物联网研究报告——美国民主与技术中心就2013年物联网研讨
物联网研究报告
——美国民主与技术中心就2013年
物联网研讨会发表意见
徐若楠译
目次
一、物联网对隐私和安全构成现实威胁
二、公平信息实践原则和物联网
三、物联网的重要案例研究——健康领域应用
四、结论
作者简介
美国民主与技术中心是一家非盈利的互联网和技术倡导组织,致力于保持互联网和数字世界的开放,自由和创新,并促进保护隐私的公共政策。
一、物联网对隐私和安全构成现实威胁
在最近一篇文章中,该作者探讨了物联网的定义,并承认目前对于“物联网”没有达成统一的术语定义,但该作者就定义的表述及其广义程度认为如下定义最为贴切:物联网让任何人和任何物品可以在任何地方,任何时间相互联系,在理想的情况下可以使用任何路径或网络以及服务。从这个定义可以看出,物联网环境中的数据收集和人机交互应该是无缝对接的,对于一个特定的设备来说,它的运行几乎毫无阻碍。而这自然会给用户的隐私和安全带来一些具有挑战性的后果。
对消费者来说,数据收集和与物联网系统的交互很容易脱离设备本身运行所需的范围。例如,当智能电视使用语音或人脸识别来个性化用户体验时,它还可以很容易地获得与娱乐无关的周围环境(例如客厅)的信号。例如,它可能可以估算出一个家庭玩棋盘游戏的频率,或者在用户不知情的情况下记录下发生在客厅的电话对话。
虽然像电视这样的大型复杂智能物联网设备将拥有WiFi连接、软件更新、多种功能和接口,但我们预计,许多部署得更广泛的物联网系统将会更加简单,没有这些功能。这些设备将是廉价的,甚至是一次性的,所以制造商几乎没有动机为这样的设备提供定期安全更新。设备供应商失去这种安全更新的动机使智能手机市场的某些元素失效,从而导致数以百万计的易受攻击的设备在它们的保质期内没有获得任何改善。因此,我们期望看到,当仅仅基于网络和提供类似物联网通信服务的计算接口中出现漏洞时,设备供应商能够采取全新的市场事件类型,例如产品召回。当然,这些设备和系统中大部分可能永远不会在它们的售后环境中进行更新,而且家庭网络和支持物联网的通信平台将不得不设计用于处理本地网络上的错误和完全敌对(例如,通过漏洞或漏洞进行的黑客攻击)的用户。
这些设备上的用户界面可能非常简单,甚至不存在,这使得设备与用户的交互非常困难。用户界面对于用户控件的配置、设备提供通知和用户接受同意非常重要。正如我们下面讨论的,由于缺少用户界面,这些功能将不得不转移到物联网环境的其他元素上,要么是在网络本身内,要么是在非传统界面元素中的设备的物理特性(例如,在物联网牛奶盒上的一个下拉选项卡,使网络功能无法操作)。
此外,在这些设备上设置网络访问可能很困难,而且它们可能没有能力驱动更高级的网络协议,比如WiFi、蓝牙或蜂窝网络。因此,我们希望能够利用支持物联网的平台来协调大量低功耗和RFID或NFC支持的设备,使用RF信号本身而不是使用车载电源来为计算和网络电路供电。这引起了我们对全面收集数据的许多关注:很大程度上强大的商业公司控制着家庭或企业内部的物联网网络平台,它们能够收集、分析和处理传统私人空间中的大量数据。
我们必须强调的是,这可能是物联网系统设备的一个特点:许多适用于智能电网技术等家庭监控设备的问题将在物联网中出现。物联网系统将在大多数情况下成为传感平台,增强家庭或企业中的设备和对象。光传感器可以根据物体的位置来判断某些房间在夜间被占用的频率,或者冰箱被打开的频率。温度传感器可能能够告诉你什么时候洗澡、锻炼或完全离开家。麦克风可以很容易地接收到家庭中的谈话内容,并且能够以足够的保真度识别出说话者。本质上,我们在本节中强调的隐私和安全问题只会变得更加严重,而且考虑到物联网系统在家庭和办公室的可能部署。
二、公平信息实践原则和物联网
贸易委员会应强调,公平信息实践原则仍然适用于数据收集和互联互通程度提高的技术环境。事实上,在物联网领域侵犯隐私的可能性越大,就需要更严格地适用这些渊源已久的原则。
物联网并没有什么本质上的神奇之处,它的主要特点是增强了监视功能,然而这些物联网设备的消费者通常不认为设备具有这种监视功能。这些“智能”设备显然给消费者带来了积极的好处,但这些价值也不能让其在运作时可以超出公平信息实践原则的规范。相反,公平信息实践原则的存在恰恰是为了确保用户从这些新产品中得到他们真正想要的东西。
有些人提出了这样一个问题:贸易委员会应该如何将物联网作为一个二元选择来对待,要么禁止新兴技术,除非它们能够证明它们不会造成伤害(“预防原则”),要么允许新产品在不受干扰的情况下自由出现(“无许可性创新”)。我们认为这种二分法是错误的选择。贸易委员会应该像对待所有其他技术一样,积极适用《联邦贸易委员会法》第5条认定物联网领域问题。我们还认为,其他不受监管的公司向消费者提供新产品时,不应该被要求征得贸易委员会的许可。然而,贸易委员会一直以来都强调要求公司在收集数据时的相关长期原则,即让消费者有权进行选择和控制是否自身数据被收集利用,如果公司违反这些原则,那么它们应该受到强有力的执法制裁。在消费者对产品的理解范围内,如果公司在其收集的数据流中出现不符合或者超出消费者的合理期望的数据收集实践,其不应狡辩这种违法行为目的是为了科技创新。
其他人则提出,联网传感器(物联网和大数据的结合)的普及,意味着有太多信息可供用户控制。因此,他们认为应该弱化用户在信息治理中发挥的作用,甚至不应该发挥任何作用。这些评论员试图将公平信息实践原则从本质上剥离为两个单独的概念:企业责任和一些未定义的有害用途限制。我们认为这些评论未能正确阐释公平信息实践原则,其狭隘的解释使该原则的内涵有所退步。物联网时代的来临代表着设备提供商的数据收集利用能力显著增强,而这恰恰意味着,用户应该得到公平信息实践原则更强有力的保护,包括更强大和更有效的控制,从而应对饱和信息和像物联网场景下的交互环境的挑战。使用限制和公司责任这两个概念本身并不充分,组织并不完美,贸易委员会对拥有非常成熟的数据治理项目的大公司的大量执法记录就证明了这一点。此外,即使在理论上问责制已经很完善,也仍然无法防范所有的物联网数据隐私威胁。
物联网背后的基本技术并不是什么新技术——联网设备在多年前已经出现。不同之处在于它的范围——它不仅仅是三四个连接设备,它可能是十几个甚至更多——以及这种设备如今在家庭和办公室等私人场所得到越来越多的适用。但如今,消费者对智能设备收集其信息有合理的预期。我们不希望我们的手机或电脑将我们所做的所有事情的日志传输给设备制造商。如果我们注册了一个基于云的服务(比如FitBit这样的健康分析服务),我们希望能够控制该设备的服务过程中收集哪些数据,以及与谁分享这些数据。然而,如果消费者并不或无法控制,任何设备制造商都不能以增加的传感器和支持互联网的设备带来的复杂性来证明其隐藏的、无限制的和全面的数据收集是合理的。管理传统连接设备的规则——也就是公平信息实践原则——也应该应用于新技术的管理。仅仅因为一家电脑租赁公司可以在没有事先通知用户且未经用户同意的情况下远程打开网络摄像头并收集视频,并不意味着该公司就也应该这么做。同样,其他能够达到监视用户效果的新智能设备,不应该以收集大数据的名义擅自收集用户隐私信息。最终,选择是否接受数据收集的权利必须掌握在消费者手中。
(一)目的说明、使用限制和通知及透明度
通知、透明度、目的说明和使用限制等核心概念都清楚地适用于物联网领域。公司绝对应该告知消费者他们收集消费者数据的用途,而不能为了不公开的目的而使用或出售消费者的数据。
当然,物联网所涉及的数据收集和连接的增加意味着,可能有更多的信息收集应该告知给消费者。然而,就像适用于现有技术一样,贸易委员会现有的通知和透明度标准也应该适用于这些新技术。公司应该承担明确显著地向用户公开重要数据流收集的义务——这是在隐私政策之外的。目前的重大遗漏在于贸易委员会未能明确指出对于不直观但意义重大的数据收集、使用、转让也需要对用户公开,但根据《联邦贸易委员会法》第5条,这些行为将可以被认定为欺骗和不公平的行为。
也就是说,并不是所有的数据收集行为都可以或应该事先公开。但至少,公司应该在某个地方提供他们正在使用用户数据的具体内容。对于那些不需要明确而显著公开的信息行为,公司应该有义务在隐私政策中特别阐明这些行为。这种收集行为的透明性可以帮助倡导者、监管者和感兴趣的消费者要求企业对其行为负责。遗憾的是,在一些公司中存在这样一种趋势,他们将隐私政策表述得非常模糊,令人费解。这样做的部分原因是为了逃避其因作出可能不受消费者欢迎的数据行为而被追究责任,同时也为了避免被认定为违反《联邦贸易委员会法》第5条的欺诈行为。将《联邦贸易委员会法》第5条狭隘地解释为仅仅禁止虚假陈述,会导致公司倾向于很少公开其具体数据处理活动。公司在隐私政策中表述得越少,就越难以被认定为虚假陈述。基于这个原因,我们强烈支持联邦贸易委员会最近的执法行动,将未能描述隐私政策中的特定行为归类为违反第5条的欺骗性遗漏。
在隐私政策中描述未来用户数据的每一个应用可能既不现实,也不可能(这个问题不是物联网特有的,而是一般意义上的大数据问题)。出于这个原因,我们支持引用白宫关于消费者隐私报告中“具体环境”的概念:在该物联网设备环境下。如果一项新的数据使用与最初提供数据的原因相关,那么公司的收集使用数据行为不需要再次得到用户许可。然而,这并不意味着任何数据使用都可以通过在隐私政策中列出类别来覆盖,例如“产品改进”、“研究”或“与可信的第三方共享”。这些内容就像在一份合同中陈述:“您同意为随后确定的服务支付价格。”一样毫无意义。这些表述所要表达的目的过于模糊,甚至可以说是虚无的,消费者不可能被理解为同意任何如此虚无缥缈的东西。
另一方面,产品制造商可以明确地向用户声明,他们将从用户那里收集广泛的信息,以便在未来提供量身定制的建议或广告。现在谷歌的产品是一个很好的例子:谷歌告知用户其收集广泛的信息,包括地理位置等,都是为了更进一步地提供建议,比如根据你的日程安排和目前的交通模式,告诉你何时需要出发去机场。这种价值主张并不完全清晰——实际上,谷歌公司也会指出,它将继续迭代提供哪些服务——但这种安排的基本轮廓对消费者来说是清晰的。对于公司正在收集什么数据,以及他们如何代表消费者使用这些数据,公司与用户达成了一致。另一方面,对于手机制造商(如三星公司)来说,在用户不知情或未经许可的情况下,默认情况下做同样的事情是不符合具体环境的。
(二)数据最小化和安全性
我们强烈要求贸易委员会强调,数据最小化的概念在物联网和大数据时代仍然有效。当然,数据最小化的核心概念应该是无可争议的——不应该收集不需要的数据,也不应该保存不需要的数据。
当然,是否需要数据与前面关于目的规范的讨论有关——如果其目的的表述是模糊而难以理解的,如“产品改进”和“研究”,那么任何数据都可以被认为是某些尚未可知的未来数据应用所必需的。然而,我们敦促贸易委员会拒绝“我们可能最终发现数据的用途”构成数据收集和保存目的的充分规范的观点。在某种程度上,保留数据的边际价值将被数据被破坏或以其他方式被破坏的风险所抵消。贸易委员会应该鼓励(至少是鼓励)企业公开数据保留期限,从而减轻人们对过度保留和数据泄露可能性的担忧。
随着越来越多(越来越简约)的公司拥有收集和保存大量个人信息的能力,安全可能会成为物联网领域的一个特殊问题。贸易委员会应该向公司强调,如果他们未能保护他们所维护的数据安全,他们将继续为此承担责任,而是否清除旧数据将是评估一家公司的数据安全行为是否合理的一个独立因素。贸易委员会应对此明确表示,在评估公司数据行为为是否构成《联邦贸易委员会法》第5条规定不公平行为时,如果该公司持有不必要的数据就可以对此认定为不公平行为。
1.安全更新
贸易委员会提出了一个问题:如果设备提供公司与其用户没有持续的数据收集关系,公司如何才能向他们提供必要的安全更新。我们认为这方面并不存在必要冲突。如今,公司定期更新操作系统和其他软件,数据收集和交互非常有限。微软公司不需要知道用户如何使用Windows或Office来确定用户是否需要安全更新;它只需要能够检测到用户正在使用过时的软件。公司与用户偶尔的沟通和检查是必要的,但是交互的范围可以限定在最小程度上损害消费者的隐私。另一方面,我们不应该允许公司将安全更新的需求利用到涉及不相关数据收集的持续关系中,或者将广告软件或其他不相关的数据收集功能硬塞到为安全更新提供的软件中。
2.去身份识别
贸易委员会还提出了一个问题,即物联网是否对数据去身份识别或数据汇总构成了新的挑战。即使传感器和互联网连接的扩散,我们也认为不需要改变委员会在其2012年报告中阐明的框架:“只要满足以下三个条件:其一,收集的数据集不是合理的;其二,公司公开承诺不对数据去身份识别;其三,公司要求数据的任何下游用户将数据保持为去识别形式,这些数据将超出范围的框架。”
我们还敦促贸易委员会抵制削弱这一认定方法的解释:贸易委员会应强调,企业运营控制内部掩盖可以轻易撤销的数据并不构成对此类数据的去识别。虽然操作控制可能是强大的去识别方案的一个要素,使得数据得到充分的识别,使公司无法重新关联数据,即使公司完全有动力这样做,贸易委员会也应该拒绝可以通过简单的方式或托管密钥去识别——即使公司政策禁止这些活动。我们认为,这种企业控制具有保护隐私的好处,这些控制所允许的纵向研究也具有社会好处。然而,将这些数据称为“去识别”,夸大了这些数据与个人数据的分离程度。我们认为贸易委员会应该保留它的技术测试,该测试要求公司合理地相信,即使他们想要重新关联这些数据也无法做到。
3.用户控制和企业责任
在大数据和物联网时代,另一个令人不安的趋势已经变得普遍起来,那就是试图用企业责任取代消费者权利和选择。这一观点的支持者认为,由于有如此多的设备传输如此多的关于我们的数据,消费者不可能合理地期望对其进行管理。我们不同意这种数据家长式管理的新趋势。当然,更多的传感器和连接性意味着消费者有更多的控制权。但其结果应该是加强和高度可用的消费者控制,而不是减少控制。
这并不是说企业的责任和隐私设计不发挥重要作用。公司应该有义务对数据收集默认值和设计决策做出原则性的决定,以及是否需要通知用户选择加入或仅仅允许用户选择退出数据收集(基于数据的敏感性和全面性)。在某些情况下,让消费者进行选择可能根本不合适——例如,在哪些情况下,数据收集和使用对于产品实现的操作是必要的,或者事务数据对于防止欺诈是必要的。但是,对于数据的次要用途,最终应该授权使用者决定如何收集、使用、共享和保留数据。
出于这些原因,民主与技术中心强烈同意Ann Cavoukian博士、Alexander Dix专员和Khaled El Emam博士最近发表的一篇博客文章(以及即将发表的白皮书),题为“用户同意和个人控制并非过去式”。作者指出,鉴于对广泛的企业和政府数据收集行为的广泛关注,没有证据支持消费者希望被剥夺有意义选择的观点:
我们也不能忽视公众情绪。认为公众会欣然接受剥夺他们对个人信息的所有控制权,并将其交给私营企业和政府,这将是对公众观点的严重误解。没有证据表明立法者和公众今天准备抛弃他们现有的隐私利益。事实上,人们越来越不能容忍数据泄露和侵犯隐私(尤其是不可接受的大数据收集)。我们需要增加公众信任的变革——削弱个人控制很可能不是有效方案。
互联网的设计和运营基本上取决于终端的控制,即参与通信的每一个终端,而不是中介机构和其他中央决策者。物联网的架构应该允许用户做出自己的决定,创建自己的内容,并以他们认为合适的方式改善他们的生活。如果消费者花2000美元买了一台智能冰箱,她应该有权控制自己使用冰箱的信息是如何被收集和共享的。虽然不能指望用户对冰箱如何处理和分析每种食物的每个决定进行微观管理,但他们需要能够就该设备对其个人信息(以及其他有关私人场所的信息,例如设备所在的家庭和办公室)的处理做出一般性的整体决策。
说到底,收集信息应该由消费者来控制,而不是冰箱。
最后,如上所述,消费者控制是选择加入还是选择退出在很大程度上取决于敏感性和具体环境。但是,我们还将我们先前的意见纳入综合和平台级数据收集委员会。消费者用来访问其他服务的中介——并且具有捕获跨服务活动的能力——在大多数情况下应获得用户的明确同意以收集该数据。基于这个原因,我们在最近的一篇博客文章中提出,LG智能电视不应该在没有用户选择进入许可的情况下收集并将消费者正在观看的内容发送回LG公司。我们敦促贸易委员会支持这一立场。
4.更好使用户控制物联网设备和系统的可能方法
鉴于物联网必然带来的复杂性,我们敦促贸易委员会呼吁制造商制定强有力的全面控制措施,消费者对物联网设备可以进行有效管理。根据定义,许多物联网设备和系统将需要通过本地无线网络彼此通信,并在更广的区域网络(如互联网)中与其他系统通信。要让物联网设备在无线网络上运行,需要某种类型的网络设置。这个网络设置步骤——无论是在设备本身,还是通过本地网络上的物联网网络平台——都是与消费者进行交互的自然环节。如何针对该交互界面优化数据收集与共享的通知,是一个有待研究和业界探讨的问题。理想情况下,这样的交互界面可以利用用户希望让设备在网络上工作的愿望,来描述数据收集和共享的范围,以便用户能够对此类产品的使用做出明智的决策。
对于在物联网设备和系统之间实现一致的隐私控制体验而言,用户控制的标准化至关重要。例如,用户自然希望能够从物联网设备中移除所有网络功能,就该IoT设备而言,对于产品的目的而言,通信不是必需的。对于使用网络访问作为可能增强但对产品功能不重要的附加元素的产品,行业可能希望标准化可禁用网络通信的物理元素。这可能就像拉片或塑料泡罩一样简单,当移除或破坏时,会破坏网络所需的天线或电路。对于没有持久网络但只有呼叫和响应数据通信的RFID和支持NFC的物联网元件,这将是一项重要的隐私功能。例如,如果有人能够识别附在牛奶盒上的RFID中的唯一标识符,那么当该纸箱被扔掉并运到垃圾填埋场时,同一个人可能能够识别出哪一袋垃圾来自目标人并用它来检查其他敏感的废弃材料。
配置越来越多的支持网络的物联网设备很容易变得非常艰巨。因此,对于用户来说,在网络级别配置IoT隐私控制可能更有用和实用。也就是说,网络监控设备可以被设计用于物联网环境,其允许房主阻止或允许在家庭内部和外部到互联网的某种类型的通信。例如,用户可能自然地希望他的智能电视与家庭外的内容源进行通信,但可能不希望它在没有明确许可的情况下与家中的其他设备通信。作为另一个例子,在用户的眼中,廉价的消费产品(例如牙刷或牛奶盒)在外部进行通信可能是完全不合适的。互联网工程任务组(IETF)已经开展了一些标准工作,在本地网络中提供可信代理,可以作为物联网设备网络用户控制的单一服务点。我们希望看到行业努力促进和制定物联网设备和系统网络通信的聚合网络级用户控制的特定标准。
三、物联网的重要案例研究——健康领域应用
远程医疗技术——旨在提供传统医疗保健环境之外的医疗支持和健康援助——将成为物联网技术的关键应用。远程医疗应用的好处是广泛的,除了简单地提供有限形式的远程医疗和咨询,还可以对身体信号(血糖,心率,血压,核心体温等)进行细粒、连续、无创测量,然后可由专家软件系统和医疗保健提供者远程和异步地进行分析,具有巨大的潜力降低医疗保健成本,能够提高患者护理和保健质量。
然而,大多数远程医疗技术,既不是由医疗保健提供者提供,也并非医疗保险计划公司提供,这两种公司都必须遵守《健康保险便利和责任法案》(HIPAA),并受美国卫生和福利部执法机构管辖。这意味着,在贸易委员会第5条授权或适用的州法律之外,遭受损害或隐私侵犯的用户将几乎没有其他追责权。而医疗技术所收集的数据的性质——高度敏感、细粒度的健康数据——以及远程健康技术的设计和执行中存在漏洞或缺陷的可能性,意味着数据泄露或对用户造成潜在伤害的风险将很高。例如,远程医疗设备上的数据可能被窃听和泄露,这将带来严重后果。如果攻击者能够导致远程健康传感器报告错误的身体读数,可能会导致严重的身体伤害甚至死亡。
就公平信息实践原则而言,我们有必要了解一下每种具体方法在远程医疗的情况下应该如何应用:
(一)收集限制(数据最小化)
为了最大限度地降低违规或不当披露的风险,远程医疗技术应仅收集执行其功能所需的身体数据,并应尽可能以最高粒度(最低分辨率)进行,除非用户特别将其置于诊断模式或故障排除或校准提供商。如果需要高分辨率数据,最好将原始数据保留在传感设备本身上,并仅通过网络传输汇总结果(平均值,中位数,最小值或最大值等)。
(二)数据质量
远程医疗技术提供准确的传感器读数,将这些读数转换为可用的医学测量,尤其重要的是,要以不会导致混淆或不良医疗行为的方式将这些读数呈现给用户。这些步骤中的任何一个的失败都可能导致用户或代表用户的提供者采取不反映身体真实状态的行为并且可能引起不适,伤害甚至死亡。
(三)目的规范(使用限制)
远程医疗技术中数据将有一系列特定用途。其中一些只与读取和存储纵向身体测量值有关,而另一些则具有更广泛的功能,包括可能与更大的社区共享身体读数以进行健康活动参与和鼓励。对于用户而言,收集、共享和使用数据的范围应尽可能清晰,尽可能接近第一次身体测量。当读数无意中发布在他们的社交网络配置文件中时,远程医疗技术的用户并不应该也不想要收到这样的惊喜。同样,在健康背景下可能不直观的用途(例如营销相关用途)应该以更高标准得到用户的理解和同意。只有在特殊情况下,且获得才用户明确的知情同意或法律规定,公司才可以对这些数据进行非直接性的使用。
(四)安全保障
远程医疗技术的数据安全需要仔细考虑。对数据安全的威胁包括:在数据通过网络传输时未经授权访问和修改数据,同时数据驻留在远程医疗设备或支持设备(例如,智能手机)上,以及访问和修改任何软件或构成远程医疗设备的硬件。通用的身份验证和加密方法可以大大减轻这些威胁,但安全性必须成为产品设计过程中的重点,产品必须尽可能地设计应对售后环境中的新兴威胁,即使产品出现问题也是在安全保障的范围内,即当发生错误或出现问题时,它应该最小化用户的风险并以可访问的方式通知用户出现的问题具体是什么。
(五)透明度
远程医疗设备和系统制造商必须以可访问的方式详述设备本身所涉及的数据行为以及数据到达制造商后的数据行为(如果有的话)。高水平描述对行为进行描述是可行的,但更有能力的用户应该可以更深入地挖掘,例如,了解正在使用哪些加密标准和身份验证方法来保护设备,设备上的数据和传输中的数据。
(六)个人参与
用户应该能够访问记录他们身体的数据设备,他们应该能够很容易地理解和可视化它。例如,精通技术的I型糖尿病患者抱怨说,他们无法获得由胰岛素泵记录并传输给制造商的血糖测量数据。这些患者试图更好地了解自己的身体,他们感到沮丧和怀疑,因为制造商不会提供现成的数据,而这些数据基本上是由他们自己的身体生成的。开放可以帮助培养对技术的信任。选择检查这些数据的患者将更好地了解他们的病情,以及在他们的家和身体之外共享的数据。
(七)问责制
最后,远程医疗技术的制造商应该有适当的流程和现有的工作人员,可以帮助用户协商他们可能对健康数据和与远程医疗设备的交互所提出的问题和疑虑。如果公司不遵守上述标准,监管机构必须有权对公司的问题追责。
以上是关于公平信息实践原则如何应用于物联网远程健康技术的敏感数据极限的概述,对于考虑更一般的物联网应用具有一定的借鉴意义。虽然很少有设备类型收集的数据像健康数据一样敏感,但是一旦在现实世界中部署,要预测物联网设备、系统和平台将面临的风险是非常困难的。这可以非常清楚地说明公平信息实践原则在物联网领域更普遍的适用。物联网技术应该做到:
(一)只收集和传送该装置所需的数据;
(二)在考虑潜在风险时,确保数据尽可能准确;
(三)明确指定设备的用途,并确保后续使用数据符合指定目的;
(四)确保设备和数据的安全,防止窃听、不当修改、欺骗和其他威胁;
(五)以非常规用户和技术知识用户可接受的方式描述,设备中驻留的数据实践和过程以及数据(如果相关)在外部传输;
(六)允许用户访问设备记录和传输的数据;
(七)为用户提供明确的机制,可以评估如何实现上述每个目标,并规定补救和支持机制,以确定用户何时遇到困难或认为对此数据的某些承诺未得到满足。
四、结论
我们感谢贸易委员会在去年11月成功举办有关物联网的私隐和安全研讨会后,向社会征求更多意见。尽管物联网存在巨大的隐私和安全风险,但我们相信公平信息实践原则和以往一样重要,随着物联网领域在未来几年的发展,委员会将在指导和执行方面发挥重要作用。
参考文献
1.FED. TRADE COMM’N, Internet of Things: Privacy and Security in a Connected World, http://www.ftc.gov/news-events/events-calendar/2013/11/internet-things-privacy-and-security- connected-world
2.Gary Merson, Is Your TV Watching You? Latest Models Raise Concerns, NBC News Technology Blog (March 19, 2012, 10:46 AM), http://www.nbcnews.com/technology/your-tv-watching-you- latest-models-raise-concerns-483619.
3.Dan Goodin, ACLU Asks Feds to Probe Wireless Carriers over Android Security Updates, Ars Technica (April 17, 2013, 10:01 PM), http://arstechnica.com/security/2013/04/wireless-carriers- deceptive-and-unfair/.
4.CTR. FOR DEMOCRACY & TECH. & ELEC. FRONTIER FOUND., “Proposed Smart Grid Privacy Policies and Procedures,” before The Public Utilities Commission of the State of California (December 18, 2008), available at https://cdt.org/files/pdfs/CDT_EFF_PoliciesandProcedures_15Oct2010_OpeningComment_1.pdf.
5.MERCATUS CTR., Privacy and Security Implications of the Internet of Things (May 31, 2013), available at http://mercatus.org/publication/privacy-and-security-implications-internet-things.
6.TrendNet Inc., File No. 1223090 (Fed. Trade Comm’n Sept. 2009) (decision and order), http://www.ftc.gov/sites/default/files/documents/cases/2013/09/130903trendnetorder.pdf.
7.Justin Brookman & G.S. Hans, Why Collection Matters: Surveillance as a De Facto Privacy Harm, FUTURE OF PRIVACY F., available at http://www.futureofprivacy.org/wp-content/uploads/Brookman- Why-Collection-Matters.pdf.
8.DesignerWare LLC., File No. 1223151, Docket No. C-4390 (Fed. Trade Comm’n Apr. 11, 2013) (decision and order), http://www.ftc.gov/sites/default/files/documents/cases/2013/04/130415designerwaredo.pdf
9.FED. TRADE COMM’N, Mobile Privacy Disclosures: Building Trust through Transparency (Feb. 2013) at 23-24, available at http://www.ftc.gov/sites/default/files/documents/reports/mobile-privacy- disclosures-building-trust-through-transparency-federal-trade-commission-staff- report/130201mobileprivacyreport.pdf; FEDERAL TRADE COMMISSION, .com Disclosures: How to Make Effective Disclosures in Digital Advertising (March 2013) at 7, available at http://www.business.ftc.gov/sites/default/files/pdf/bus41-dot-com-disclosures-information-about- online-advertising.pdf; Sears Holding Mgmt. Corp., File No. 0823099, Docket No. C-4264 (Fed. Trade Comm’n Aug. 31, 2009) (complaint), http://www.ftc.gov/sites/default/files/documents/cases/2009/09/090604searscmpt.pdf.
10.Sears Holding Mgmt. Corp., File No. 0823099, Docket No. C-4264 (Fed. Trade Comm’n Aug. 31, 2009) (complaint), http://www.ftc.gov/sites/default/files/documents/cases/2009/09/090604searscmpt.pdf; DesignerWare, LLC. File No. 1123151 (Fed. Trade Comm’n August 2012), http://www.ftc.gov/sites/default/files/documents/cases/2012/09/120925designerwarecmpt.pdf.
11.Casey Johnston, Snapchat’s Bad Security Shows How Data Use Policies Fail, Ars Technica (Jan. 6, 2014, 10:59 AM), http://arstechnica.com/tech-policy/2014/01/snapchats-bad-security- shows-how-data-use-policies-fail/.
12.Goldenshores Tech. LLC, File No. 1323087 (Fed. Trade Comm’n Dec. 05, 2013) (complaint) http://www.ftc.gov/sites/default/files/documents/cases/131205goldenshorescmpt.pdf; G.S. Hans, Goldenshores Case Demonstrates Flaws in Current Mobile Privacy Practices, Center for Democracy PolicyBeta (Dec. 23, 2013), https://www.cdt.org/blogs/gs-hans/2312goldenshores- case-demonstrates-flaws-current-mobile-privacy-practices.
13.White House, Consumer Data Privacy in a Networked World at 17 (Feb. 2012), available at http://www.whitehouse.gov/sites/default/files/privacy-final.pdf.
14.Douglas v. U.S. Dist. Court ex rel Talk America, 495 F.3d 1062 (9th Cir. 2007).
15.Justin Brookman & G.S. Hans, Why Collection Matters: Surveillance as a De Facto Privacy Harm, FUTURE OF PRIVACY F., available at http://www.futureofprivacy.org/wp- content/uploads/Brookman-Why-Collection-Matters.pdf.
16.Bruce Schneier, The Internet of Things is Wildly Insecure – and Often Unpatchable, WiredOpinion (Jan. 6, 2014, 6:30 AM), http://www.wired.com/opinion/2014/01/theres-no-good-way- to-patch-the-internet-of-things-and-thats-a-huge-problem/.
17.Ed Bott, A Close Look at How Oracle Installs Deceptive Software with Java Updates, ZDNet (Jan. 22, 2013, 11:00 AM), http://www.zdnet.com/a-close-look-at-how-oracle-installs-deceptive- software-with-java-updates-7000010038/.
18.Nick Hide, LG Promises Firmware Update Will Fix Smart TV Privacy Snafu, CNET UK (Nov. 21, 2013, 5:42 PM), http://crave.cnet.co.uk/televisions/lg-promises-firmware-update-will-fix-smart-tv- privacy-snafu-50012828/.
19.FEDERAL TRADE COMM’N, Protecting Consumer Privacy in an Era of Rapid Change (February 2012), available at http://www.ftc.gov/sites/default/files/documents/reports/federal-trade- commission-report-protecting-consumer-privacy-era-rapid-change- recommendations/120326privacyreport.pdf.
20.See, e.g., Future of Privacy F., Mobile Location Analytics Code of Conduct, http://www.futureofprivacy.org/wp-content/uploads/10.22.13-FINAL-MLA-Code.pdf (distinguising “de-personalized” data from “de-identified” data).
21.E.g., Eduardo Ustaran, Yes, Consent is Dead. Further, Continuing to Give it a Central Role is Dangerous. (Dec. 18, 2013), Privacy Perspectives, https://www.privacyassociation.org/privacy_perspectives/post/yes_consent_is_dead._further_conti nuing_to_give_it_a_central_role_is_danger.
22.Ann Cavoukian, Alexander Dix, & Khaled El Emam, Consent and Personal Control Are Not Things of the Past (Jan. 8, 2014), Privacy Perspectives, https://www.privacyassociation.org/privacy_perspectives/post/consent_and_personal_control_are_ not_things_of_the_past.
23.CTR. FOR DEMOCRACY & TECH., Comments of the Center for Democracy and Technology on the Federal Trade Commission’s “The Big Picture: Comprehensive Data Collection Online” Workshop (March 8, 2013), http://www.ftc.gov/sites/default/files/documents/public_comments/2013/03/bigpic- 04.pdf.
24.Note that some types of ephemeral networking — like wireless communication involved in Radio Frequency ID (RFID) and Near-Field Communication (NFC) applications — are designed not to require networking configuration.
25.Phillip Hallam-Baker, Internet-Draft: OmniBroker Protocol, Internet Engineering Task Force (July 8, 2013), http://tools.ietf.org/html/draft-hallambaker-omnibroker-06.
编辑:袁姝婷
-
民安教授说民法
欢迎关注!
-
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20190908A09VR800?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
