作者:趙小飛
近日,英國資訊專員辦公室(UK Information Commissioner’s Office, ICO)釋出了一份《物聯網產品和服務指南》(草案)。ICO出臺該指南,旨在為消費物聯網產品的製造商和開發商提供明確資訊,以確保他們創造出符合資料保護法的產品。物聯網已廣泛滲透到個人和家庭日常生活中,成為個人資料的重要載體,英國這一指南率先從物聯網資料處理角度,探索對個人資料保護的想過策略,具有重要參考意義。該指南的草案已開放徵求意見,我們初步對草案的主要內容進行解讀。
針對物聯網產生的資料保護為導向形成的指南
釋出該指南草案的機構是英國資訊專員辦公室,該單位是英國政府設立的獨立資料保護監管機構,主要負責執行英國的資料保護法律,包括《英國通用資料保護條例》(UK GDPR)和《2018年資料保護法案》(DPA)。其核心職責涵蓋監管個人資料處理、保護資料主體權利、處理資料安全事件以及實施合規措施,在人工智慧資料和資料跨境監管等方面也賦予一定職權。
該草案旨在幫助相關企業和機構尊重隱私、確保問責制並遵守資料保護法的方式開發和部署物聯網產品,尤其是要遵守《英國通用資料保護條例》和《2018年資料保護法案》。
1、適用於處理物聯網產品中個人資訊的廠商
草案首先確定適用物件,明確提出主要針對在物聯網產品中處理個人資訊的所有組織,這些組織可能包括物聯網產品製造商、作業系統開發商、移動應用程式開發商、Web端應用程式開發商、軟體開發商、AI服務提供商、生物識別技術提供商、感測器和遙測產品技術提供商、雲服務商以及網路安全提供商等。主要判斷標準是廠商是否負責物聯網產品的處理,即由負有相關資料保護責任的組織進行的處理。
對於適用的物聯網產品,草案也給出了建議,主要是消費物聯網產品,包括:· 家庭娛樂產品(智慧音箱、聯網電視、聯網玩具);· 家庭自動化產品(智慧燈泡、智慧恆溫器、智慧家居中控);· 家用電器(智慧冰箱、智慧烤箱);· 健康產品(健身追蹤器、智慧手錶、智慧體重秤、睡眠監測器);· 安防和安全產品(智慧安全攝像頭、智慧門鈴、智慧嬰兒監視器);· 非處方醫療裝置(智慧血壓監測器、智慧脈搏血氧儀);· 周邊產品(智慧鍵盤、智慧滑鼠、智慧耳機)。
當然,指南並非適用於所有物聯網產品,該草案明確提出,網聯和自動駕駛汽車、智慧電錶、智慧城市以及企業和工業環境中適用的物聯網產品並不適用。同時,指南也不會涵蓋手機、筆記型電腦等產品。
廠商處理的資料,包括從物聯網產品直接或間接獲取的廣泛的個人資料,包括健康類資料、生物識別資料、位置資料,甚至還包括政治觀點、宗教信仰等特殊資料。當然,這些資料根據使用者不同,其適用範圍不同。該指南給出一個案例:一個人擁有一臺帶有嵌入式虛擬助手的智慧音箱,他將其用於播放音樂、使用搜索引擎等,家中的其他人使用智慧音箱,包括家人和來訪的朋友,雖然構成了他人使用產品,涉及到資料的處理,但這純粹是智慧音箱的所有者的個人或家庭活動。但是,智慧音箱製造商處理個人資訊則在英國GDPR規範的範圍內,因為它是由法人實體出於自身目的進行的處理,而不是由某人在個人或家庭活動的情況下進行。
2、強調問責制是物聯網產品的一項關鍵原則
在問責制方面,該指南的立場很明確:相關組織不僅必須遵守資料保護相關法規,而且還必須能夠證明合規性,尤其是在消費類物聯網裝置的設計和生產方面。這些裝置通常嵌入在家中,收集和處理高度敏感的資料,例如位置、健康、行為和生物特徵資訊。
該指南概述了對資料最小化、合法依據、透明度的期望,以及明確使用者控制的需求,尤其是在涉及多個使用者或兒童的情況下,要求廠商應透過明確定義責任、將處理活動記錄在案和風險評估等措施來確保問責制實施。
3、強調進行資料保護影響評估的要求
草案提出,物聯網產品可能會引發許多高風險的資料處理活動,包括對私人空間中的使用者進行廣泛的分析或監控、因安全措施不足導致使用者面臨欺詐或人身傷害的風險等。由於這些風險,ICO建議大多數與物聯網相關的處理在開始任何資料收集之前應進行資料保護影響評估(DPIA)的要求。
指南草案的一個核心特點是強調資料保護影響評估作為關鍵的合規和風險管理工具。根據英國GDPR,當處理對個人“可能導致高風險”資料時,必須使用資料保護影響評估。在物聯網環境中,通常會滿足此閾值,因為物聯網處理往往會使用特殊類別資料(如健康或生物識別資料),進行大規模或系統性監測,也往往會為有關個人的決策提供資訊的分析,很多情況下也會涉及兒童使用產品或服務的可能性。草案明確指出,大多數物聯網案例都可能需要資料保護影響評估,尤其是在涉及兒童資料的情況下。它還向廠商推薦了需要資料保護影響評估的處理作列表,並鼓勵開發人員在相關情況下查閱相關守則。
4、強調資料保護必須按預設在設計中嵌入
該指南草案規定了透過預設設計資料保護來確保合規性的實用步驟,並與英國GDPR保持一致。這意味著從設計的最早階段開始,以及整個產品生命週期(從規劃和釋出到更新和生命週期終止),都要考慮資料保護。草案中提出了設計資料最小化和目的限制,為所有使用者(包括次要使用者)構建清晰且可訪問的隱私控制,預設提供高隱私設定,尤其是在涉及兒童的情況下設定,還提出了定期應用安全更新並監控不斷演變的威脅。
ICO 還建議企業探索隱私增強技術的使用,並對物聯網供應鏈中的合作伙伴進行盡職調查,以確保各類角色(控制者、處理者、聯合控制者)得到適當分配和記錄。
針對消費物聯網的安全措施優先推出
本次英國推出的《物聯網產品和服務指南》(草案),從合規安全形度重點對消費物聯網資料使用進行規範。回顧近2年來歐美針對物聯網安全、資料合規角度出臺的主要政策,這些政策首先聚焦的是消費物聯網,企業和工業領域採用的物聯網產品優先順序低於消費物聯網。
例如,以美國為代表的物聯網安全標籤計劃,就明確該計劃前期重點針對消費類物聯網產品,包括智慧冰箱、智慧空調、智慧電視、智慧溫控器、健身追蹤器等家庭物聯網裝置,並已開始著手定義消費級路由器安全標準,未來也會將路由器納入認證標籤計劃中。其他國家的物聯網安全標籤計劃也是類似,將消費物聯網作為優先事項。
市場研究機構IoT Analytics資料顯示,預計2023全球物聯網連線數超過160億。而這麼大規模的物聯網連線中,超過70%的裝置是透過WiFi、藍牙、Zigbee等短距離通訊技術連線的,產品形態以智慧家居、穿戴裝置等消費類物聯網裝置為主。
物聯網裝置安全隱患日益突出,網路攻擊、隱私洩露等問題層出不窮,這其中消費類物聯網裝置的安全隱患更為突出。加上消費類物聯網裝置出貨量規模超過產業物聯網裝置,對於消費物聯網裝置安全進行認證就顯得很有必要。畢竟使用者不希望智慧冰箱、智慧門鎖由安全隱患,不想在家裡有一雙眼睛長期盯著自己。
產業物聯網面向的是各類企業,大量企業自身具有識別安全問題的技術能力,也建立了企業網路安全相關標準,加上企業和供應商簽訂的合同中,一般都有非常嚴格的安全條款,能夠在一定程度上保障自身的安全性,因此產業物聯網的安全隱患相對小一些。
但是,個人消費者、家庭使用者沒有專業的知識,對自身使用產品的網路安全資訊瞭解非常有限,即使發生安全按事故,由於使用人群非常分散,維權也非常困難,消費物聯網領域很容易成為隱私洩露和資訊安全重災區。
因此,各國不論是推進物聯網安全立法,還是推進物聯網安全標籤計劃,都主要針對的是消費類物聯網。目前,消費物聯網領域的安全問題已經在不斷積累,持續下去會造成非常惡劣的影響,因此針對消費物聯網安全採取措施是物聯網安全工作的當務之急。
從本次英國的《物聯網產品和服務指南》(草案)可以看出,物聯網已經成為承載個人資料的重要載體,對於物聯網資料保護的規範,正是對個人資料保護的重點領域。預計未來各個國家會相繼出臺類似政策法規,透過規範物聯網產品中個人資料的使用規則,達到保護個人資料的目的。
同時,國內出口英國的物聯網企業應提前熟悉這一指南的要求,對物聯網產品進行合規性設計,加強對資料收集和處理相關方面的工作,符合問責制、資料保護影響評估、和隱私預設設定等,確保降低企業出海的風險。