说到物联网 (IoT),大部分人都将 IoT 的安全和隐私事宜看成一个二合为一,相辅相成的课题。这就意味着,如果您没有安全,隐私就无从谈起,反之亦然,对吗?既对也不对。对于通过先进的策略驱动型隐私和公共密钥以及威胁管理体系保证端对端 IoT 系统的安全,众说纷纭,各有见解。但这仍有待进一步研究,而我们也必须做进一步了解。也就是说,直到有人找到缺陷,新的技术竞争会开始去改善新的最佳实践。我计划发几篇博文,介绍一下将来推出安全技术时所面对的陷阱。但在这篇博文中,我将只针对IoT 隐私问题,这是因为隐私问题只能通过强大的立法和政府严格的执法解决(在隐私和安全技术的帮助下)。
今天,我要介绍从设计着手保护隐私 (PbD)。对于真正正确地在美国进行隐私立法,我觉得不是很乐观。作为 IoT 传播者,我的 IoT 隐私主题与政府收集元数据对抗恐怖主义并无关系,而是针对有权访问我个人数据的私营企业。我的观点就和 Blackberry 首席执行官 John Chen 非常相似,他的观点罗列在此。(John 对此主题发表的见解令我敬佩无比。)
若干年前,我在一个Gigaom 会议中曾提及我个人对拥有个人数据访问权限的 私营企业心怀忧虑。人联网是相当无法无天的领域。今天在人联网中,只要有人在上网,就有超过 200 个私人实体跟在他背后。不幸的是,美国的法律支持“选择性退出”,这意味着您必须选择退出,才能退出一项“服务” — 而在大部分欧洲国家,他们实施的是“选择性加入”策略。在美国,各家公司通过各类仍然合法的途径,为退出增加了重重困难。所以在我看来,美国政府并没有妥 善处理人联网中公民的隐私问题。政府屈服于主张“选择性退出”的特殊利益团体,这些团体都希望使用私人数据推销产品和服务。而对于人联网,美国政府令我们 失望,我们都知道对于物联网而言,代价将更高。
IoT 正处于迅速成长期,智能传感器也已融入生活的方方面面,如果没有可靠的隐私法律,会有成百上千的“侵入者”在您在家时、通勤途中、工作时、学习时尾随着您。添加您的情景计算平台(智能设备)以及本地和远程数据分析引擎,“侵入者”将了解您的一切 — 甚至比您更了解您自己。您能否接受这一切?先不提犯罪分子会如何使用这些数据。
在 IoT 带来的许多便利中,我相信医疗产业将会借助许多科学前沿的发现和当今的相互脱节的范畴(例如生物遗传学、数据分析、传感器融合、数据库链接等)实现革命式 发展。其中一项技术就是可穿戴技术与生物计量传感的结合,它将对医疗产业的未来产生重要影响。这种新可穿戴技术将聚焦于疾病预防而非疾病管理,但新隐私法 律也需要就位,这样人们才不会被“入侵者兼促销者”手中自己的“健康”数据(根据新 FDA 规定,这从政治上来讲是正确的用语 — 这是另一篇博文的主题)所蒙蔽。这个链接,可以看到我的一次“医疗革命”演讲,其中包括要求制定的隐私法律,选自去年 10 年举行的 2014 多伦多 Smart Week。这次演讲开始于 2:55:00 处。
数年前,我写了一篇博文,题目为“对物联网 (IoT) 消费者人权法案的呼吁”。在这篇文章中,我阐述了自己对 IoT 隐私和安全的担忧,并贴出了一个链接您的电话公司对您有何了解:将六个月数据可视化。
如果您单击链接,按下地图下方的“播放”按钮,您将看到各个信号塔如何跟踪您的手机,以及通过您的无线运营商可以获得的所有数据。Die Zeist(意思是“时代”)是德国读者最多也非常权威的周刊。该周刊并非不理智的新闻报道。在本文中,您可以实在地看到跟踪您的宇宙中心(您的智能手机)是何等之轻松。这并非什麽新信息,但当您确切看到这点,效果就不一样。对于物联网而言,这只是冰山一角。
对于选择性退出,当您使用带有屏幕的设备(您的计算机或智能设备),尚且对于如何“选择性退出”摸不着头脑时,您要如何通过“无头”(无屏幕)设备或传感器完成选择性退出?唯一的办法就是制定并执行隐私法律。
考虑到这种情况和网络隐私性(的缺乏),我一直都密切地关注着 FTC 有关 IoT 隐私事宜的听证会及其立场。FTC 的首届 IoT 会议召开于 2013 年 11 月,当时有关 IoT 隐私的争论正如火如荼地进行着 — 尤其是在 FTC 2012 隐私报告发布之后 — 报告中将众多类别的数据都定义为“敏感”数据。这届会议中极其引人注目的一次演讲是 Google 副总裁兼首席 Internet 传道者 Vint Cerf 先生做的一次主要演讲。我给不了解他的人做一个简要介绍,Cerf 先生是军方 20 世纪 70 年代 Internet 原型 ARPANET 的主管工程师,所以他是网络名人,Internet 先驱之一。
在做主要演讲时,Cerf 先生表示:“隐私是工业革命与城市繁荣后出现的新事物。(因此)隐私可能实际上是不合常规的事物(不属于常规范畴)。”实际上,这是工业时代的产物。他基本上是在宣扬这个观点:对物联网隐私规则应当与对人联网的隐私法律一样,不抱希望。在此次 FTC 活动中,Cerf 先生的这次主要演讲流露出的满不在乎令我感到诧异,这会给正在考虑做出隐私选择的 FTC 官员留下错误的印象。
FTC 主席 Edith Ramirez 今年在 CES 所作的主要演讲再次探讨了 IoT 的三大隐私挑战,包括:
• 对个人信息、习惯、位置和物理条件数据的收集无处不在
• 对智能汽车、智能设备和智能城市消费者数据不合时宜的使用
• 提高的物联网安全风险
Ramirez 曾说到:“在不远的未来,日常生活的许多领域,即使不是大部分,都将会出现数字形式的监测和存储。这些数据将披露大量个人信息,将这些个人信息组合在一起 时,就可以拼凑出我们每个人极其私密的生活图画,完整程度令人惊讶。”她倡导从设计时就力求保证安全性的理念,以便尽量减少隐私数据,实现隐私数据的匿名 化,并将各家公司作为提高透明度的必备关键环节。
这篇演讲非常出色,单击这里可以了解详情。对於想加速 IoT 技术应用从而让社会从这些技术中受益的个体而言,是充满希望的。Ramirez 认为 IoT 需要隐私法律,而这种观点与物联网个人隐私保护法案中的法律形成了鲜明的对比。曾有几天,我感到欣慰并抱有希望,说客并没有扭曲 Ramirez 演讲观点去迫使立法者采纳。
自 2015年CES 后,有若干立法者跳出来反对 Ramirez 的演讲,声称制定 IoT 隐私法律将压制创新。他们声称此后发表的报告“无检查成本或收益……倡导公司删除宝贵的数据……主要是为了避免未来出现假想的损害。”这些立法者还辩解说,FTC 进行的经济分析并不充分,不能就他所谓的“仍处于初期的物联网”发布行业指导方针或者立法提案。”我之前看到过这段类似的电影情节,現在就好像再次看到有几家规模庞大的广告公司为了自己的利益而支持某些立法者,使其反对制定可靠的 IoT 隐私法律。
看到国会山庄近期指责 Ramirez 的演讲观点,我对美国的 IoT 隐私法律能比这里的人联网隐私法律略好一些,沒抱多大希望。因此,我坚持我的观点,希望能够有效提升从设计着手保护隐私的原则,作为强大隐私法律的退一步选择。
