国外如何应对物联网数据安全挑战？

欧盟于 2016 年 4 月 27 日正式通过《一般数据保护条例》( 以下简称《条例》)，明确了数据控制者和处理者新的义务，以保护欧盟公民的个人数据，该《条例》于 2018 年 5 月 25 日生效。根据《条例》，从公共领域或从数据泄露中检索到的所有个人可识别信息，都被视为个人数据。因此，物联网设备收集和存储的信息显然属于《条例》的管辖范围。

《条例》将数据持有者定义为数据控制者或数据处理者。《条例》既适用于数据控制者，也适用于数据处理者。数据控制者是指决定如何处理和为什么处理个人数据的人、组织或企业，而数据处理者是指处理个人数据的人或实体。《条例》提供了一套自上而下的、精简的法规，以确保欧盟内部遵守这套法规。

根据《条例》，数据控制者是决定个人数据处理目的和方法的实体。从本质上讲，任何收集欧盟公民数据的人都将被视为控制者，受《条例》的管辖。这包括在欧盟从事数据处理的物联网用户和物联网数据控制者。资料处理者是代表控权人处理个人资料的自然人或法人、公共机构、机构或其他团体。一般来说，《条例》定义的数据处理包括收集、使用、存储和销毁个人数据。其中，将“处理”定义为对个人资料的任何操作，不论是否采用收集、记录、组织等自动化方法。

如果消费者是个人资料遭泄露的受害者，资料管制员必须立即通知监管当局。《条例》允许消费者要求从公司手中删除他们的数据，要求公司在消费者信息被侵犯时通知消费者，并明确规定了不遵守所有条款的后果。《条例》允许消费者清理他们在浏览互联网时留下的电子痕迹。

《条例》要求，如果涉及个人数据泄露，如 DDoS和勒索软件网络攻击，必须报告数据泄露。处理个人资料的公司必须能够识别和处理违反《条例》规定的情况，此外还必须建立一套强制性的通知制度，处理个人数据需要获得个人的同意，以防个人资料被侵犯。

根据《条例》，沉默或不行动并不构成有效的同意；资料当事人必须通过同意选项，认可资料处理。此外，《条例》规定 13 岁以下的儿童不能表示同意，13 至15 岁的儿童要服从欧盟成员国的特殊法律。因此，为儿童创造物联网设备的物联网公司，在同意方面有额外的强制性要求。

根据《条例》的数据最小化条款，一家公司只被允许收集和处理该公司特别需要的数据，并在一定时间内适当达成其预期目的。例如，如果公司提供服务所需要的只是姓名和电子邮件地址，该公司不应收集额外的个人信息。因为就物联网公司而言，由于其互联性，公司至少能收集到比个人用户最初预期更多的信息。

在数据可携性权利方面，《条例》允许个人在技术可行的情况下，有权将个人数据直接从一个控制人传送到另一个控制人。例如，用户可以将数据从一个数据服务提供商传输到另一个数据服务提供商。

美国在数据安全保护的法律层面，采取了特定行业法规监管方式。目前，加州率先进行了严格的网络安全立法，部分原因是许多大型互联网公司的总部都设在该州。例如，最近在加州和马萨诸塞州通过的《加州消费者隐私法》对数据泄露通知法进行了修正。内布拉斯加州不要求网站运营商发布其隐私政策，但禁止在任何隐私政策中发表虚假或误导性的声明。其他州则完全没有保护措施。

2015 年 4 月，美国众议院通过了一项决议，要求美国制定一项鼓励物联网发展的国家战略。然而，该决议没有涉及物联网监管方面的内容。一些州已经开始通过有关物联网数据安全的立法，但每个州的法律不尽相同，不能涵盖所有的数据安全问题。

目前，《2015 年网络安全法案》是美国主要联邦法规之一，这部法案规范了预防、检测、分析和减轻网络安全威胁的授权。但对于如何在发生相关风险时对消费者进行赔偿，或要求公司承担责任等情况，法案没有明确规定。

到目前为止，美国侧重于制定连接设备和相关计算网络的安全标准。美国联邦贸易委员会已经发布了连接设备和系统的详细安全指南，美国国防部也为承包商发布了安全标准。然而，美国并没有推动立法来管理互联网连接商品和服务。

在法律法规之外，美国政府等机构也出台了一些指导方针，以期规范企业行为。美国联邦贸易委员会已经为企业提供了一些指导方针，帮助它们开发新的移动应用程序、设备和其他智能技术。

在立法建议方面，美国联邦贸易委员会认为，不应当制定物联网数据安全保护方面的专门立法，而建议考虑制定具有广泛基础的、灵活的和技术中立的数据安全保护立法。

美国联邦贸易委员会的建议与措施尽管存在局限性，但却有助于在鼓励技术创新和保护消费者数据之间保持平衡。比如，其对数据最小化概念的强调。美国联邦贸易委员会提供了企业进行数据最小化的四种方式：根本不收集数据；只收集产品运行所需的数据；收集敏感性较低的数据；非识别消费者的数据。

非识别指的是物联网公司确保它们从消费者那里收集的数据不会被重新识别，这个过程包括删除某些类型的识别信息，如消费者的出生日期或邮政编码等与个人隐私密切相关的信息。数据最小化意味着公司应该限制他们收集和保留的数据，并在不需要时进行处理。

除了建议采取数据安全立法以外，美国联邦贸易委员会还提出，国会应该通过一般的隐私立法，为公司提供指导方针，以帮助保护消费者的数据隐私。这些建议旨在推动企业管理消费者数据以及消费者使用其数据朝着更加透明的方向迈进。

尽管物联网涉及公民日常生活中大量的私人数据，但美国目前还没有形成良好的安全和隐私保护的法律框架，可见，其采取的是监管谦逊做法。

监管谦逊是指，考虑到如果监管过早，新生的物联网市场的创新可能会受到阻碍，在彻底了解可能受监管影响的实体或个人，并充分了解当前的法规和监管是否充分之前，应当推迟或延缓立法。目前，美国还没有标准或通信协议来管理不同制造商的物联网设备，大多数监管机构对此采取了放手的态度。

在监管方面，美国联邦贸易委员会依据《联邦贸易委员会法案》第五章规定，惩罚那些没有采取充分措施保护消费者数据的公司。如果美国联邦贸易委员会认为某家公司违反了第五章规定，未能保护消费者的数据，它就会提起诉讼，通常会以和解和同意法令的形式解决此类纷争。同意法令通常要求被告建立并执行一项改善其资料隐私和系统安全措施的系统，还要定期接受独立机构的外部审计。被告如果在此期间违反了同意法令，必须向美国联邦贸易委员会支付相应罚款。

美国联邦贸易委员会的方法是确保公司不滥用消费者数据隐私的有力举措，但还需要改进，使其成为更具实质性和有效性的执行机制。《联邦贸易委员会法案》授予美国联邦贸易委员会相应的权力，授权其采取相应的措施去确保物联网设备制造商不从事不公平或欺诈的行为。

物联网数据隐私监管的自由市场方法的支持者认为，虽然对保护消费者数据隐私的担忧是合理的，但这种担忧不应超过对保护“创新、企业精神、经济增长、价格竞争和消费者选择”的担忧。此外，自由市场方法的支持者认为，对快速发展的产业进行监管将限制创新，阻止具有重大社会和经济效益的技术发展。相反，他们设想利用自我监管、监管机构的压力和行业优秀做法来监管物联网。

监管物联网的自由市场方法将使设备制造商受益，因为它避免了额外监管的成本。自由市场方法的支持者关注的是企业应该能够在创造新技术的过程中进行试验和创新。

这些支持者认为，管制制度往往过于缓慢，无法适应技术迅速变化的现实，而且会增加企业的成本，从而阻碍创新。自由市场方法的支持者指出，监管机构往往认为消费者在购买产品服务时会做出非理性决策，但实际上缺乏对消费者的了解。

政府监管机构在涉及新技术时应该表现出监管谦逊。监管谦逊意味着在彻底了解可能受监管影响的实体或个人，并决定当前的法规和监管是否充分之前，推迟提出任何新监管的建议。

自由市场方法的支持者关注数据的“使用限制”，即企业在从消费者那里收集数据后如何使用这些数据。自由市场方法的支持者认为物联网公司应该向消费者提供关于他们数据使用政策的信息，限制他们收集数据的数量以及他们与第三方共享数据的数量，并试图保护数据免受入侵。

然而，采用自由市场方法监管物联网存在一定缺陷，一方面，它往往忽视消费者因数据隐私监管措施不当遭受的损害；另一方面，它忽略了一个事实，即相关监管机构不了解物联网的运作方式，这为部分企业利用监管漏洞创造了条件。

积极监管物联网数据隐私的方式，主要是要求企业采取措施保护消费者数据，包括限制公司利用消费者的数据 , 要求企业获得用户使用其数据的同意 , 并限制公司收集来自消费者的数据的类型。

如美国电子隐私信息中心（EPIC）主张政府应当采取积极的方法来保护消费者的数据隐私，这种方法需要颁布监管法规，禁止通过物联网公司侵犯数据隐私，保护消费者的数据不被滥用，但也可能产生相当大的负面效果。因为物联网还处于起步阶段，这种激进的方法可能会阻碍技术创新，最终对消费者的伤害大于对他们的帮助。

该决议要求物联网公司让消费者知道它们收集数据的做法，并让消费者知道公司收集了哪些数据。此外，还要求物联网公司不要以消费者反对的方式使用消费者数据。这些规则被称为使用约束，要求企业只收集最低限度的数据。欧盟采取了类似的方法来提高数据透明度，允许消费者能够看到自动处理个人数据所涉及的逻辑。

综合分析物联网环境下的个人数据隐私监管方法，在物联网数据隐私保护立法方面，有四大焦点问题值得关注。

2020年11月23日，浙江乌镇，2020年“互联网之光”博览会上的中国电信展台内，5G智能缝纫机吸引了众多观众的目光。图/本刊记者 李晗 摄

数据最小化原则是指企业应该限制他们收集和保留的数据，并在不需要数据时及时处理。一方面，对企业收集和使用数据进行限制，有利于保护消费者的隐私；另一方面，数据最小化监管有抑制创新的风险，因为企业需要利用消费者的数据以确保其设备是根据消费者的需求而量身定制的。

应当确立数据最小化原则，这不仅有助于避免消费者遭受数据泄露的风险，也有助于解决企业超出消费者合理预期使用数据的问题。数据最小化原则要求企业“应当根据自身的数据实践和业务需求”，制定“对消费者数据收集进行合理限制”的相关政策，并评估较少收集消费者数据是否可以达到企业的既定目标，如果不能达到目标，应当在征得消费者明确同意的情况下对数据进行披露。

“去身份识别”是一种防止个人标识符与信息相关联的过程。这个过程允许编译一些数据位，同时去除与消费者身份关联的个人标识符。去识别化的方法包括：采取合理的措施消除身份数据；收集数据的企业公开承诺不重新识别数据；与第三方订立可强制执行的合同，要求第三方承诺不会对获取的数据重新进行识别。

“通知与选择”是指物联网公司通知消费者，他们正在收集数据，并允许消费者选择是否同意。例如，物联网公司在收集数据时通知消费者，让消费者在购买产品时自行选择是否允许公司收集他们的数据，并为消费者提供隐私门户来管理他们的隐私。物联网公司在收集数据时不仅告知消费者哪些数据正在被收集，而且也让消费者自主选择如何收集和分享数据。

在应用于物联网设备时，传统的“通知与选择”很可能是无效的。正如学者 Daniel Solove 指出 , “通知与选择”有两个问题，首先由于物联网公司提供的通知存在一定的模糊性，消费者对其被收集数据的种类和范围并不完全知晓；其次 , 当消费者必须做出决定是否同意公司收集他们的数据 , 他们倾向于同意对其数据进行收集。

因为，大多数消费者不会阅读隐私声明，而且很少有消费者选择不让公司收集和使用他们的数据。使用“通知与选择”来保护消费者，那些简化“通知与选择”的建议，最终将会削弱这一原则所发挥的作用。

尽管对使用“通知与选择”存在一些争议，还是应当在允许技术创新蓬勃发展和保护消费者数据之间找到一个中间地带。物联网公司在进行数据收集时应该向消费者公开，并给他们选择的机会。“通知与选择”包括多种方式，如：发布教程对消费者进行隐私设置提供指导；为消费者提供 QR 码，当消费者扫描时，自动链接到相关网站界面；在设置选项中设置是否允许收集数据选项等。