当“智能硬件”遇到GDPR

2018-07-14王素黄帅

进出口经理人 2018年7期

王素黄帅

“全球最严厉个人数据保护法案”GDPR在欧盟被强制执行以来，建立在数据采集、传输、存储和运算等数据流基础上的智能与物联网产品和服务首当其冲成为“重灾区”。在GDPR的枪口下，我国的智能硬件厂商还能在欧盟合规合法地做生意吗？

T?V莱茵作为首家参照欧盟《通用数据保护条例》（GDPR）推出物联网（IoT）产品相关评估检测服务的第三方认证机构，近日正式发布《2018年GDPR业务发展白皮书》（以下简称“白皮书”）。本刊记者就以上疑问深度采访了德国莱茵T?V大中华区电子电气产品服务技术支持与研发总经理罗黎，他在智能产品和信息安全领域拥有多年实战经验。他预计，未来隐私保护有可能成为出口贸易技术壁垒中的一个新增部分，意味着出口企业需要提前针对类似GDPR的技术要求做好充分准备。

隐私安全成欧盟消费者心头痛

根据白皮书披露的有关数据，在政策支持、技术发展与需求增长的驱动下，我国物联网（IoT）市场规模预计至2021年可增长至1.5万亿元人民币。同年，欧盟的IoT市场需求预计将达到2964亿元人民币。这块巨大的蛋糕将由智能硬件、车载设备、智能可穿戴、智能医疗设备和智慧城市构成。触发这一巨大市场潜力的首要前提是突破数据与隐私安全的行业瓶颈。

欧盟消费者的态度也印证了以上观点。一项欧盟境内的调查显示，在消费者对IOT产品的担忧中，智能硬件用户担心隐私泄露（61%）的比例远远超过了担心黑客攻击（35%），排在第1位。欧盟国家中，法国（72%）、德国（65%）、英国（63%）、美国（59%）和瑞典（44%）为消费者担心物联网会带来隐私泄露风险占比最高的前5位国家。

“在与我国智能硬件厂商接触的过程中，我的一个最直观的感受是，我国企业对个人数据保护的表现参差不齐。目前，对个人隐私和信息安全防护关注度最高的是涉及采集视频流和音频流的企业，其次是一些智能家电产品，比如智能电视、智能照明、智能机器人和智能小家电等。”谈及我国智能硬件厂商的数据保护现状，罗黎总结道。但他也表示，我国多数企业内部已经有了数据保护意识。尤其在GDPR法案公布以后，他明显感到企业把零零散散的各部门所属数据汇总到整个公司层面进行管理的趋势，此举可视为企业对GDPR最积极的反应。

厂商一不小心就会“踩雷”

我国智能硬件厂商往往不是不想合规，而是一不小心就违规。

对照欧盟GDPR数据保护法案的要求，按照收集、传输、存储和处理的数据流走向考虑，厂商的每个环节都有可能存在“不符合项”。罗黎由此指出，代码层、硬件层、产品服务层和IT评估层，就是容易被踩的“雷区”。

所谓代码层不符合，即在软件设计过程中使用了非必要的用户数据，未对一些数据和过程进行加密或加密不合格，也没有给客户知情同意的权利；所谓硬件层不符合，即智能产品在硬件设计中有不合规的传感器或执行器，有某些不合规的功能模块。二者共同构成了智能产品的前端，亦是数据收集端，罗黎称之为“信息防护的最前沿”。

产品服务层和IT評估层则共同构成了智能产品的后端。按照数据流的走向，信息收集后，企业可能需要对数据进行汇总和分析，根据用户反馈执行推送，做产品服务的提升和升级，这些将涉及产品后端的信息安全。如果产品服务前端的渗透性测试未通过，以及加密或隐私保护不合格，那么服务后端的代码就有可能存在漏洞，从而增加从后端泄露用户隐私的风险；而如果厂商的IT环境不合格，泄露风险则会从内部滋生。对于后者，罗黎举了一个例子。如果企业的产品出口欧盟境内，公司内部的服务器对用户数据进行统一存储，那就意味着此服务器以及公司内部的信息安全保护也要达到一定水平，否则将造成大量信息从内部泄漏。