，發(fā)布了《保護(hù)個(gè)人信息跨國(guó)傳送及隱私權(quán)指導(dǎo)綱領(lǐng)》（1980）以及《經(jīng)濟(jì)合作發(fā)展組織全球網(wǎng)絡(luò)隱私權(quán)保障政治宣言》（1998），重點(diǎn)是關(guān)于個(gè)人信息跨國(guó)傳送中的數(shù)據(jù)保護(hù)，并做了原則性的規(guī)定，分國(guó)內(nèi)適用原則和國(guó)際適用原則。前者包括搜集限制、目的明確、利用限制、個(gè)人參與等，后者主要包括促進(jìn)自由流通和合法限制。該規(guī)則對(duì)成員國(guó)約束力較弱，也沒(méi)有詳細(xì)規(guī)定如何制定立法，一些原則無(wú)法落實(shí)，但它承認(rèn)了個(gè)人信息流動(dòng)的重要性，確立了隱私政策協(xié)調(diào)的方向，對(duì)后來(lái)隱私政策的確立和實(shí)施有積極的參考意義。

（二）美國(guó)的隱私保護(hù)規(guī)范

美國(guó)是世界上最早提出并通過(guò)法規(guī)對(duì)隱私權(quán)予以保護(hù)的國(guó)家，在1974年通過(guò)《隱私法案》，1986年頒布《電子通訊隱私法案》，1988年又制定了《電腦匹配與隱私權(quán)法》及《網(wǎng)上兒童隱私權(quán)保護(hù)法》，明確了信息主體的權(quán)利（如個(gè)人信息公開(kāi)的同意權(quán)、知情權(quán)、修改權(quán)，收集個(gè)人信息的政府或企業(yè)須承擔(dān)的義務(wù)等），以及將兒童網(wǎng)上隱私的保護(hù)列在最優(yōu)先的地位。

（三）歐洲的隱私保護(hù)規(guī)范

對(duì)于歐洲個(gè)人信息保護(hù)法，追溯其淵源可以從1981年歐共體的《個(gè)人信息保護(hù)公約》，到1995年《個(gè)人數(shù)據(jù)保護(hù)指令》，再到2016年《刑事犯罪領(lǐng)域個(gè)人信息保護(hù)指令》。歐盟于2018年5月頒布了史上最嚴(yán)網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)法《通用數(shù)據(jù)保護(hù)條例》，這是對(duì)1995年《數(shù)據(jù)保護(hù)指令》的修訂、拓寬和升級(jí)，加強(qiáng)了歐盟所有網(wǎng)絡(luò)用戶的數(shù)據(jù)隱私權(quán)利，明確提高了企業(yè)對(duì)數(shù)據(jù)的保護(hù)責(zé)任，并顯著完善了有關(guān)監(jiān)管機(jī)制。對(duì)個(gè)人數(shù)據(jù)的隱私和保護(hù)將更加的透明和具有可操作性。雖然目前只在歐盟生效，其他國(guó)家即便不能照搬這一條例，但可以看出，加強(qiáng)個(gè)人隱私保護(hù)已是大勢(shì)所趨。

（四）我國(guó)的隱私保護(hù)規(guī)范

我國(guó)物聯(lián)網(wǎng)隱私保護(hù)依據(jù)也是主要從相關(guān)法規(guī)中套用，這些法規(guī)主要給予原則性指導(dǎo)。

2017年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南（征求意見(jiàn)稿）》，明確了去標(biāo)識(shí)化的定義，為披露和保護(hù)個(gè)人信息的行為提供標(biāo)準(zhǔn)依據(jù)，有利于保障數(shù)據(jù)主體的隱私安全。

2017年實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》以及《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》分別明確了個(gè)人信息保護(hù)的最少夠用原則和個(gè)人信息侵害的刑法適用準(zhǔn)則。

2018年1月，國(guó)務(wù)院法制辦公布《未成年人網(wǎng)絡(luò)保護(hù)條例（送審稿）》，向社會(huì)各界征求意見(jiàn)，明確搜集未成年個(gè)人信息應(yīng)以醒目標(biāo)識(shí)告知，以及應(yīng)獲未成年人或其監(jiān)護(hù)人同意、控制等原則。

2018年3月頒布的《民法總則》中以民事權(quán)利的方式規(guī)范個(gè)人信息保護(hù)，這是我國(guó)民事基本法對(duì)個(gè)人信息保護(hù)的首次明確規(guī)定，也為今后更完善的個(gè)人信息保護(hù)相關(guān)立法（如《個(gè)人信息保護(hù)法》）奠定了基礎(chǔ)。

從國(guó)內(nèi)外有關(guān)隱私保護(hù)的法規(guī)可以看出，我國(guó)在個(gè)人信息保護(hù)的立法理念上與現(xiàn)行國(guó)際規(guī)則及歐美個(gè)人信息保護(hù)相關(guān)法律逐步實(shí)現(xiàn)接軌，分別從制度和技術(shù)層面，明確個(gè)人信息保護(hù)原則，并提供標(biāo)準(zhǔn)依據(jù)。

四、物聯(lián)網(wǎng)隱私保護(hù)指導(dǎo)原則

物聯(lián)網(wǎng)隱私保護(hù)要以用戶為中心，根據(jù)不同行業(yè)物聯(lián)網(wǎng)的特點(diǎn)，將隱私保護(hù)機(jī)制嵌入系統(tǒng)設(shè)計(jì)之初，通過(guò)立法、合規(guī)性審查、生命周期管理、隱私泄露懲罰機(jī)制，提高隱私保護(hù)的主動(dòng)性。

（一）立法

借鑒國(guó)內(nèi)外優(yōu)秀的隱私保護(hù)法規(guī)和理念，通過(guò)訂立法律規(guī)范，明確隱私保護(hù)原則和責(zé)任，構(gòu)建一套預(yù)防性、高要求的隱私保護(hù)規(guī)范和標(biāo)準(zhǔn)。

（二）合規(guī)性

合規(guī)是指企業(yè)或組織遵守法律法規(guī)、監(jiān)管要求。物聯(lián)網(wǎng)企業(yè)須加強(qiáng)產(chǎn)品的合規(guī)性管理，能夠針對(duì)個(gè)人信息保護(hù)相關(guān)的法律法規(guī)、監(jiān)管要求說(shuō)明遵守情況，以示其合規(guī)性。信息安全測(cè)評(píng)部門(mén)對(duì)物聯(lián)網(wǎng)客戶端的個(gè)人信息保護(hù)方案與措施進(jìn)行合規(guī)性測(cè)評(píng)。

（三）用戶參與

充分支持用戶對(duì)其個(gè)人信息的知情權(quán)和控制權(quán)，用戶能夠支配個(gè)人信息處理進(jìn)程，包括收集、存儲(chǔ)、傳遞、披露、使用、修改和刪除等過(guò)程或操作，增加個(gè)人信息管理的透明度，對(duì)個(gè)人信息的任何操作和使用須告知用戶，并支持用戶獲得最大程度的隱私授權(quán)選項(xiàng)。

（四）主動(dòng)性

將重要安全問(wèn)題提前到源頭解決，積極、主動(dòng)地將隱私保護(hù)策略和實(shí)施融入產(chǎn)品的設(shè)計(jì)和開(kāi)發(fā)中，確保隱私保護(hù)和系統(tǒng)的一體化，使其成為系統(tǒng)代碼的一部分，能夠更有效地提高物聯(lián)網(wǎng)安全和預(yù)防信息泄露。

（五）生命周期管理

除對(duì)某些個(gè)人信息實(shí)施加密保護(hù)外，明確個(gè)人信息的生成（收集）、使用、公開(kāi)、銷毀等各個(gè)環(huán)節(jié)的管理，實(shí)施有效措施防止信息被非法訪問(wèn)。

五、物聯(lián)網(wǎng)隱私保護(hù)技術(shù)

技術(shù)保護(hù)是落實(shí)隱私保護(hù)規(guī)范中保護(hù)原則的關(guān)鍵途徑，主要涉及物聯(lián)網(wǎng)的信息收集、存儲(chǔ)、傳輸、訪問(wèn)以及位置等方面的保護(hù)。

（一）敏感數(shù)據(jù)保護(hù)技術(shù)

物聯(lián)網(wǎng)安全體系主要涵蓋感知、網(wǎng)絡(luò)、平臺(tái)和應(yīng)用4個(gè)方面，包括數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、分析和使用，物聯(lián)網(wǎng)隱私信息的泄露主要涉及系統(tǒng)不安全、不可控的問(wèn)題，通常應(yīng)用密碼技術(shù)實(shí)現(xiàn)物聯(lián)網(wǎng)中人、物、信息和網(wǎng)絡(luò)的機(jī)密性、真實(shí)性、完整性和抗抵賴等屬性，為物聯(lián)網(wǎng)數(shù)據(jù)安全、信任建立、監(jiān)管審計(jì)提供基礎(chǔ)支撐。當(dāng)前，針對(duì)物聯(lián)網(wǎng)實(shí)際應(yīng)用，亟待研發(fā)輕量級(jí)密碼技術(shù)，如輕量級(jí)認(rèn)證、密文檢索、解密權(quán)限管理等技術(shù)，推動(dòng)物聯(lián)網(wǎng)應(yīng)用安全。

（二）位置隱私保護(hù)技術(shù)

物聯(lián)網(wǎng)節(jié)點(diǎn)位置隱私保護(hù)分為固定位置隱私保護(hù)和移動(dòng)位置隱私保護(hù)，主要使用加密技術(shù)、匿名服務(wù)器技術(shù)、匿名區(qū)域和位置隨機(jī)化技術(shù)等。關(guān)注最多的是匿名區(qū)域算法中的K-匿名模型。在軌跡隱私保護(hù)中，主要方法是引入軌跡噪聲或動(dòng)態(tài)假名。不同的位置隱私保護(hù)方法各有側(cè)重點(diǎn)，實(shí)際引入時(shí)需考慮隱私保護(hù)與服務(wù)質(zhì)量之間的平衡。

（三）物聯(lián)網(wǎng)安全測(cè)評(píng)技術(shù)

物聯(lián)網(wǎng)安全測(cè)評(píng)是發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)隱患、提高物聯(lián)網(wǎng)安全與可靠性的重要基礎(chǔ)。物聯(lián)網(wǎng)安全測(cè)評(píng)主要集中在以下幾個(gè)方面：1.物聯(lián)網(wǎng)隱私保護(hù)度測(cè)評(píng)，即隱私保護(hù)技術(shù)的合規(guī)性測(cè)評(píng)以及能夠保護(hù)物聯(lián)網(wǎng)隱私的程度；2.物聯(lián)網(wǎng)隱私保護(hù)措施的服務(wù)質(zhì)量，反映在一定隱私保護(hù)強(qiáng)度下，能夠提供的服務(wù)質(zhì)量，既包括物聯(lián)網(wǎng)應(yīng)用的服務(wù)質(zhì)量，也應(yīng)包括應(yīng)急處理措施；3.代價(jià)評(píng)估，物聯(lián)網(wǎng)的安全與隱私保護(hù)措施所需的資源代價(jià)，包括存儲(chǔ)、計(jì)算、傳輸?shù)荣Y源的消耗。

以往的物聯(lián)網(wǎng)設(shè)備制造商通常并沒(méi)有很強(qiáng)的安全背景，也缺乏標(biāo)準(zhǔn)來(lái)說(shuō)明一個(gè)產(chǎn)品是否安全，很多安全問(wèn)題來(lái)自于不安全的設(shè)計(jì)。目前國(guó)內(nèi)已發(fā)布《物聯(lián)網(wǎng)參考體系結(jié)構(gòu)》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求4：物聯(lián)網(wǎng)安全擴(kuò)展要求》《信息安全技術(shù)物聯(lián)網(wǎng)安全參考模型及通用要求》等系列國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，為物聯(lián)網(wǎng)廠商提供系統(tǒng)的安全要求、安全的開(kāi)發(fā)規(guī)范、設(shè)備安全檢測(cè)規(guī)范等，能夠有力促進(jìn)物聯(lián)網(wǎng)安全技術(shù)提升，推進(jìn)物聯(lián)網(wǎng)合規(guī)性檢測(cè)，生產(chǎn)出合規(guī)的、安全可靠的物聯(lián)網(wǎng)設(shè)備。

物聯(lián)網(wǎng)隱私保護(hù)與傳統(tǒng)互聯(lián)網(wǎng)的隱私保護(hù)有許多共通之處，但物聯(lián)網(wǎng)存在節(jié)點(diǎn)分布廣泛、行業(yè)應(yīng)用類型多、信息處理和存儲(chǔ)能力低、涉及大量隱私信息和可移動(dòng)性等特點(diǎn)，使得物聯(lián)網(wǎng)安全方案有其獨(dú)特的一面。隨著物聯(lián)網(wǎng)設(shè)備的普及，物聯(lián)網(wǎng)的安全威脅程度在某些方面不亞于傳統(tǒng)網(wǎng)絡(luò)，加強(qiáng)物聯(lián)網(wǎng)技術(shù)保護(hù)、合規(guī)性審查與安全測(cè)評(píng)勢(shì)在必行。

（原載于《保密科學(xué)技術(shù)》雜志2018年9月刊）