本站小編為你精心準備了物聯網隱私風險控制策略參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

一、物聯網隱私風險主要特征

隱私概念深深地植入人類現代文明中。對隱私保護的關注已經證明是影響物聯網技術發展的一個顯著屏障。事實上，物聯網上的數據采集、挖掘和提供以完全不同于我們現在所知道的方式進行。物聯網對個人數據采集數量驚人。對于公眾個體而言，自身很難控制個人信息不被披露。隨著信息存儲成本持續下降，信息一旦產生，將可能被永遠保留，從而“拒絕數字遺忘”。物聯網意味一種潛在的環境：個人隱私以多種方式受到威脅。物聯網隱私風險主要特征表現在：

1.存在上的必然性當越來越多的日常物體都貼上無線射頻識別（RFID）標簽時，物聯網隱私問題具有泛在性和必然性，無時不在，無處不在，涵蓋物聯網系統中個人數據的使用、存儲和采集等方面。物聯網技術的目的是讓人生活得更美好，讓環境更適應人。而讓環境更適應人的前提是獲悉人的生活習慣、偏好、精神狀態、地理位置、健康狀況、身份等“隱私”信息。配置有傳感器、攝像頭等物聯網設備的環境可以監測所有人或物的運動、溫度、濕度、聲音、光線等方面。所有的數據可以通過在線數據庫存儲。通過數據分析、挖掘技術可以搜索到這些數據以發現相關的模式，對人或物的行為做出預測，以提供符合個人偏好的產品或服務。物聯網技術滲透到社會的方方面面，每個人都是物聯網技術的接受者和被接受者，都是物聯網技術的用戶。這些數據和信息的采集、通信傳輸、分析計算需要以一種不干擾他人生活、通信自動的、人性化的方式進行。從技術上講，私人生活、家庭生活、家居生活和公共生活無任何秘密可言。所以，生活更美好與隱私風險就如同一枚硬幣的兩面：同時存在而又不可避免。

2.操作上的非自主性以無線射頻識別技術為代表的物聯網技術有令人不安之處：主要集中在自動收集個人數據，這些數據在沒有經過當事人同意的情況下有可能被第三方使用，從而對公民的隱私和人身安全產生威脅。在進入安裝有傳感器網絡地域的時候，個人不能控制、難以選擇他們的何種信息正被采集和處理，沒有自決權。例如，某一地域安裝有攝像頭組成的傳感器網絡，個人避開攝像頭攝取其圖像的唯一方法就是不進入該地域。雖然可以將個人頭像進行模糊處理以保護他們的隱私，但是圖像復原技術仍然能夠按原樣重新修復相關人員的頭像。操作上非自主性還表現在信息采集上的隱秘、無處無時不在的監控和泛在的傳播等方面。個人可能對這些“被觀察”、“被跟蹤”、“被分析”、“被定位”等全然不知。數據采集過程本身很可能就是技術暗箱。事實上不可能詳細地知道誰采集數據，數據轉發給誰，他們使用的目的是什么。任何涉及隱私的通信，任何私人的接觸，任何信息都會在任何時間被捕獲、被復制。

3.安全上的脆弱性在物聯網環境中，隱私將受到更大的威脅：大量的微系統參與到高動態、自組織的物聯網。物聯網感知層、通信層和應用層任何一方面都可能成為攻擊的對象。系統越復雜越脆弱。一旦系統被侵入，就發生多米諾骨牌效應，隱私信息一覽無余。首先，物聯網感知系統在大部分時間里無人值守，容易受到物理攻擊；其次，大多數通信是有線的，極易被竊聽（即使是無線的，通信也有可能被截?。?；最后，就能耗和計算資源（特別在無源組件情形）而言，大部分物聯網組件計算能力較低，它們不能實施復雜的方案以支持安全。更具體地說，與安全有關的主要問題是認證和數據完整性問題。以認證為例，它常常需要合適的認證基礎設施和服務器，通過和其他節點進行合適的信息交換以實現其目標。在物聯網情境下，如果無源無線射頻識別標簽不能和認證服務器交換很多信息的話，這些方法就不能得到應用。同樣的道理也適用于傳感器節點。

4.認知上的差異性作為一種現象，信息隱私可能與文化有關。大量有關隱私的研究文獻表明隱私風險感知因國別而異。不同的文化中，公眾對隱私風險做出不同的反應。這就意味著隱私風險蘊含著不同的利益取向、標準和價值觀。就國家和地區而言，美國、歐盟制定了相對嚴格的隱私規范。而亞洲國家公眾的隱私觀念相對淡薄。即使就歐盟成員國來說，公眾對隱私的認知也有差異。根據歐盟委員會報告，66%的顧客要求商場明確標明商品是否采用無線射頻識別標簽。74%的雇員關心雇主是否用無線射頻識別跟蹤其行為。然而，在跟蹤危險物品時，公眾更樂意接受無線射頻識別的使用。認為隱私保護方法重要、需要采取技術措施對商品實行保護的占70%，認為隱私意識需要提高的占67%，認為法律制度重要的占55%。多數人認為共同標準和規范能提高隱私保護水平，也有很多受訪者相信研究的重點是隱私增強技術。盡管歐盟成員國已經制定了廣泛的數據保護法，但是一些調查者指出隱私問題的根源在于缺乏統一標準。一些調查者提出制定特別法。還有些調查者提出應對無線射頻識別技術進行風險評估。隨著信息和通信技術的迅速發展，公眾對“隱私究竟是什么”的問題越來越困惑。隱私到底是什么？概括而言，隱私是一種權利、商品、“隱匿、獨處、保留、親密”的生活狀態、控制。但是公眾對于隱私的觀念因人而異。以隱私是一種權利為例，公眾在權利的內容、重要性以及經營者應遵守的隱私保護義務和禁令及其重要性等方面存在差異。除此之外，認知上的差異性很大程度上歸因于信息的不對稱性。

二、物聯網隱私風險的技術控制策略

物聯網隱私威脅來自信息和通信技術的進步，大多數研究者和技術開發者首先從技術層面考慮對隱私風險的控制。

1.隱私保護增強技術物聯網的隱私風險一方面來源于互聯網和IT基礎結構提出的安全問題，比如蠕蟲、拒絕式服務攻擊、身份竊取、病毒等；另一方面來源于新的技術挑戰，比如無線射頻識別技術。讀取器和標簽可以隱匿式地嵌入物品。通過這種方式，可以靜悄悄地識別和跟蹤攜帶有無線射頻識別標簽的人。因而無線射頻識別技術的擴散會帶來嚴重的數據保護問題。為了維持數據的機密性，需要新的機制來限制獲取存儲在物體（比如無線射頻識別）上的信息。需要進一步控制是否允許物體在任何時間或者特定時間接入（連接、傳輸或接收）物聯網。因此，為了確保信息的機密性和完整性，需要提供防止未授權獲取、編輯數據的機制（比如端對端編碼、使用數字簽名等）。目前隱私增強技術主要有虛擬專用網、傳輸層安全、DNS安全擴展、洋蔥路由加密等。在行業實踐中，EPCglobal提出使用無線射頻識別技術的準則。但是這些準則存在缺陷，原因是有兩個主要的隱私———個人隱私和位置隱私容易被標簽泄露。其解決辦法有：滅活標簽（用32位密碼完成）、暫時廢止標簽法（讓標簽休眠，然后發送密碼來激活它）、動態改變標識符法、重新標記標簽法、最低限度地加密法（標簽包含一個假名的集合，基于讀取器的查詢釋放不同的假名）、重新加密法、靜電屏蔽法（將標簽隔離于任何電磁波）、有源干擾法（讓RF射頻通道擠滿無線信號以致標簽隔離于電磁波）、標簽信號攔截法等。另一種增強安全和隱私保護的方法是對等（Peer-to-Peer,P2P）網絡系統，客戶身份認證可以通過共享機密或使用公共密鑰實現加密。標簽的存廢需要由用戶來決定。無線射頻識別標簽要么放在受保護的“法拉第籠”的鋁箔網（特定頻率的無線電信號無法穿越）中，要么“滅活”，即將它們移除和銷毀。這兩種方法都有一定的缺點。雖然把標簽放在特制的籠中相對安全，但是將每個產品上的標簽放置在籠中，增加了使用標簽的繁瑣程度?？蛻粲锌赡軘y帶標簽而不知悉。因此，用戶依然被跟蹤。雖然在物聯網情境中，滅活選擇是最有效的防止隱私泄露的方法，它可以永遠阻絕任何使用無線射頻識別的意圖，但是滅活方案也存在問題：發送“滅活”指令到標簽，這為標簽重新激活留下空間，或者一些標識信息留在標簽里。此外，企業為了保留個人隱私信息，可能為不銷毀標簽的用戶提供獎勵，使得隱私泄露成為可能。還有一種方法是解除標簽和識別對象之間的連接而不用滅活標簽。比如將對象命名服務（ONS）上的信息刪除以保護用戶的隱私。雖然標簽可以依舊讀取，但是不能檢索有關個人的進一步潛在信息。

2.身份管理技術隱私增強技術的標簽方案常常是基于自動授權訪問標簽讀取器的應用程序。標簽要能夠執行復雜的加密功能（取決于加密技術的應用）、后臺數據庫或公共密鑰管理基礎設施。該方法可以阻攔讀取未經授權的無線射頻識別標簽，但是并沒有給用戶提供控制或通知的可能性，這就需要一種身份上的管理。身份管理有兩種方案：和假名。方案旨在以一種智能的方式為用戶或標簽所有權人處理授權行為，而將隱私管理功能賦予工具。這些工具可以執行不同的任務，從提供讀取進程、攔截無線射頻識別通信的信息到復雜的依賴語境的管理個人隱私偏好，相應地選擇允許或干擾無線射頻識別通信。這一功能可以由數字助理來執行，其核心是用戶配置方案。用戶配置方案關聯到用戶的通知或同意。當標簽所有權人離開商店，用戶配置方案建議鎖定無線射頻識別標簽，將鎖定程序直接交給所有權人控制（所有權人可以選擇一個密碼用來鎖定或批準訪問）。用戶配置方案在實踐中并不可行，因為配置方案可能增加硬件要求，也增加了系統復雜性，沒有可操作性。工具概念也僅僅是能夠祛除一些隱私威脅，保護無線射頻識別通信。然而，該概念也存在脆弱性和危險。的隱私偏好管理降低或消除用戶直接認知。如果錯誤地解釋用戶的偏好或者沒有覺察到損壞的工具，將會降低技術的效率和信任。大數據挖掘能提供有價值的隱私信息，會增加隱私風險。因而有效的避免隱私風險問題方法是移除數據之間的鏈接、對數據進行匿名或假名處理。而這種身份管理技術意味著對物聯網系統的構成和功能施加諸多限制。匿名僅僅在傳統的服務方面提供形式上的意義。例如，對于信息服務訪問，用戶必須主動查詢。但是在物聯網環境下，這些情況并不可行，因為提供匿名服務的技術過于復雜。物聯網環境下需要假名來關聯用戶配置。這種方法優點在于假名可以使職業等信息從隱私生活中隔離開來，或者通過定期創建新的身份以防止不同時期的數據相互關聯。該框架允許用戶完全控制配置文件，并提供零選擇。零選擇意味著能夠防止任何物聯網的交互行為；在一個隱私兼容的物聯網環境，零選擇可以理解為拒絕任何數據采集行為。同時，對于在同一地點出現幾個同一的身份，必須對這些身份加以限制。在當前的信息系統中，該方法的有效性也受到極大的限制。越來越強大而有效力的海量數據分析和挖掘技術在很大程度上抵消假名功能，并限制假名所提供的保護。在互動連接中，假名必須具有排他性。這就意味著身份識別方法不能并行應用，不能存儲聲音或錄像信息，因為這些數據可以進行生物識別。匿名或假名限制傳感器的能力及其利用，如果物聯網系統內采用匿名或假名身份管理，就會與物聯網效率目的不兼容。身份管理也不能為個人數據提供充分的保護。雖然身份管理可能有助于減輕個人對任何數據記錄行為同意的煩擾行為，但是個人數據助理可以存儲個人的隱私偏好，并有可能永久同意或不同意數據采集行為這一方式。萬維網聯盟（W3C）的“列明隱私偏好平臺”就是一個典型的技術例子。是否同意數據采集、處理等行為將取決于各自物聯網系統的隱私政策是否與用戶偏好一致。這個概念原則上可以轉移到物聯網應用，但是在互聯網領域這是一個失敗的方法。萬維網聯盟缺乏興趣，沒有進一步研發，也對在物聯網環境是否能應用成功有疑問。

3.數字權利管理技術數字權利管理可以規定一個特殊的數據隱私政策，決定誰可以使用數據，以及如何使用。從理論上講，將數字權利管理技術擴展到物聯網系統的好處是，構建更為隱私友好的系統設計，例如通過集成新的維度，比如“附近”或“位置”。以“附近”為例，如果其主人在場，內置的輔助設備可以自動運行或訪問存儲信息?！拔恢谩币馕吨鴷h桌可以將過去討論的信息提供給會議室里的人（僅限于會議室這一地域，遠程發起的信息請求被拒絕，從而保護隱私信息）。數字權利管理技術可以讓機密數據自由流動，并依舊保護那些數據，不把信息空間留給他人，也不允許他人超越賦予的使用邊界。數字權利管理技術也是缺乏可行性的，因為它不能解決同意問題。試圖限制數據使用的意圖要么注定失敗，要么承擔新的、不能接受的社會風險。主要原因在于，數字權利管理技術需要高強度的加密技術。加密是一柄雙刃劍，它有利于隱藏內容和身份。運用高強度的加密技術將會被超微型組件的處理能力和能量所制約。即使達到可以防止暴力攻擊的水平，處理能力的低下可能導致數據保護失效。另外，數字權利管理技術提高運營成本和風險。因為數字權利管理的前提是所有的設備必須安裝數字權利管理系統，否則任何保護都可以通過隱匿的捕獲、復制或重錄以及連續免費個人數據信息而輕易地被克服。

三、物聯網隱私風險的非技術控制策略

隱私保護是對一種基于利益的技術信任和風險的考量。隱私關注度也會因一個國家的政治、文化、經濟等差異而不同。《經合組織隱私保護指南》包括8個隱私保護原則：采集限制原則、數據質量原則、目的說明原則、使用限制原則、安全保護原則、公開原則、個人參與原則和責任原則。這八條原則對歐洲、加拿大和美國隱私法產生深遠的影響。但是該指南三十多年來沒有修改過，與物聯網愿景存在沖突和矛盾，這就需要進一步拓展隱私保護原則。物聯網隱私風險非技術控制策略主要表現在三個原則上：

1.適度原則正如前文所述，物聯網隱私風險存在必然性，絕對地控制物聯網隱私風險既不現實也不可能。這就需要采取一種相對的、相稱的適度原則：首先，物聯網隱私是一個情境化的、約定的概念。隱私一詞帶有信息、身體、財產和決定等方面的含義。不同的環境和語境下，隱私的含義和抗辯事由可能不同。例如，姓名、照片對于名人來說可能不是隱私，而對于公眾來說是一種隱私。測謊、電子監聽、基因檢測、個人談話、犯罪記錄、個人艾滋病信息等隱私含義和抗辯事由也因主體、信息系統環境、安全環境和目的等差別而存在差異。例如，雇員通過公司使用的電子郵件系統與他人通訊，就失去了對隱私的合理期待。公司監聽電話的目的也只能是保護公司的商業秘密、改進顧客服務技能、防止騷擾電話等商業用途。同樣的隱私信息，對于不同的主體而言，對隱私的敏感度也不一樣。相對于成年人來說，兒童的信息隱私更應受到保護。不同的主體對隱私的理解和主張也不完全一致。公眾有隱私流通的需要。在具體利益面前，有些公眾會適度放棄個人隱私而允許他人采集其個人信息，但也有些公眾會堅持保護個人隱私。因而要具體地將隱私區分為敏感隱私和不敏感隱私，對于二者采取不同的隱私流通策略。根據初步調查研究，在眾多的隱私之中，通訊隱私、生活隱私和財產隱私更受到中國公眾的普遍關注。中國公眾最不關注政治黨派、政治觀點、民族和宗教信仰隱私。另外，受到認知因素和環境因素的制約，需要特別保護弱勢群體的隱私。其次，隱私信息的采集要符合約定的目的。既然隱私是一種約定的概念，那么個人數據必須基于特定、明確和合法的目的來采集和處理，而不允許與這些目的不一致。一旦超出約定的目的，需要通知被采集人，以獲取書面的同意。從而賦予數據被采集人一種信息訪問權、矯正權、刪除權或阻止權。所以需要增強個人數據采集和處理的透明度機制。透明標準提高了物聯網性能和責任評估，以促進相關監管法規的協調。再次，隱私風險控制技術的差異化標準。物聯網隱私的價值具有雙重性：對于企業和社會來說，利用個人隱私信息是實現精準預測和控制的前提；對于公眾來說，充分的隱私保護是人權的基本保障。因為隱私是一種情境化的概念，不同的行業、不同的環境、不同的主體對隱私控制都有不同的要求，不見得最強的隱私風險控制技術就最好。并且要考慮到隱私風險控制技術的強度與成本成正比關系這個因素，不同的運營商或企業根據其盈利能力也會采取不同的隱私風險控制標準。但是差異化的標準并不是說標準的泛化，需要根據隱私的敏感程度和環境制定一種準入制的行業全局技術標準。再在全局標準下制定局部的分層標準，從而使運營商和企業的資質與隱私風險控制標準掛鉤。

2.自律原則與其說隱私風險是客觀存在的、潛在的威脅，不如說隱私風險是人為的道德失范，因此需要加強道德的自律。自律是一種私人的概念，即在國家政府提供的制度框架內自省、自我約束的道德機制。自律模式遵循自助的輔助性原則，它意味著只要政府沒有采取干預行為，特定社區的參與者就可以自發、自主、自助地找到合適的解決方案。所以自律是物聯網隱私風險的一種監管和控制模式：通過多方面的商業標準，從技術準則到公平的信息慣例。比如EPC準則，比如“用戶須知”、“用戶教育”、“保留和IT安全政策”。自律的合法性基于該事實：需求驅動的誘因主導規則制定過程。此外，自律比國家法律成本低并且更靈活。物聯網隱私風險的監管和控制需要參與和對話的自律原則。物聯網要想真正有益于社會、降低其隱私風險，需要的不僅僅是更多的裝備有微電子的、可以相互協作的日常物體，還包括可信賴的制度架構和社會共識。鑒于互聯網已經演變為全球設施的事實，物聯網的國際管理應當得到政府、私營部門、市民社會和國際組織的全面支持，而不應由政府單一組織來控制。要將物聯網權力具體化，增強其公眾合法性和民主參與的能力。物聯網應當以各種方式來關注物聯網的利益相關者，保證有一種合理的代表形式，這是合法性的重要方面。利益相關者的共同行動、相互信賴是加強溝通、協調和合作的有效機制。公眾必須參與有關物聯網風險的控制過程。公眾的參與將會使得包容性和監管的質量得到改善。充分的參與過程也有助于更多利益相關者的有效參與。作為一個公眾參與的自律原則，物聯網隱私風險監管將會在各實踐上達成共識，這有助于建設和諧的物聯網社會環境。自律原則可以包括下列行為規則：行為示范、建立內部控制程序（遵守規則）、設置熱線電話以處理公眾投訴、透明的數據保護政策等。

3.責任原則自律是一種“軟法”，效力低于法律。自律并沒有明確的范圍和可靠的內容。一般來說，只能說軟法是一個與法律相近的規范概念，它通常涵蓋某些形式的預期和可接受的行為準則。如果不自愿遵循的話，這種自律概念缺乏執行力。因此，立法者參與制定法律制度不可避免。法律規范主要來自法律的基本原則，如善意、平等、公平、公序良俗等。責任原則是物聯網隱私風險控制的一項重要原則。為了確保所有物聯網應用中的參與者都遵守隱私保護要求，物聯網應用需要大量不同主體之間的合作。為了合作成功，必須根據不同通信主體之間的身份信息交換簽訂協議。這些合作形式類似身份管理文獻中描述的“信任圈”（CoT），它可以描述成一個包含很多服務提供者和身份提供者的聯合體，成員們在身份信息應該如何管理上達成協議?！靶湃稳Α钡幕A是在如何識別和認證用戶上達成一致，同時需要在物聯網框架內確定責任，以確保符合法律和政策的要求。從隱私風險控制的角度看，這些任務需要首先被分配以確保處理的機密性和安全性。從商業或政策角度看，任務分配是為了確保利益相關者信任該架構，以防止有損于參與者利益的方式進行數據采集和處理。在物聯網環境中，參與者（服務提供者、身份提供者、中介機構等）可能是管理者、處理者或第三方，這取決于不同的物聯網應用。當一項法律規定某種處理形式時，它應該指明何種主體可以充當管理者。在任何情況下，合作主體應該清醒地理解：根據處理操作，各主體承擔何種角色，確定各自應如何遵循義務。即：哪些主體被授權作為數據提供者；哪些主體應當執行認證、授權和檢查；哪些主體負責維護操作日志；哪些主體應作為數據交換的受信任方（比如中介）；哪些主體負責技術政策的更新；哪些主體應作為前臺以滿足數據被采集人的權利（比如訪問權和矯正權）；哪些主體是違反安全事件的聯絡點；哪些實體負責定期政策審查等等。（本文來自于《自然辯證法研究》雜志?！蹲匀晦q證法研究》雜志簡介詳見）

四、結語

物聯網隱私風險是不可避免的。物聯網技術在給生活帶來便利的同時，也會以數據采集、挖掘、分析等智能技術對隱私造成侵害為代價。物聯網隱私風險存在客觀上的必然性、主觀上的差異性、操作上的非自主性和安全上的脆弱性，這就為物聯網隱私風險的控制技術帶來難度。隱私保護增強技術、身份管理技術和數字權利管理技術都具有不周延性，因而物聯網隱私風險控制技術必須體現效率與公平之間的價值衡量，絕對的隱私保護并不可取。從對物聯網隱私風險特征和控制技術分析中可以看出，單一策略將不適合圓滿解決物聯網的隱私挑戰。物聯網風險控制必須遵循適度、自律和責任原則。公眾有隱私流通的需求，但也有限制流通的要求。需要將隱私細化為敏感隱私和不敏感隱私，進而采取不同的隱私保護策略，同時需要對弱勢群體的隱私予以額外、人性化的關注。物聯網隱私保護需要公眾參與以建立國家立法者、非政府組織、公共利益團體、國際私營部門和公眾等主體之間對話的有效平臺。

作者：吳標兵許為民單位：浙江大學寧波理工學院浙江大學哲學系