物聯(lián)網隱私保護

物聯(lián)網將人、機、物廣泛互聯(lián)，由于分布式節(jié)點多、數(shù)據(jù)傳輸分散、監(jiān)管不到位等原因，物聯(lián)網的安全與隱私問題更加突出，已成為物聯(lián)網安全管理需要重點關注的內容。

一、物聯(lián)網用戶隱私與安全問題凸顯

物聯(lián)網直接暴露于互聯(lián)網，容易遭受網絡攻擊。據(jù)Gartner調查，近20%的企業(yè)或機構在過去的3年內遭受了至少一次物聯(lián)

網攻擊，用戶隱私也因此遭受著較大的泄露風險。

（一）智能玩具隱私泄露

物聯(lián)網已融入玩具世界，使玩具具有信息處理功能并越來越智能。如某款芭比娃娃玩具，能夠將兒童的談話傳到云端，不僅能分析小朋友的語言，并且還能做出“符合邏輯”的回話，再通過玩具內置的揚聲器與兒童交談。但該款芭比娃娃易受黑客的攻擊，黑客不僅可查看用戶的賬戶信息、系統(tǒng)信息及云服務器上存儲的音頻文件等，還進一步可獲得家庭地址等信息。此外，黑客不僅能夠利用芭比娃娃來竊取個人信息，還可以找到更新其服務器信息的方法，并通過麥克風向芭比娃娃發(fā)送其設定的回復內容。

（二）智能家居安全

智能家居已在公眾生活中越來越普遍，在極大地方便日常生活的同時，也存在不容忽視的安全問題。如某品牌的智能家居系統(tǒng)，黑客可以利用其智能系統(tǒng)存在的漏洞完全控制一個用戶賬戶，然后遠程劫持家用電器智能傳感器，包括冰箱、干衣機、洗碗機、微波爐以及吸塵機器人等。

（三）智慧醫(yī)療安全

黑客可以利用遠程醫(yī)療設備通信協(xié)議中存在的安全設計缺陷與硬件設備安全漏洞，通過遠程控制心臟起搏器等方式殺人于無形之中。

2014年5月，美國知名科技媒體撰稿人吉姆曾特（KimZetter）對現(xiàn)代醫(yī)院醫(yī)療設備展開了一次詳盡的調查，指出目前醫(yī)院所使用的大多數(shù)醫(yī)療設備都存在著被黑客入侵的風險，而這一風險甚至可能會造成致命的后果。美國食品及制藥管理局已經出臺了要求醫(yī)療設備制造廠強制檢查出廠設備安全性指導意見。

美國McAfee公司的資深信息安全專家巴納比?杰克模擬了黑客入侵醫(yī)療設備的過程，操控設備能夠按照他的意志“行兇”。巴納比和團隊利用無線電設備成功干擾了一臺胰島素泵的正常工作，利用計算機篡改胰島素泵原本的工作流程，實現(xiàn)逆向通信。至此這臺胰島素泵就處于黑客的控制中，黑客可隨意加快胰島素泵的注射頻率，短時間內把胰島素注入病人體內，這樣病人就會血糖急降，有可能因搶救不及時而死亡。巴納比說，他在距離胰島素泵91米以內的范圍就可實現(xiàn)干擾，又不被患者本人和醫(yī)護人員識破。

（四）可穿戴智能設備安全

隨著移動互聯(lián)網的普及，可穿戴智能市場備受關注，包括谷歌、蘋果、三星在內的許多互聯(lián)網公司都已推出可穿戴智能設備。谷歌眼鏡被指存在重大的安全隱患。黑客可以通過電腦控制谷歌眼鏡，從而獲得用戶的所見所聞及用戶的密碼等敏感信息。馬薩諸塞大學的研究人員發(fā)現(xiàn)，黑客可以利用谷歌眼鏡盜取用戶智能手機密碼，從而進入用戶智能手機，并盜取手機中的數(shù)據(jù)。

從技術層面上說，黑客完全有能力通過技術手段攻破并控制物聯(lián)網設備，可穿戴設備是與人們生活關聯(lián)度最高的聯(lián)網設備，出現(xiàn)問題可能不止是損失錢財，嚴重的甚至會威脅到使用者的生命安全。

二、物聯(lián)網的隱私安全威脅與攻擊

隱私安全威脅是制約物聯(lián)網應用的重要障礙。物聯(lián)網應用廣泛，其體系結構基本相同，隱私安全威脅主要集中在感知層

和處理層，包括以下幾個方面。

（一）非法訪問

用戶利用物聯(lián)網漏洞，非授權接入網絡和使用網絡資源，甚至發(fā)起網絡攻擊。用戶非授權訪問網絡內部數(shù)據(jù)，包括用戶個人信息、用戶資料、路由信息等。

（二）位置隱私泄露

位置隱私泄露是物聯(lián)網隱私的重要威脅，主要指物聯(lián)網在提供各種位置服務時面臨的位置隱私泄露問題，包括用戶位置隱私、傳感器節(jié)點位置隱私、基于位置服務中的位置隱私等。

（三）通信傳輸脆弱性

物聯(lián)網一般使用無線射頻信號進行通信，其固有的通信脆弱性很容易遭受外界攻擊，如攻擊者干擾認證信息、影響基站工作、信號劫持、偵聽、篡改、重放等多種形式的攻擊。

（四）拒絕服務

由于物聯(lián)網節(jié)點數(shù)目大、分布廣，一些漏洞容易被攻擊者利用和控制，形成僵尸網絡，對網絡發(fā)起分布式拒絕服務攻擊，會顯著降低網絡通信性能，甚至導致網絡癱瘓。

（五）惡意軟件感染

物聯(lián)網終端設備種類繁多，客戶端軟件和應用程序也是不勝枚舉，攻擊者很可能利用感知終端或節(jié)點的漏洞植入木馬、病毒等，實施偷窺隱私、劫持勒索，或作為跳板滲透和攻擊其他網絡。

三、物聯(lián)網隱私保護規(guī)范

傳統(tǒng)時代的隱私保護具有被動和防御特點，信息時代背景下的隱私保護應具有主動性與支配性，隱私保護在利益與風險之間權衡，既關注更強、更靈活的隱私保護，又支持網絡資源共享和互聯(lián)互通。無論歐美還是我國的網絡隱私保護法規(guī)尚在通用層面，物聯(lián)網隱私保護的實施可從中借鑒。

歐美等國家對隱私關注較早，隱私保護規(guī)范也相對完善，不同組織、國別的隱私保護規(guī)范側重點有所不同。

（一）早期經合組織的隱私保護規(guī)范

經合組織早在1974年就成立了一個關于個人信息和隱私權保護的專家組，發(fā)布了《保護個人信息跨國傳送及隱私權指導綱領》（1980）以及《經濟合作發(fā)展組織全球網絡隱私權保障政治宣言》（1998），重點是關于個人信息跨國傳送中的數(shù)據(jù)保護，并做了原則性的規(guī)定，分國內適用原則和國際適用原則。前者包括搜集限制、目的明確、利用限制、個人參與等，后者主要包括促進自由流通和合法限制。該規(guī)則對成員國約束力較弱，也沒有詳細規(guī)定如何制定立法，一些原則無法落實，但它承認了個人信息流動的重要性，確立了隱私政策協(xié)調的方向，對后來隱私政策的確立和實施有積極的參考意義。

（二）美國的隱私保護規(guī)范

美國是世界上最早提出并通過法規(guī)對隱私權予以保護的國家，在1974年通過《隱私法案》，1986年頒布《電子通訊隱私法案》，1988年又制定了《電腦匹配與隱私權法》及《網上兒童隱私權保護法》，明確了信息主體的權利（如個人信息公開的同意權、知情權、修改權，收集個人信息的政府或企業(yè)須承擔的義務等），以及將兒童網上隱私的保護列在最優(yōu)先的地位。

（三）歐洲的隱私保護規(guī)范

對于歐洲個人信息保護法，追溯其淵源可以從1981年歐共體的《個人信息保護公約》，到1995年《個人數(shù)據(jù)保護指令》，再到2016年《刑事犯罪領域個人信息保護指令》。歐盟于2018年5月頒布了史上最嚴網絡數(shù)據(jù)隱私保護法《通用數(shù)據(jù)保護條例》，這是對1995年《數(shù)據(jù)保護指令》的修訂、拓寬和升級，加強了歐盟所有網絡用戶的數(shù)據(jù)隱私權利，明確提高了企業(yè)對數(shù)據(jù)的保護責任，并顯著完善了有關監(jiān)管機制。對個人數(shù)據(jù)的隱私和保護將更加的透明和具有可操作性。雖然目前只在歐盟生效，其他國家即便不能照搬這一條例，但可以看出，加強個人隱私保護已是大勢所趨。

（四）我國的隱私保護規(guī)范

我國物聯(lián)網隱私保護依據(jù)也是主要從相關法規(guī)中套用，這些法規(guī)主要給予原則性指導。

2017年，全國信息安全標準化技術委員會發(fā)布了國家標準《信息安全技術個人信息去標識化指南（征求意見稿）》，明確了去標識化的定義，為披露和保護個人信息的行為提供標準依據(jù)，有利于保障數(shù)據(jù)主體的隱私安全。

2017年實施的《中華人民共和國網絡安全法》以及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》分別明確了個人信息保護的最少夠用原則和個人信息侵害的刑法適用準則。

2018年1月，國務院法制辦公布《未成年人網絡保護條例（送審稿）》，向社會各界征求意見，明確搜集未成年個人信息應以醒目標識告知，以及應獲未成年人或其監(jiān)護人同意、控制等原則。

2018年3月頒布的《民法總則》中以民事權利的方式規(guī)范個人信息保護，這是我國民事基本法對個人信息保護的首次明確規(guī)定，也為今后更完善的個人信息保護相關立法（如《個人信息保護法》）奠定了基礎。

從國內外有關隱私保護的法規(guī)可以看出，我國在個人信息保護的立法理念上與現(xiàn)行國際規(guī)則及歐美個人信息保護相關法律逐步實現(xiàn)接軌，分別從制度和技術層面，明確個人信息保護原則，并提供標準依據(jù)。

四、物聯(lián)網隱私保護指導原則

物聯(lián)網隱私保護要以用戶為中心，根據(jù)不同行業(yè)物聯(lián)網的特點，將隱私保護機制嵌入系統(tǒng)設計之初，通過立法、合規(guī)性審查、生命周期管理、隱私泄露懲罰機制，提高隱私保護的主動性。

（一）立法

借鑒國內外優(yōu)秀的隱私保護法規(guī)和理念，通過訂立法律規(guī)范，明確隱私保護原則和責任，構建一套預防性、高要求的隱私保護規(guī)范和標準。

（二）合規(guī)性

合規(guī)是指企業(yè)或組織遵守法律法規(guī)、監(jiān)管要求。物聯(lián)網企業(yè)須加強產品的合規(guī)性管理，能夠針對個人信息保護相關的法律法規(guī)、監(jiān)管要求說明遵守情況，以示其合規(guī)性。信息安全測評部門對物聯(lián)網客戶端的個人信息保護方案與措施進行合規(guī)性測評。

（三）用戶參與

充分支持用戶對其個人信息的知情權和控制權，用戶能夠支配個人信息處理進程，包括收集、存儲、傳遞、披露、使用、修改和刪除等過程或操作，增加個人信息管理的透明度，對個人信息的任何操作和使用須告知用戶，并支持用戶獲得最大程度的隱私授權選項。

（四）主動性

將重要安全問題提前到源頭解決，積極、主動地將隱私保護策略和實施融入產品的設計和開發(fā)中，確保隱私保護和系統(tǒng)的一體化，使其成為系統(tǒng)代碼的一部分，能夠更有效地提高物聯(lián)網安全和預防信息泄露。

（五）生命周期管理

除對某些個人信息實施加密保護外，明確個人信息的生成（收集）、使用、公開、銷毀等各個環(huán)節(jié)的管理，實施有效措施防止信息被非法訪問。

五、物聯(lián)網隱私保護技術

技術保護是落實隱私保護規(guī)范中保護原則的關鍵途徑，主要涉及物聯(lián)網的信息收集、存儲、傳輸、訪問以及位置等方面的保護。

（一）敏感數(shù)據(jù)保護技術

物聯(lián)網安全體系主要涵蓋感知、網絡、平臺和應用4個方面，包括數(shù)據(jù)的采集、傳輸、存儲、處理、分析和使用，物聯(lián)網隱私信息的泄露主要涉及系統(tǒng)不安全、不可控的問題，通常應用密碼技術實現(xiàn)物聯(lián)網中人、物、信息和網絡的機密性、真實性、完整性和抗抵賴等屬性，為物聯(lián)網數(shù)據(jù)安全、信任建立、監(jiān)管審計提供基礎支撐。當前，針對物聯(lián)網實際應用，亟待研發(fā)輕量級密碼技術，如輕量級認證、密文檢索、解密權限管理等技術，推動物聯(lián)網應用安全。

（二）位置隱私保護技術

物聯(lián)網節(jié)點位置隱私保護分為固定位置隱私保護和移動位置隱私保護，主要使用加密技術、匿名服務器技術、匿名區(qū)域和位置隨機化技術等。關注最多的是匿名區(qū)域算法中的K-匿名模型。在軌跡隱私保護中，主要方法是引入軌跡噪聲或動態(tài)假名。不同的位置隱私保護方法各有側重點，實際引入時需考慮隱私保護與服務質量之間的平衡。

（三）物聯(lián)網安全測評技術

物聯(lián)網安全測評是發(fā)現(xiàn)系統(tǒng)風險隱患、提高物聯(lián)網安全與可靠性的重要基礎。物聯(lián)網安全測評主要集中在以下幾個方面：1.物聯(lián)網隱私保護度測評，即隱私保護技術的合規(guī)性測評以及能夠保護物聯(lián)網隱私的程度；2.物聯(lián)網隱私保護措施的服務質量，反映在一定隱私保護強度下，能夠提供的服務質量，既包括物聯(lián)網應用的服務質量，也應包括應急處理措施；3.代價評估，物聯(lián)網的安全與隱私保護措施所需的資源代價，包括存儲、計算、傳輸?shù)荣Y源的消耗。

以往的物聯(lián)網設備制造商通常并沒有很強的安全背景，也缺乏標準來說明一個產品是否安全，很多安全問題來自于不安全的設計。目前國內已發(fā)布《物聯(lián)網參考體系結構》《網絡安全等級保護基本要求4：物聯(lián)網安全擴展要求》《信息安全技術物聯(lián)網安全參考模型及通用要求》等系列國家標準或行業(yè)標準，為物聯(lián)網廠商提供系統(tǒng)的安全要求、安全的開發(fā)規(guī)范、設備安全檢測規(guī)范等，能夠有力促進物聯(lián)網安全技術提升，推進物聯(lián)網合規(guī)性檢測，生產出合規(guī)的、安全可靠的物聯(lián)網設備。

物聯(lián)網隱私保護與傳統(tǒng)互聯(lián)網的隱私保護有許多共通之處，但物聯(lián)網存在節(jié)點分布廣泛、行業(yè)應用類型多、信息處理和存儲能力低、涉及大量隱私信息和可移動性等特點，使得物聯(lián)網安全方案有其獨特的一面。隨著物聯(lián)網設備的普及，物聯(lián)網的安全威脅程度在某些方面不亞于傳統(tǒng)網絡，加強物聯(lián)網技術保護、合規(guī)性審查與安全測評勢在必行。

（原載于《保密科學技術》雜志2018年9月刊）