我們稱之為物聯(lián)網(wǎng)(IOT)的網(wǎng)絡(luò),在通常情況下是指個人資料的網(wǎng)絡(luò)。在萬物互聯(lián)的時代,數(shù)據(jù)和設(shè)備之間有著千絲萬縷的聯(lián)系,但互聯(lián)網(wǎng)連接的設(shè)備充斥著敏感信息,這種連接是以侵犯隱私的形式出現(xiàn)的。
在過去的幾年里,數(shù)據(jù)隱私已逐漸為人們所重視。數(shù)據(jù)隱私不再只是在會議中談?wù)摚锻ㄓ脭?shù)據(jù)保護(hù)條例》(GDPR)的規(guī)章也在持續(xù)更新。
記得斯諾登嗎,那個打開了網(wǎng)絡(luò)的監(jiān)控系統(tǒng),把美國政府的一些機(jī)密數(shù)據(jù)給泄露了的人。但與Facebook和劍橋分析公司的輕視用戶的個人數(shù)據(jù)所造成的憤怒相比,斯諾登所做的只是九牛一毛。隨著人們的數(shù)據(jù)隱私意識增強(qiáng),我們看到了一些基于物聯(lián)網(wǎng)的隱私侵犯行為。
小編將從五個方面來說明:數(shù)據(jù)隱私不僅僅是個人問題,還影響著我們所有人!
1、作為控方證人的數(shù)據(jù)收集平臺
在案件中,如果證據(jù)是由物聯(lián)網(wǎng)設(shè)備收集的呢?對司法程序的影響是什么?在2015年,美國阿肯色州的詹姆斯·貝茨被指控謀殺了他的朋友,他的朋友被發(fā)現(xiàn)死在貝茨的浴缸里。檢察官根據(jù)貝茨的亞馬遜智能音箱和他的智能儀表上的數(shù)據(jù)進(jìn)行立案調(diào)查。伊始,亞馬遜拒絕公布Alexa收集的數(shù)據(jù)。然而,貝茨允許在案件期間使用Alexa收集的數(shù)據(jù)。這起案件在2017年12月被駁回,但這件事引起了新聞的關(guān)注,被告的私生活也被公之于眾。“一著不慎滿盤皆輸”這句話對貝茨來說無疑是具有特別有意義的。
在另一起(仍在審理中的)案件中,一名康涅狄格州的婦女在2015年被謀殺,這起案件中FitBit數(shù)據(jù)是人們關(guān)注的焦點。檢察官根據(jù)這名女子的GPS相關(guān)數(shù)據(jù)確定了她最后出現(xiàn)的地理位置。但這些舉措使她丈夫陷于隱私泄露的困境。
2、攝像機(jī)是物聯(lián)網(wǎng)設(shè)備的視覺系統(tǒng)
物聯(lián)網(wǎng)為用戶提供很多新的接入方式,其中有的接口可穿透可見光譜(如攝像機(jī))。最近,研究人員PenTestPartners在Swann物聯(lián)網(wǎng)攝像機(jī)中發(fā)現(xiàn)了一個嚴(yán)重的漏洞。黑客可以通過這個漏洞來窺視其他用戶攝像機(jī)中的視頻。黑客的攻擊過程非常簡單:通過在應(yīng)用程序中添加攝像頭的序列號(序列號很容易獲取),便可查看該相機(jī)存儲的數(shù)據(jù)。
幸運(yùn)的是,Swann很快就解決了這個問題。但是相機(jī)的安全問題自從出現(xiàn)以來,便一直困擾著消費者物聯(lián)網(wǎng)設(shè)備。有的黑客甚至?xí)詪雰罕O(jiān)視器為目標(biāo)。在2015年,Rapid的 710臺嬰兒監(jiān)視器中有8臺設(shè)備被黑客攻擊。最近一起案例中,一位美國母親發(fā)現(xiàn)她的FREDI嬰兒監(jiān)視器在整個房間里平移并拍攝她母乳喂養(yǎng)嬰兒的地方。
3、家暴行為中利用物聯(lián)網(wǎng)進(jìn)行監(jiān)視
當(dāng)我們想到監(jiān)視時,通常會聯(lián)想到政府監(jiān)視公民。然而,對于許多人來說,物聯(lián)網(wǎng)監(jiān)控的問題可能更接近家庭。倫敦大學(xué)學(xué)院對家庭虐待行為的研究發(fā)現(xiàn),高科技是促進(jìn)心理、生理、性、經(jīng)濟(jì)和情感虐待以及強(qiáng)制行為的一種手段。
倫敦大學(xué)學(xué)院的報告關(guān)注的是個人如何使用物聯(lián)網(wǎng)技術(shù)作為虐待行為的手段。 eSafety Women是一個澳大利亞項目,旨在教導(dǎo)婦女如何在技術(shù)面前維護(hù)自身安全。隨著智能家居逐漸出現(xiàn)在我們的家庭生活中,使用這些設(shè)備作為監(jiān)視或虐待工具的概率增加了。
制造商可以采取一些措施來防止這種情況發(fā)生。例如,在設(shè)計具有授權(quán)訪問權(quán)限的系統(tǒng)時需要考慮到濫用權(quán)限的用戶。數(shù)據(jù)審計也可以跟蹤虐待行為,然而,審計也具有侵犯數(shù)據(jù)隱私的意味。
4、健康數(shù)據(jù)的泄露
2018年的受到攻擊的物聯(lián)網(wǎng)設(shè)備的數(shù)量比2017年增加了三倍,結(jié)合Poimon研究所和IBM的分析,我們發(fā)現(xiàn)健康數(shù)據(jù)是網(wǎng)絡(luò)罪犯最為關(guān)注的。隨著越來越多高度敏感的健康數(shù)據(jù)駐留在一個不斷擴(kuò)大的安全矩陣上,患者的數(shù)據(jù)隱私就受到越來越大的威脅。新加坡衛(wèi)生局就曾受到過攻擊,泄露了包括DNA儲存庫在內(nèi)的150萬名患者的數(shù)據(jù)。
預(yù)計到2019年,87%的保健機(jī)構(gòu)將以某種形式把物聯(lián)網(wǎng)設(shè)備納入其運(yùn)營。
使用醫(yī)療IOT設(shè)備的服務(wù)通常受到嚴(yán)格的監(jiān)管控制(如健康保險攜帶和責(zé)任法案HIPAA和《通用數(shù)據(jù)保護(hù)條例》GDPR),以確保患者數(shù)據(jù)的安全。制造商需要確保使用正確有效的安全措施來保護(hù)數(shù)據(jù)免受泄露。
5、智能電網(wǎng)引發(fā)的隱私問題
智能電網(wǎng)使能耗問題得到了優(yōu)化,然而,智能電網(wǎng)的隱私問題引發(fā)了人們的擔(dān)憂。行為隱私是智能電表的重大問題,電子隱私信息中心(EPIC)在消費者概況分析和行為隱私方面具有重要意義。 EPIC列出了使用智能電表可能暴露隱私的14個領(lǐng)域,包括跟蹤租房者/租賃者的行為和身份盜竊等領(lǐng)域。此外,加利福尼亞州制定了“智能電表”隱私法(第1274號大會法案),該法律定義了智能電表保護(hù)用戶隱私的最佳做法。
EPIC建議,以用戶為中心的“個人信息的收集、使用、重用和共享”的功能應(yīng)建立在智能儀表中。數(shù)據(jù)的匿名化也應(yīng)該在設(shè)計考慮范圍內(nèi)。
設(shè)備制造商扮演的角色
物聯(lián)網(wǎng)設(shè)備可能會在更多的司法案件中被使用。物聯(lián)網(wǎng)設(shè)備收集的數(shù)據(jù)成了個人和組織的日常“數(shù)據(jù)日志”。制造商這時便處于數(shù)據(jù)所有者和司法系統(tǒng)之間。
消費者物聯(lián)網(wǎng)產(chǎn)品中發(fā)現(xiàn)的許多漏洞都是基于網(wǎng)絡(luò)安全領(lǐng)域眾所周知的問題。未加密的通信通道和編程接口(API),易于猜測的管理密碼或設(shè)備標(biāo)識符等,這些漏洞使得黑客可以輕松的劫持?jǐn)z像機(jī)。
物聯(lián)網(wǎng)與隱私的未來
數(shù)據(jù)隱私問題是萬物互聯(lián)的瓶頸。作為物聯(lián)網(wǎng)設(shè)備的消費者,我們都必須意識到我們的隱私是如何通過技術(shù)而受到損害的。然而,作為這類產(chǎn)品的制造商,有兩種驅(qū)動因素是需要遵守的:
1、相應(yīng)的法律
像《通用數(shù)據(jù)保護(hù)條例》GDPR這樣的法規(guī)正在為數(shù)據(jù)隱私保駕護(hù)航。其他特定于行業(yè)的(如健康保險攜帶和責(zé)任法案HIPAA)和特定于位置的(如加州消費者隱私權(quán)法案(CCPA),正在將數(shù)據(jù)隱私寫入法律。
2、隱私等同于信任
尊重客戶隱私是建立一個可信賴品牌的一部分。數(shù)據(jù)隱私永遠(yuǎn)不應(yīng)該是數(shù)據(jù)發(fā)生泄漏后所考慮的。相反,它應(yīng)該始終在一個設(shè)計職權(quán)范圍!(原標(biāo)題:隱私和物聯(lián)網(wǎng)不可兼得?)