物联网已成为个人数据的重要载体,英国针对物联网数据新规有效扩大个人数据保护范畴
近日,英国信息专员办公室(UK Information Commissioner’s Office,ICO)发布了一份《物联网产品和服务指南》(草案)。ICO出台该指南,旨在为消费物联网产品的制造商和开发商提供明确信息,以确保他们创造出符合数据保护法的产品。物联网已广泛渗透到个人和家庭日常生活中,成为个人数据的重要载体,英国这一指南率先从物联网数据处理角度,探索对个人数据保护的想过策略,具有重要参考意义。该指南的草案已开放征求意见,我们初步对草案的主要内容进行解读。
针对物联网产生的数据保护为导向形成的指南
发布该指南草案的机构是英国信息专员办公室,该单位是英国政府设立的独立数据保护监管机构,主要负责执行英国的数据保护法律,包括《英国通用数据保护条例》(UK GDPR)和《2018年数据保护法案》(DPA)。其核心职责涵盖监管个人数据处理、保护数据主体权利、处理数据安全事件以及实施合规措施,在人工智能数据和数据跨境监管等方面也赋予一定职权。
该草案旨在帮助相关企业和机构尊重隐私、确保问责制并遵守数据保护法的方式开发和部署物联网产品,尤其是要遵守《英国通用数据保护条例》和《2018年数据保护法案》。
1、适用于处理物联网产品中个人信息的厂商
草案首先确定适用对象,明确提出主要针对在物联网产品中处理个人信息的所有组织,这些组织可能包括物联网产品制造商、操作系统开发商、移动应用程序开发商、Web端应用程序开发商、软件开发商、AI服务提供商、生物识别技术提供商、传感器和遥测产品技术提供商、云服务商以及网络安全提供商等。主要判断标准是厂商是否负责物联网产品的处理,即由负有相关数据保护责任的组织进行的处理。
对于适用的物联网产品,草案也给出了建议,主要是消费物联网产品,包括:
·家庭娱乐产品(智能音箱、联网电视、联网玩具);
·家庭自动化产品(智能灯泡、智能恒温器、智能家居中控);
·家用电器(智能冰箱、智能烤箱);
·健康产品(健身追踪器、智能手表、智能体重秤、睡眠监测器);
·安防和安全产品(智能安全摄像头、智能门铃、智能婴儿监视器);
·非处方医疗设备(智能血压监测器、智能脉搏血氧仪);
·周边产品(智能键盘、智能鼠标、智能耳机)。
当然,指南并非适用于所有物联网产品,该草案明确提出,网联和自动驾驶汽车、智能电表、智慧城市以及企业和工业环境中适用的物联网产品并不适用。同时,指南也不会涵盖手机、笔记本电脑等产品。
厂商处理的数据,包括从物联网产品直接或间接获取的广泛的个人数据,包括健康类数据、生物识别数据、位置数据,甚至还包括政治观点、宗教信仰等特殊数据。当然,这些数据根据使用者不同,其适用范围不同。该指南给出一个案例:一个人拥有一台带有嵌入式虚拟助手的智能音箱,他将其用于播放音乐、使用搜索引擎等,家中的其他人使用智能音箱,包括家人和来访的朋友,虽然构成了他人使用产品,涉及到数据的处理,但这纯粹是智能音箱的所有者的个人或家庭活动。但是,智能音箱制造商处理个人信息则在英国GDPR规范的范围内,因为它是由法人实体出于自身目的进行的处理,而不是由某人在个人或家庭活动的情况下进行。
2、强调问责制是物联网产品的一项关键原则
在问责制方面,该指南的立场很明确:相关组织不仅必须遵守数据保护相关法规,而且还必须能够证明合规性,尤其是在消费类物联网设备的设计和生产方面。这些设备通常嵌入在家中,收集和处理高度敏感的数据,例如位置、健康、行为和生物特征信息。
该指南概述了对数据最小化、合法依据、透明度的期望,以及明确用户控制的需求,尤其是在涉及多个用户或儿童的情况下,要求厂商应通过明确定义责任、将处理活动记录在案和风险评估等措施来确保问责制实施。
3、强调进行数据保护影响评估的要求
草案提出,物联网产品可能会引发许多高风险的数据处理活动,包括对私人空间中的用户进行广泛的分析或监控、因安全措施不足导致用户面临欺诈或人身伤害的风险等。由于这些风险,ICO建议大多数与物联网相关的处理在开始任何数据收集之前应进行数据保护影响评估(DPIA)的要求。
指南草案的一个核心特点是强调数据保护影响评估作为关键的合规和风险管理工具。根据英国GDPR,当处理对个人“可能导致高风险”数据时,必须使用数据保护影响评估。在物联网环境中,通常会满足此阈值,因为物联网处理往往会使用特殊类别数据(如健康或生物识别数据),进行大规模或系统性监测,也往往会为有关个人的决策提供信息的分析,很多情况下也会涉及儿童使用产品或服务的可能性。
草案明确指出,大多数物联网案例都可能需要数据保护影响评估,尤其是在涉及儿童数据的情况下。它还向厂商推荐了需要数据保护影响评估的处理作列表,并鼓励开发人员在相关情况下查阅相关守则。
4、强调数据保护必须按默认在设计中嵌入
该指南草案规定了通过默认设计数据保护来确保合规性的实用步骤,并与英国GDPR保持一致。这意味着从设计的最早阶段开始,以及整个产品生命周期(从规划和发布到更新和生命周期终止),都要考虑数据保护。草案中提出了设计数据最小化和目的限制,为所有用户(包括次要用户)构建清晰且可访问的隐私控制,默认提供高隐私设置,尤其是在涉及儿童的情况下设置,还提出了定期应用安全更新并监控不断演变的威胁。
ICO还建议企业探索隐私增强技术的使用,并对物联网供应链中的合作伙伴进行尽职调查,以确保各类角色(控制者、处理者、联合控制者)得到适当分配和记录。
针对消费物联网的安全措施优先推出
本次英国推出的《物联网产品和服务指南》(草案),从合规安全角度重点对消费物联网数据使用进行规范。回顾近2年来欧美针对物联网安全、数据合规角度出台的主要政策,这些政策首先聚焦的是消费物联网,企业和工业领域采用的物联网产品优先级低于消费物联网。
例如,以美国为代表的物联网安全标签计划,就明确该计划前期重点针对消费类物联网产品,包括智能冰箱、智能空调、智能电视、智能温控器、健身追踪器等家庭物联网设备,并已开始着手定义消费级路由器安全标准,未来也会将路由器纳入认证标签计划中。其他国家的物联网安全标签计划也是类似,将消费物联网作为优先事项。
市场研究机构IoT Analytics数据显示,预计2023全球物联网连接数超过160亿。而这么大规模的物联网连接中,超过70%的设备是通过WiFi、蓝牙、Zigbee等短距离通信技术连接的,产品形态以智能家居、穿戴设备等消费类物联网设备为主。
物联网设备安全隐患日益突出,网络攻击、隐私泄露等问题层出不穷,这其中消费类物联网设备的安全隐患更为突出。加上消费类物联网设备出货量规模超过产业物联网设备,对于消费物联网设备安全进行认证就显得很有必要。毕竟用户不希望智能冰箱、智能门锁由安全隐患,不想在家里有一双眼睛长期盯着自己。
产业物联网面向的是各类企业,大量企业自身具有识别安全问题的技术能力,也建立了企业网络安全相关标准,加上企业和供应商签订的合同中,一般都有非常严格的安全条款,能够在一定程度上保障自身的安全性,因此产业物联网的安全隐患相对小一些。
但是,个人消费者、家庭用户没有专业的知识,对自身使用产品的网络安全信息了解非常有限,即使发生安全按事故,由于使用人群非常分散,维权也非常困难,消费物联网领域很容易成为隐私泄露和信息安全重灾区。
因此,各国不论是推进物联网安全立法,还是推进物联网安全标签计划,都主要针对的是消费类物联网。目前,消费物联网领域的安全问题已经在不断积累,持续下去会造成非常恶劣的影响,因此针对消费物联网安全采取措施是物联网安全工作的当务之急。
从本次英国的《物联网产品和服务指南》(草案)可以看出,物联网已经成为承载个人数据的重要载体,对于物联网数据保护的规范,正是对个人数据保护的重点领域。预计未来各个国家会相继出台类似政策法规,通过规范物联网产品中个人数据的使用规则,达到保护个人数据的目的。
同时,国内出口英国的物联网企业应提前熟悉这一指南的要求,对物联网产品进行合规性设计,加强对数据收集和处理相关方面的工作,符合问责制、数据保护影响评估、和隐私默认设置等,确保降低企业出海的风险。
