物联网隐私、数据保护、信息安全

据了解，隐私和数据保护与信息安全是紧密相连的领域，尽管可能存在重叠的要求。本文件提供了物联网隐私、数据保护和安全、可能的选择和影响的挑战和目标的观点。

问题/挑战

物联网被理解为一种全球网络基础设施，通过利用数据捕获和通信能力将物理和虚拟对象连接起来。这一基础设施包括现有和涉及互联网和网络的发展。它将提供特定的对象识别、传感器和连接能力，作为开发独立的协作服务和应用程序的基础。其特点是高度自治的数据捕获、事件传输、网络连接和互操作性。

物联网有望使终端用户（个人）能够大规模参与关键业务服务（能源、流动性、法律和民主稳定）。智能对象不仅是内容和应用程序变化的驱动力。考虑到他们的能力，可能会改变功能，因为他们可以数字化增强和“升级”，他们可能获得破坏性的潜力，可能导致严重的影响。

事实上，如果物联网无所不在，每个人（个人和企业）都会关心。同时，物体的交联也为影响和交换提供了新的可能性。这就导致了信息安全以及隐私和数据保护方面的各种新的（以及已知的）潜在风险，必须加以考虑。每个风险的严重性和可能性取决于每个物联网应用程序/系统部署的环境。

物联网预计将包含大量传感器，收集和传递有关环境条件、生理测量和机器运行数据的数据。除了如今消费者使用的计算设备，如笔记本电脑、游戏机和智能手机之外，还有许多带有嵌入式处理器的设备和设备运行着人们使用的应用程序（智能东西）。由于应用程序控制的结果，许多智能设备也将能够执行物理操作。智能设备的设想是提供医疗保健、家庭功能、娱乐和许多尚未确定的新用途。

简而言之，考虑物联网愿景的以下特征：

• 四个关键技术领域为物联网提供了基础：普遍的识别和寻址、处理、联网和感知；
• 人与物之间的交流；
• 收集和处理的个人数据量将大幅增加，并将来自不同的来源（对象标识符、传感器数据等）；
• 大多数通信将自动进行–对象将决定与其环境交换数据，用户可能不会意识到这一点；
• 对象是异构的，根据其应用程序的上下文提供不同的功能；

基于上述特征，我们确定了隐私和数据保护以及信息安全方面的一些主要挑战和问题。

总的来说，我们认为隐私和数据保护以及信息安全是物联网服务的补充要求。特别是，信息安全被视为维护信息的机密性、完整性和可用性。我们还认为，信息安全是为行业提供物联网服务的一项基本要求，既要确保组织自身的信息安全，也要造福于公民。

我们可以说，在信息安全方面，一般的信息安全要求应该适用于物联网；但是，由于物联网是一种特殊情况，更多的是一种设想，而不是一种具体的技术，我们理解，要正确定义所有的要求是很复杂的。在这种高度相互关联的环境中，为了识别潜在的风险，我们可以注意到以下几点。

确保提供物联网服务的连续性和可用性-一个非常重要的挑战是确保提供这些服务的可用性和连续性，并避免任何潜在的操作故障和中断。这直接关系到提供基于物联网的服务时要遵循的架构模型：集中式与非集中式。例如，考虑到智能电网/电表的情况；电表可以由攻击者远程编程，这可能会导致大停电，而且很难或不可能恢复家庭供电；这意味着某些功能可能会影响电网的可用性。

还应提醒的是，不仅与被确认的人有关的数据必须被视为个人数据，而且对于与社会身份（姓名、地址等）不直接知晓的人有关的数据也应如此，但可能通过识别特定对象或将来自不同来源的数据组合来揭示

物联网技术的设计考虑–应在设计阶段系统地解决信息安全、隐私和数据保护问题。不幸的是，在许多情况下，一旦预期的功能到位，它们就会被添加进来。这不仅限制了附加的信息安全和隐私措施的有效性，而且在实施这些措施的成本方面效率较低。此外，物联网对象并不总是有足够的计算能力来实现所有相关的安全层/功能；在这种情况下，对象的异构性变得非常具有挑战性。同样，隐私政策的异质性也需要考虑。

风险是情境感知的和情境的–参与过程的个人越多，隐私考虑和政策就越具有上下文意识和情境性，因此识别和评估也就越复杂。关于隐私、数据保护和安全风险的识别，这取决于所考虑对象的上下文和目的（例如：健康、地理位置…）。例如，在智能能源管理应用（如智能住宅和智能电网应用）的背景下：如何确保某些隐私和数据保护原则，如知情同意和数据最小化，能够在自动化和开放的环境中生存？

可追溯性/分析/非法处理–数据收集的增加可能会引起对象的身份验证和信任问题。此外，还应注意到，通过使用从与一个人有关的多个对象收集的信息，该人可能变得更容易识别和更为人所知。

在物联网环境中，数据的重新利用/任务蠕变挑战被放大-由于在IOT环境中数据量的增加，数据将被用于另外或席上指定的目的的现有挑战变得更为严重。甚至在数据收集开始之前，就可以重新利用数据，例如，执法当局或情报机构可能会寻求访问他人为特定目的收集的数据。这不仅与侵犯个人隐私权有关，而且可能影响更广泛的社会和公众接受度。

为个人行使数据保护权，并遵守组织的数据处理立法–需要考虑物联网对数据主体行使其数据保护权利的可能性的影响，以及如何在该领域应用数据保护原则的问题。由于物联网应用程序在后台运行，个人甚至可能不知道正在进行的任何个人数据处理。此外，数据访问和控制、收集数据的许可和数据收集的最佳频率都是需要仔细考虑和解决的问题。

个人隐私的损失/侵犯以及数据保护——物联网环境的自然特征是设备、传感器、读卡器和应用程序的普及，这些设备、传感器、读卡器和应用程序有可能在这些环境中收集多种数据类型的个人。自动识别物体的可能性可能导致与这些物体相关的人的自动识别。因此，基于对象标识符、传感器数据和物联网系统的连接能力收集的信息可能会揭示关于个人的信息、他们的习惯、位置、兴趣和其他个人信息以及为便于在系统中使用而存储的其他偏好。与其他服务或来源提供的数据相结合，数据挖掘活动甚至可能会产生关于个人的新知识，而这些知识可能无法通过单独检查底层数据集来揭示。在这里，人们越来越担心电子识别和身份盗窃的失败。这个问题的最近一个例子可以在非接触式信用卡的实现中找到，从中可以读取姓名和卡号，而无需任何身份验证。有了这些数据，攻击者就有可能用持卡人的身份和银行账户购买商品。

实现对物联网设备和系统的恶意攻击–由于信息安全控制不充分或不适当而导致物联网系统受损是一个非常重要的风险，因为这可能会导致后续风险，其中一些风险已经在这里提到。我们面临的挑战是如何为物联网系统恰当地确定这些控制措施，对此，我们还不确定它们将如何演变。这些可能还需要为每个系统定义，还取决于最终的物联网架构（分布式或集中式）。然而，由于预计传输中的数据将比传统架构中更多，因此实现攻击和获得未经授权访问正在传输的数据的风险增加。

用户锁定–与现有应用和技术（如云计算和社交网络）一样，消费者被锁定在特定物联网服务提供商的风险增加，使得他们很难从一个提供商迁移到另一个提供商，并降低其数据可移植性。这种依赖性对用户控制数据和选择提供者的权利是有害的。

健康相关影响–信息和通信技术的快速发展导致越来越多的便携式设备和传感器（物联网）能够实现各种电子健康场景，如远程患者监控。预计“物联网”将对未来的医疗保健服务产生重大影响。然而，电子健康中物联网技术的高可靠性带来了重大的安全和隐私风险。尤其是，在患者身份识别和收集信息的可靠性方面存在风险。此外，基于物联网的现代电子健康解决方案正朝着收集和快速交换敏感数据的开放、互联环境发展，这使得问题变得更加困难。此外，在某些情况下，一个人的身体完整性（导致死亡等）甚至可能处于危险之中。例如，它可以是汽车中使用的主动或被动安全功能（例如，在某些情况下自动刹车）或卫生部门使用的“东西”（例如，如果起搏器可以远程编程，使人处于危险之中）。从健康应用程序中使用的物联网收集的信息也可能揭示出此人患有特定疾病，这可能被用于对此人进行身体攻击。

失去用户控制/决策困难-当然，自动化决策会产生一种失控的感觉，但也可能导致实际的失控，因为物联网的主要目标之一是赋予对象一定的自主权，并实现自动决策。感觉到的和实际的失去控制都可能对个人日常生活的许多方面产生严重影响。

另一方面，物联网可以帮助老年人或残疾人长时间呆在家里，控制自己的生活，而他们对某些“精细决策”的控制可能受到限制。然而，控制预期将是建立个人对物联网信任的重要基础。

设备或应用程序基于这一庞大的感应数据集自动做出的决策可能对数据主体不透明，因此会产生失控的感觉。此外，这些决定对于个人来说很难理解，尤其是通过传感器收集到的信息往往只能被个人潜意识地识别。

适用法律–鉴于物联网的全球性质，另一个问题是，个人和公司面临许多国家/地区数据保护法律，提供不同程度的保护。当物联网系统的数据控制者和受这些系统影响的个人位于不同的国家，这可能会导致许多不同的适用法律。

要达到的目标

基于上述背景，主要目标应该是有效的个人数据保护，这需要应用法律原则，以及服务的有效信息安全（保密性、完整性、可用性），以便为公民提供更好的物联网服务。

另一个有趣的因素是个人数据保护的普遍性问题，这将在物联网环境中非常相关。除了明显的法律问题外，还需要考虑用户选择范围和数据可移植性的问题。

由于物联网的国际/全球性质，提高数据保护立法的协调程度并确保高水平的执行是很重要的。

可以合理地预测，如果物联网从一开始就没有设计为满足作为基础的适当的详细要求

• 删除权
• 被遗忘的权利
• 数据可移植性
• 隐私和
• 数据保护原则那么我们将面临物联网系统的滥用和消费者损害的问题。

实现目标的政策选择

在制定物联网政策时，应仔细考虑两个一般原则：

• 物联网不得侵犯人的身份、人的完整性、人权、隐私或个人或公共自由。
• 个人应继续控制其在物联网内生成或处理的个人数据，除非这将与先前的原则相冲突。

根据这些原则，应考虑以下选择：

隐私、数据保护和信息安全风险管理–只有在进行良好的隐私、数据保护和信息安全风险管理的情况下，才能确定适当和相关的技术保障措施。RFID隐私影响评估框架似乎也为物联网案例中基于风险管理的方法提供了一个合适的原型。这一概念应伴随着有效和高效的数据保护执法手段，以确保适当和广泛的实施。它必须至少考虑背景、意外事件、威胁、脆弱性和风险的研究，以确定要采取的适当措施来减轻风险。

通常讨论或实施几种技术保障措施：数据最小化、加密、访问控制、增强个人对个人数据控制的技术、交换方式和隐私。但技术方面只是等式中的一个因素。在正确分析风险和影响时，不应只关注技术方面。研究组织/程序/“较软”和法律/监管措施也极为重要。

该方法应确保将数据保护原则（数据最小化、目的限制等）作为物联网系统的设计目标，并确保最佳实践（如使用临时标识符、审计日志、数据聚合、个人数据删除日期的定义、隐私友好的默认设置等）用于降低已识别的风险；在这种情况下，可以建立最佳做法和常见风险的目录。

此选项解决的挑战：

• 确保提供物联网服务的连续性和可用性
• 风险是情境感知的和情境的
• 可追溯性/分析/非法处理
• 个人隐私和数据保护的丢失/侵犯
• 实现对物联网设备和系统的恶意攻击——失去用户控制/决策困难

选项：

什么都不做：

数据保护和隐私以及信息安全的基本权利在设计阶段往往没有得到考虑。新技术的发展尤其如此，新技术的重点是核心技术挑战。因此，如果没有监管，这些问题不太可能由市场妥善解决。

软法律/自律：

铭记物联网的国际层面、由此产生的互操作性需求、协调的内部市场的重要性以及所载的隐私和数据保护基本权利的普遍性，为了确保开发符合基本权利的物联网技术和应用，在成员允许关键方法出现分歧是不可取的。

共同监管：

从长远来看，为协调隐私、数据保护和信息安全风险管理方法提供指导的政策可能足以实现预期目标。然而，这种方法的制定一方面可能需要太长时间，另一方面又缺乏确保适当实施所需的必要执行部分。

法律约束力：

为了确保隐私、数据保护和信息安全的统一高标准，制定一个共同的具有约束力的物联网数据保护影响评估框架似乎是合适的。同时，还应采取有效和高效的数据保护执法手段，以确保适当和广泛的实施。

（研究）设计隐私和默认隐私–通常不是技术本身增加了隐私、数据保护和安全风险，而是技术的开发和应用方式。如果应用于物联网系统，这种做法对隐私、数据保护和安全的负面影响将显著增加。因此，需要机制来确保没有不必要的个人处理数据发生后，个人被告知处理过程、其目的、处理者的身份以及如何行使其权利。同时，处理器需要遵守数据保护原则，如数据最小化、目的限制等，这在物联网环境中尤其具有挑战性，在物联网环境中，对象之间以及对象与人之间的自动通信是系统的核心，而无需人为干预。

在技术层面上，应制定适当的个人数据保护程序。例如，隐私策略（在用户级别），可以在对象内部推送/构建（并根据每个对象的技术特性进行翻译），最后由对象使用适当的机制强制执行，以确保数据保护。然而，技术上的挑战是，使处理能力和/或内存有限的对象能够接收和遵守这些策略。

需要加强个人行使其数据主体权利的可能性。需要确保向个人提供有关物联网系统数据处理、其对象、功能和目的的清晰、易于理解的信息。需要找到一些机制，使个人了解处理过程，并提供有关处理器、处理目的和行使数据主体权利的可能性的信息，因为大多数物联网应用程序预计将在后台运行，个人看不见也无法识别。

有关如何构建隐私友好型应用程序的信息需要提供给IT工程师、系统设计师和标准化机构，以确保设计隐私和默认隐私设置的概念在实践中得到实现。数据保护官员可能在这方面发挥着重要作用，前提是规定的最低要求确保他们自己得到充分的培训。

在教育系统的各个层次教育个人，需要研究实用主义教学材料和理论教学框架。

此选项解决的挑战：

• 物联网技术的设计考虑
• 风险是情境感知的和情境的
• 可追溯性/分析/非法处理
• 为个人行使数据保护权，并遵守组织的DP立法
• 失去用户控制/决策困难

选项：

什么都不做：

如上所述，市场不太可能在没有任何监管的情况下妥善解决隐私、数据保护和信息安全问题。

软法律/自律：

考虑到目前法律框架下存在的隐私、数据保护和信息安全问题，似乎没有迹象表明，基于自律的物联网领域将克服这些挑战。相反，可以说，即使是目前具有约束力的立法也不足以确保信息技术的发展符合基本权利。

数据保护立法：

协调/一致应用/加强执法–在法律层面，重要的是提高数据保护立法的协调程度，以确保该立法的一致应用，并确保高水平的执行。为此，上述讨论的“设计隐私”原则应是强制性的，包括数据最小化和数据删除原则。

同时，应加强数据保护机构，明确和协调其权力，并赋予它们执行所有相关权利和义务的权力，而不仅仅是选定的权利和义务。应对违反数据保护义务的行为实施重大制裁，并将强制性个人数据泄露通知的概念扩展到个人数据处理的所有领域。

为了确保数据保护立法的一致性和专业性，必须考虑数据保护官员的作用。除了确保高水平的合规性外，数据保护官还可以发挥乘数作用，为各自公司的员工和管理层提供数据保护教育。因此，他们还可以通过向相关参与者提供数据保护方面的专家知识，在物联网系统的设计中发挥重要作用。

应确保个人继续控制其个人数据，物联网系统提供足够的透明度，使个人能够有效行使其数据主体权利。这还涉及到，在数据处理是基于同意的情况下，必须有一个明确和非歧视性的选择来拒绝同意。此外，还应澄清，在这种情况下，个人对某些数据处理活动的同意应视为有效。尤其是在物联网的情况下，个人往往缺乏对技术功能的必要了解，因此对其同意的后果缺乏必要的了解。应明确规定同意书有效所需满足的条件。

关于个人数据的定义，需要加强和澄清间接可识别数据的概念，因为在实践中，数据处理者往往面临不确定性，特别是在唯一标识符方面。

此选项解决的挑战：

• 物联网技术的设计考虑
• 可追溯性/分析/非法处理
• 在物联网环境中，数据的重新利用/任务蠕变挑战被放大
• 个人隐私和数据保护的丢失/侵犯
• 用户锁定
• 适用法律

标准化-另外，在保证个人知情权的前提下，还可以提供一个明确的信息保护的前提条件。

另一方面，标准是自愿的，没有约束力。因此，对于预期的结果来说，工具可能过于“脆弱”。可能还需要其他更具约束力的监管措施。可以设想一项建议，并启动委托程序，以建立一个隐私风险管理工具（方法+最佳实践）。

为了使设计隐私和默认隐私成为现实，考虑数据保护要求应成为标准化过程中的强制性设计目标，因为标准可以作为隐私友好型应用程序设计的乘数。

在物联网的背景下，应具体阐述良好的应用程序设计、用户应用程序界面（可用性/可访问性）以及个人在物联网安全、数据保护和隐私（“授权”）方面发挥作用的工具。

此选项解决的挑战：

• 为个人行使数据保护权，并遵守组织的DP立法
• 用户锁定
• 失去用户控制/决策困难
• 每个政策选择的潜在影响

“在网络环境中建立信任是经济发展的关键。缺乏信任使得消费者在网上购买和接受新服务（包括公共电子政务服务）时犹豫不决。如果不加以解决，这种信心的缺乏将继续减缓新技术创新应用的发展，成为经济增长的障碍，并阻碍公共部门从其服务数字化中获得潜在利益，例如在提供更高效和资源密集型服务方面。这就是为什么数据保护在数字议程中，以及更广泛地说，在今年战略中发挥着核心作用。”

这种说法在物联网等新技术领域尤其如此，只有当个人信任并采用这些技术时，物联网才能充分发挥其经济潜力。

关于上述政策选择，潜在影响可能如下

什么都不做：

“今天，私人公司和公共当局可能会以前所未有的规模更容易地处理个人数据，这增加了个人权利的风险，并挑战了他们控制自己数据的能力（……）。此外，各成员在转换和执行该指令的方式上存在着很大的分歧，因此，在现实中，对个人数据的保护不能被视为当今同等的做法。”

物联网技术将导致处理的个人数据量大大增加。物联网技术的本质是在不需要人为干预的情况下自主处理和传输数据，因此不仅需要协调一致的技术标准，而且还需要法律要求。

无所作为可能会加剧不利影响，似乎是最不可取的选择。

软法律/自律：

特别是在开发技术领域，自律可能不会带来令人满意的结果，因为解决核心技术问题可能会优先于满足要求，因为适当考虑隐私、数据保护和信息安全方面，因为软性法律缺乏足够的执法特征。

因此，为了弥补现有弱点而可能采取的具有约束力的监管行动将导致更高的成本，因为那时已经存在的技术将需要改变，以符合要求，而不是按照要求进行设计，而这通常是IT开发中成本显著较低的选择。

共同监管：

由于标准是自愿性和非约束性的，该工具可能对预期结果过于“软弱”。然而，标准可以用来支持预期的发展，并引导人们朝着期望的方向前进。

法律约束力：

具有约束力的法律与更高水平的数据保护执法相结合，似乎是实现物联网技术符合基本权利和值得信赖发展目标的最有希望的选择。由于物联网技术处于非常早期的发展阶段，在发展的这个阶段提供明确的约束性要求似乎在经济上更可取。这样就可以根据这些需求设计技术，而不必在以后更改已经存在的技术。