物聯(lián)網(wǎng)隱私保護

物聯(lián)網(wǎng)將人、機、物廣泛互聯(lián)，由于分布式節(jié)點多、數(shù)據(jù)傳輸分散、監(jiān)管不到位等原因，物聯(lián)網(wǎng)的安全與隱私問題更加突出，已成為物聯(lián)網(wǎng)安全管理需要重點關(guān)注的內(nèi)容。

一、物聯(lián)網(wǎng)用戶隱私與安全問題凸顯

物聯(lián)網(wǎng)直接暴露于互聯(lián)網(wǎng)，容易遭受網(wǎng)絡(luò)攻擊。據(jù)Gartner調(diào)查，近20%的企業(yè)或機構(gòu)在過去的3年內(nèi)遭受了至少一次物聯(lián)

網(wǎng)攻擊，用戶隱私也因此遭受著較大的泄露風(fēng)險。

（一）智能玩具隱私泄露

物聯(lián)網(wǎng)已融入玩具世界，使玩具具有信息處理功能并越來越智能。如某款芭比娃娃玩具，能夠?qū)�兒童的談話傳到云端，不僅能分析小朋友的語言，并且還能做出“符合邏輯”的回話，再通過玩具內(nèi)置的揚聲器與兒童交談。但該款芭比娃娃易受黑客的攻擊，黑客不僅可查看用戶的賬戶信息、系統(tǒng)信息及云服務(wù)器上存儲的音頻文件等，還進一步可獲得家庭地址等信息。此外，黑客不僅能夠利用芭比娃娃來竊取個人信息，還可以找到更新其服務(wù)器信息的方法，并通過麥克風(fēng)向芭比娃娃發(fā)送其設(shè)定的回復(fù)內(nèi)容。

（二）智能家居安全

智能家居已在公眾生活中越來越普遍，在極大地方便日常生活的同時，也存在不容忽視的安全問題。如某品牌的智能家居系統(tǒng)，黑客可以利用其智能系統(tǒng)存在的漏洞完全控制一個用戶賬戶，然后遠程劫持家用電器智能傳感器，包括冰箱、干衣機、洗碗機、微波爐以及吸塵機器人等。

（三）智慧醫(yī)療安全

黑客可以利用遠程醫(yī)療設(shè)備通信協(xié)議中存在的安全設(shè)計缺陷與硬件設(shè)備安全漏洞，通過遠程控制心臟起搏器等方式殺人于無形之中。

2014年5月，美國知名科技媒體撰稿人吉姆曾特（KimZetter）對現(xiàn)代醫(yī)院醫(yī)療設(shè)備展開了一次詳盡的調(diào)查，指出目前醫(yī)院所使用的大多數(shù)醫(yī)療設(shè)備都存在著被黑客入侵的風(fēng)險，而這一風(fēng)險甚至可能會造成致命的后果。美國食品及制藥管理局已經(jīng)出臺了要求醫(yī)療設(shè)備制造廠強制檢查出廠設(shè)備安全性指導(dǎo)意見。

美國McAfee公司的資深信息安全專家巴納比?杰克模擬了黑客入侵醫(yī)療設(shè)備的過程，操控設(shè)備能夠按照他的意志“行兇”。巴納比和團隊利用無線電設(shè)備成功干擾了一臺胰島素泵的正常工作，利用計算機篡改胰島素泵原本的工作流程，實現(xiàn)逆向通信。至此這臺胰島素泵就處于黑客的控制中，黑客可隨意加快胰島素泵的注射頻率，短時間內(nèi)把胰島素注入病人體內(nèi)，這樣病人就會血糖急降，有可能因搶救不及時而死亡。巴納比說，他在距離胰島素泵91米以內(nèi)的范圍就可實現(xiàn)干擾，又不被患者本人和醫(yī)護人員識破。

（四）可穿戴智能設(shè)備安全

隨著移動互聯(lián)網(wǎng)的普及，可穿戴智能市場備受關(guān)注，包括谷歌、蘋果、三星在內(nèi)的許多互聯(lián)網(wǎng)公司都已推出可穿戴智能設(shè)備。谷歌眼鏡被指存在重大的安全隱患。黑客可以通過電腦控制谷歌眼鏡，從而獲得用戶的所見所聞及用戶的密碼等敏感信息。馬薩諸塞大學(xué)的研究人員發(fā)現(xiàn)，黑客可以利用谷歌眼鏡盜取用戶智能手機密碼，從而進入用戶智能手機，并盜取手機中的數(shù)據(jù)。

從技術(shù)層面上說，黑客完全有能力通過技術(shù)手段攻破并控制物聯(lián)網(wǎng)設(shè)備，可穿戴設(shè)備是與人們生活關(guān)聯(lián)度最高的聯(lián)網(wǎng)設(shè)備，出現(xiàn)問題可能不止是損失錢財，嚴重的甚至?xí)�威脅到使用者的生命安全。

二、物聯(lián)網(wǎng)的隱私安全威脅與攻擊

隱私安全威脅是制約物聯(lián)網(wǎng)應(yīng)用的重要障礙。物聯(lián)網(wǎng)應(yīng)用廣泛，其體系結(jié)構(gòu)基本相同，隱私安全威脅主要集中在感知層

和處理層，包括以下幾個方面。

（一）非法訪問

用戶利用物聯(lián)網(wǎng)漏洞，非授權(quán)接入網(wǎng)絡(luò)和使用網(wǎng)絡(luò)資源，甚至發(fā)起網(wǎng)絡(luò)攻擊。用戶非授權(quán)訪問網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)，包括用戶個人信息、用戶資料、路由信息等。

（二）位置隱私泄露

位置隱私泄露是物聯(lián)網(wǎng)隱私的重要威脅，主要指物聯(lián)網(wǎng)在提供各種位置服務(wù)時面臨的位置隱私泄露問題，包括用戶位置隱私、傳感器節(jié)點位置隱私、基于位置服務(wù)中的位置隱私等。

（三）通信傳輸脆弱性

物聯(lián)網(wǎng)一般使用無線射頻信號進行通信，其固有的通信脆弱性很容易遭受外界攻擊，如攻擊者干擾認證信息、影響基站工作、信號劫持、偵聽、篡改、重放等多種形式的攻擊。

（四）拒絕服務(wù)

由于物聯(lián)網(wǎng)節(jié)點數(shù)目大、分布廣，一些漏洞容易被攻擊者利用和控制，形成僵尸網(wǎng)絡(luò)，對網(wǎng)絡(luò)發(fā)起分布式拒絕服務(wù)攻擊，會顯著降低網(wǎng)絡(luò)通信性能，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。

（五）惡意軟件感染

物聯(lián)網(wǎng)終端設(shè)備種類繁多，客戶端軟件和應(yīng)用程序也是不勝枚舉，攻擊者很可能利用感知終端或節(jié)點的漏洞植入木馬、病毒等，實施偷窺隱私、劫持勒索，或作為跳板滲透和攻擊其他網(wǎng)絡(luò)。

三、物聯(lián)網(wǎng)隱私保護規(guī)范

傳統(tǒng)時代的隱私保護具有被動和防御特點，信息時代背景下的隱私保護應(yīng)具有主動性與支配性，隱私保護在利益與風(fēng)險之間權(quán)衡，既關(guān)注更強、更靈活的隱私保護，又支持網(wǎng)絡(luò)資源共享和互聯(lián)互通。無論歐美還是我國的網(wǎng)絡(luò)隱私保護法規(guī)尚在通用層面，物聯(lián)網(wǎng)隱私保護的實施可從中借鑒。

歐美等國家對隱私關(guān)注較早，隱私保護規(guī)范也相對完善，不同組織、國別的隱私保護規(guī)范側(cè)重點有所不同。

（一）早期經(jīng)合組織的隱私保護規(guī)范

經(jīng)合組織早在1974年就成立了一個關(guān)于個人信息和隱私權(quán)保護的專家組，發(fā)布了《保護個人信息跨國傳送及隱私權(quán)指導(dǎo)綱領(lǐng)》（1980）以及《經(jīng)濟合作發(fā)展組織全球網(wǎng)絡(luò)隱私權(quán)保障政治宣言》（1998），重點是關(guān)于個人信息跨國傳送中的數(shù)據(jù)保護，并做了原則性的規(guī)定，分國內(nèi)適用原則和國際適用原則。前者包括搜集限制、目的明確、利用限制、個人參與等，后者主要包括促進自由流通和合法限制。該規(guī)則對成員國約束力較弱，也沒有詳細規(guī)定如何制定立法，一些原則無法落實，但它承認了個人信息流動的重要性，確立了隱私政策協(xié)調(diào)的方向，對后來隱私政策的確立和實施有積極的參考意義。

（二）美國的隱私保護規(guī)范

美國是世界上最早提出并通過法規(guī)對隱私權(quán)予以保護的國家，在1974年通過《隱私法案》，1986年頒布《電子通訊隱私法案》，1988年又制定了《電腦匹配與隱私權(quán)法》及《網(wǎng)上兒童隱私權(quán)保護法》，明確了信息主體的權(quán)利（如個人信息公開的同意權(quán)、知情權(quán)、修改權(quán)，收集個人信息的政府或企業(yè)須承擔(dān)的義務(wù)等），以及將兒童網(wǎng)上隱私的保護列在最優(yōu)先的地位。

（三）歐洲的隱私保護規(guī)范

對于歐洲個人信息保護法，追溯其淵源可以從1981年歐共體的《個人信息保護公約》，到1995年《個人數(shù)據(jù)保護指令》，再到2016年《刑事犯罪領(lǐng)域個人信息保護指令》。歐盟于2018年5月頒布了史上最嚴網(wǎng)絡(luò)數(shù)據(jù)隱私保護法《通用數(shù)據(jù)保護條例》，這是對1995年《數(shù)據(jù)保護指令》的修訂、拓寬和升級，加強了歐盟所有網(wǎng)絡(luò)用戶的數(shù)據(jù)隱私權(quán)利，明確提高了企業(yè)對數(shù)據(jù)的保護責(zé)任，并顯著完善了有關(guān)監(jiān)管機制。對個人數(shù)據(jù)的隱私和保護將更加的透明和具有可操作性。雖然目前只在歐盟生效，其他國家即便不能照搬這一條例，但可以看出，加強個人隱私保護已是大勢所趨。

（四）我國的隱私保護規(guī)范

我國物聯(lián)網(wǎng)隱私保護依據(jù)也是主要從相關(guān)法規(guī)中套用，這些法規(guī)主要給予原則性指導(dǎo)。

2017年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息去標(biāo)識化指南（征求意見稿）》，明確了去標(biāo)識化的定義，為披露和保護個人信息的行為提供標(biāo)準(zhǔn)依據(jù)，有利于保障數(shù)據(jù)主體的隱私安全。

2017年實施的《中華人民共和國網(wǎng)絡(luò)安全法》以及《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》分別明確了個人信息保護的最少夠用原則和個人信息侵害的刑法適用準(zhǔn)則。

2018年1月，國務(wù)院法制辦公布《未成年人網(wǎng)絡(luò)保護條例（送審稿）》，向社會各界征求意見，明確搜集未成年個人信息應(yīng)以醒目標(biāo)識告知，以及應(yīng)獲未成年人或其監(jiān)護人同意、控制等原則。

2018年3月頒布的《民法總則》中以民事權(quán)利的方式規(guī)范個人信息保護，這是我國民事基本法對個人信息保護的首次明確規(guī)定，也為今后更完善的個人信息保護相關(guān)立法（如《個人信息保護法》）奠定了基礎(chǔ)。

從國內(nèi)外有關(guān)隱私保護的法規(guī)可以看出，我國在個人信息保護的立法理念上與現(xiàn)行國際規(guī)則及歐美個人信息保護相關(guān)法律逐步實現(xiàn)接軌，分別從制度和技術(shù)層面，明確個人信息保護原則，并提供標(biāo)準(zhǔn)依據(jù)。

四、物聯(lián)網(wǎng)隱私保護指導(dǎo)原則

物聯(lián)網(wǎng)隱私保護要以用戶為中心，根據(jù)不同行業(yè)物聯(lián)網(wǎng)的特點，將隱私保護機制嵌入系統(tǒng)設(shè)計之初，通過立法、合規(guī)性審查、生命周期管理、隱私泄露懲罰機制，提高隱私保護的主動性。

（一）立法

借鑒國內(nèi)外優(yōu)秀的隱私保護法規(guī)和理念，通過訂立法律規(guī)范，明確隱私保護原則和責(zé)任，構(gòu)建一套預(yù)防性、高要求的隱私保護規(guī)范和標(biāo)準(zhǔn)。

（二）合規(guī)性

合規(guī)是指企業(yè)或組織遵守法律法規(guī)、監(jiān)管要求。物聯(lián)網(wǎng)企業(yè)須加強產(chǎn)品的合規(guī)性管理，能夠針對個人信息保護相關(guān)的法律法規(guī)、監(jiān)管要求說明遵守情況，以示其合規(guī)性。信息安全測評部門對物聯(lián)網(wǎng)客戶端的個人信息保護方案與措施進行合規(guī)性測評。

（三）用戶參與

充分支持用戶對其個人信息的知情權(quán)和控制權(quán)，用戶能夠支配個人信息處理進程，包括收集、存儲、傳遞、披露、使用、修改和刪除等過程或操作，增加個人信息管理的透明度，對個人信息的任何操作和使用須告知用戶，并支持用戶獲得最大程度的隱私授權(quán)選項。

（四）主動性

將重要安全問題提前到源頭解決，積極、主動地將隱私保護策略和實施融入產(chǎn)品的設(shè)計和開發(fā)中，確保隱私保護和系統(tǒng)的一體化，使其成為系統(tǒng)代碼的一部分，能夠更有效地提高物聯(lián)網(wǎng)安全和預(yù)防信息泄露。

（五）生命周期管理

除對某些個人信息實施加密保護外，明確個人信息的生成（收集）、使用、公開、銷毀等各個環(huán)節(jié)的管理，實施有效措施防止信息被非法訪問。

五、物聯(lián)網(wǎng)隱私保護技術(shù)

技術(shù)保護是落實隱私保護規(guī)范中保護原則的關(guān)鍵途徑，主要涉及物聯(lián)網(wǎng)的信息收集、存儲、傳輸、訪問以及位置等方面的保護。

（一）敏感數(shù)據(jù)保護技術(shù)

物聯(lián)網(wǎng)安全體系主要涵蓋感知、網(wǎng)絡(luò)、平臺和應(yīng)用4個方面，包括數(shù)據(jù)的采集、傳輸、存儲、處理、分析和使用，物聯(lián)網(wǎng)隱私信息的泄露主要涉及系統(tǒng)不安全、不可控的問題，通常應(yīng)用密碼技術(shù)實現(xiàn)物聯(lián)網(wǎng)中人、物、信息和網(wǎng)絡(luò)的機密性、真實性、完整性和抗抵賴等屬性，為物聯(lián)網(wǎng)數(shù)據(jù)安全、信任建立、監(jiān)管審計提供基礎(chǔ)支撐。當(dāng)前，針對物聯(lián)網(wǎng)實際應(yīng)用，亟待研發(fā)輕量級密碼技術(shù)，如輕量級認證、密文檢索、解密權(quán)限管理等技術(shù)，推動物聯(lián)網(wǎng)應(yīng)用安全。

（二）位置隱私保護技術(shù)

物聯(lián)網(wǎng)節(jié)點位置隱私保護分為固定位置隱私保護和移動位置隱私保護，主要使用加密技術(shù)、匿名服務(wù)器技術(shù)、匿名區(qū)域和位置隨機化技術(shù)等。關(guān)注最多的是匿名區(qū)域算法中的K-匿名模型。在軌跡隱私保護中，主要方法是引入軌跡噪聲或動態(tài)假名。不同的位置隱私保護方法各有側(cè)重點，實際引入時需考慮隱私保護與服務(wù)質(zhì)量之間的平衡。

（三）物聯(lián)網(wǎng)安全測評技術(shù)

物聯(lián)網(wǎng)安全測評是發(fā)現(xiàn)系統(tǒng)風(fēng)險隱患、提高物聯(lián)網(wǎng)安全與可靠性的重要基礎(chǔ)。物聯(lián)網(wǎng)安全測評主要集中在以下幾個方面：1.物聯(lián)網(wǎng)隱私保護度測評，即隱私保護技術(shù)的合規(guī)性測評以及能夠保護物聯(lián)網(wǎng)隱私的程度；2.物聯(lián)網(wǎng)隱私保護措施的服務(wù)質(zhì)量，反映在一定隱私保護強度下，能夠提供的服務(wù)質(zhì)量，既包括物聯(lián)網(wǎng)應(yīng)用的服務(wù)質(zhì)量，也應(yīng)包括應(yīng)急處理措施；3.代價評估，物聯(lián)網(wǎng)的安全與隱私保護措施所需的資源代價，包括存儲、計算、傳輸?shù)荣Y源的消耗。

以往的物聯(lián)網(wǎng)設(shè)備制造商通常并沒有很強的安全背景，也缺乏標(biāo)準(zhǔn)來說明一個產(chǎn)品是否安全，很多安全問題來自于不安全的設(shè)計。目前國內(nèi)已發(fā)布《物聯(lián)網(wǎng)參考體系結(jié)構(gòu)》《網(wǎng)絡(luò)安全等級保護基本要求4：物聯(lián)網(wǎng)安全擴展要求》《信息安全技術(shù)物聯(lián)網(wǎng)安全參考模型及通用要求》等系列國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)，為物聯(lián)網(wǎng)廠商提供系統(tǒng)的安全要求、安全的開發(fā)規(guī)范、設(shè)備安全檢測規(guī)范等，能夠有力促進物聯(lián)網(wǎng)安全技術(shù)提升，推進物聯(lián)網(wǎng)合規(guī)性檢測，生產(chǎn)出合規(guī)的、安全可靠的物聯(lián)網(wǎng)設(shè)備。

物聯(lián)網(wǎng)隱私保護與傳統(tǒng)互聯(lián)網(wǎng)的隱私保護有許多共通之處，但物聯(lián)網(wǎng)存在節(jié)點分布廣泛、行業(yè)應(yīng)用類型多、信息處理和存儲能力低、涉及大量隱私信息和可移動性等特點，使得物聯(lián)網(wǎng)安全方案有其獨特的一面。隨著物聯(lián)網(wǎng)設(shè)備的普及，物聯(lián)網(wǎng)的安全威脅程度在某些方面不亞于傳統(tǒng)網(wǎng)絡(luò)，加強物聯(lián)網(wǎng)技術(shù)保護、合規(guī)性審查與安全測評勢在必行。

（原載于《保密科學(xué)技術(shù)》雜志2018年9月刊）