物联网条件下的信息安全风险防范及立法建议
2020-07-18张琴王峰王芳
张琴 王峰 王芳
摘 要:随着信息技术的发展,物联网在我国得到了广泛的应用。物联网给人们带来巨大便利的同时,也对信息安全造成了巨大的风险。基于对国内外相关立法的比较,文章提出了物联网时代信息安全保护的立法原则、立法体系与结构、立法内容等构想。同时,提出了强化政府的监管作用、逐步统一规范和标准、加大物联网条件下的密码保护力度、提升用户自身安全意识等建议。
关键词:物联网;信息安全;风险防范;立法;建议
中图分类号: D923 文獻标识码:A
Abstract: With the development of information technology, the Internet of Things has been widely used in China. The Internet of Things brings great convenience to people, but at the same time, it poses a huge risk to information security. Based on the comparison of relevant domestic and foreign legislations, this paper proposes the legislative principles, legislative system and structure, and legislative content of information security protection in the Internet of Things era. At the same time, it proposes to strengthen the government's regulatory role,gradually standardize norms and standards, increase password protection under the conditions of Internet of Things, enhance users' own security awareness.
Key words: internet of things; information security; risk prevention; legislation; suggestion
1 引言
伴随着计算机技术的迅猛进步,物联网在世界各地得到了快速发展。物联网已成为一种逐渐普及的生活方式,人们借助它畅享高科技带来的便利。例如,足不出户,就能远程办公;离家千里之外,可以远程操作智能家电;企业运用物联网运筹帷幄;无人驾驶汽车实现远程控制等,物联网技术给人类带来了福音,但其带来的风险人们尚估计不足。如黑客盗取个人隐私,影响企业正常生产经营,干扰汽车驾驶酿成惨祸,对人体穿戴设备远程攻击,干扰心脏起搏器等器械,甚至是危害生命。研究人员需要对物联网带来的风险慎重评估,运用技术和法律的手段控制物联网风险,本文将重点讨论法律手段尤其是立法手段。
2 物联网简述
2.1概念
美国人Auto-ID在1999年提出物联网的概念后,国际电信联盟于2005年正式提出物联网的概念,即按照约定协议,通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等传感设备,把任何物品与互联网连接,进行信息交换和通信,以实现智能化的识别、定位、跟踪、监控和管理[1]。
2.2 物联网发展概况
物联网概念一经提出,就引起了国际社会的高度重视。许多发达国家和地区纷纷出台了物联网的发展规划,将物联网作为重要的战略目标,以提高其核心竞争力。例如美国的“智慧地球”计划、欧盟的“十四点行动”计划、日本的“U-Japan”计划、新加坡的“下一代I-Hub”计划等。我国政府于2009年提出了“感知中国”,希望通过借助高科技发展,积极参与物联网框架设计、标准制定,从而掌握物联网时代的话语权。近年来,我国的物联网体系不断完善,创新成果不断涌现,行业应用突飞猛进,产业集群优势突显。具体表现在物联网技术被运用到管理、制造、研发等领域,推动传统产业转型升级。在消费领域,可穿戴设备、智能家居、安防系统、智能医疗、移动支付、物流管理等消费市场高速增长;在智慧城市领域,物联网技术在城市管理、公共事业、消防、交通、食品安全监管等领域突飞猛进。据预测,到2035年,我国的物联网终端将达到数千亿个。
2.3 物联网与互联网的区别
从发展历程看,互联网是基础,物联网是对互联网的继承和发展。物联网与传统互联网的区别在于: 一是交互主体多样化。互联网是通过网络实现人与人之间的交流,而物联网则是借助网络实现人与物、物与物之间的互动。互联网实现了人类社会和数字世界的沟通,物联网则在互联网的基础上使人类社会、数字世界和客观世界之间实现顺利交互。物联网不仅使人与人之间的信息模式呈现出新的样态,更因物质客体获得了主动表达的机能,而使人类与物理世界的关系获得新进展,推动了人类社会与物质世界的共生共在[2]。二是对信息的处理方式。互联网的信息都是人工输入的,带有一定的主观性、事后性。而物联网则是借助物联网体系形成对实体世界的镜像反映,更客观,内容实时,可预警。三是对世界的影响。物联网能超越互联网。互联网将人们引入虚拟世界,但是虚拟世界解决不了安全、能源、环境、健康问题等实体世界的问题,而物联网则可以解决。作为人类社会螺旋型发展的再次回归,物联网追求的是人与实体世界的和谐、共存、共融、共发展,它会使科学技术、市场和生活方式发生变革[3]。
3 物联网条件下的信息安全风险
3.1物联网条件下的信息安全风险的内容和特点
风险是产生损失结果的可能性[4]。德国社会学家乌尔里希·贝克在《风险社会》中首次用“风险社会”这一概念来描述西方高度发达的现代社会,引起人们的强烈共鸣。人类在享受着科学技术带来的物质生活水平大幅度提升的同时,不知不觉地进入了风险四伏的社会,面临环境污染、金融危机、转基因、恐怖袭击等。在信息社会中,物联网环境下的信息安全风险不可小视。
信息安全风险是指随着信息技术、计算机技术的发展,因信息安全问题导致组织或个人的权利受损失结果的可能性。从物联网的架构看,它通过感知层、网络层、应用层来实现其功能,这三个层次存在的风险为:感知层的安全风险主要是不法分子窃取身份信息和密码,对RFID系统、移动智能终端、无线传感网络构成安全威胁。网络层的安全威胁主要是异构网络跨网连接多个节点进行验证的过程中易遭遇中间人的攻击、异步攻击、DoS攻击。应用层的安全威胁则是应用层的数据及大量用户的隐私信息面临外部窃取等安全问题[5]。
具体来看,信息安全风险的主要内容有三个方面。
一是侵犯基础设施和重要领域安全。基础设施和重要领域的物联网设施一旦存在漏洞或遭受攻击,会对国家安全产生不利影响。近年来发生在乌克兰、委内瑞拉等国的停电事件,说明以物联网、工业互联网为支撑技术的关键基础信息系统已经成为影响国家安全的重要因素。
二是侵犯个人隐私。物联网的射频识别系统(RFID 系统)由读写器、电子标签、天线和计算机系统组成。其中,电子标签具有信息存储容量较大、数据处理效率高的优点,人们可以用一个设备进行上班、购物、看病、上学、停车、吃饭等活动。但是,信息的过分集中有可能导致个人隐私一旦泄露则一览无余。而且,电子标签中的隐私信息可能被侵入者非法读取,进而通过 RFID 技术对个人实施监控,甚至乱改、删除或拷贝信息,扰乱正常秩序。
三是入侵计算机系统。借助RFID系统,黑客可以更方便地入侵计算机信息系统。例如,黑客在获得电子标签后,可能擅自植入恶意代码,从而导致购物系统、服务系统陷入瘫痪,造成财产损失甚至人身攻击。
另外,智能化是物联网的重要目的,人工智能必定会在物联网中扮演重要角色。人工智能赋予物体以意识和行为能力,存在一些安全隐患,如人工智能之物被植入恶意程序后对人实施的侵犯、人工智能自发对人实施的侵犯等[6]。
与传统的互联网安全风险相比,物联网条件下的信息安全风险并无本质上的差别,但其特征在于由于物联网特殊的交互性,信息入侵方式更便捷,因而会带来更大的威胁性。
3.2 物联网条件下的信息安全风险的现状及危害
随着物联网的发展,信息安全的风险正不断加大。主要表现在四个方面。
一是对国家和社会安全造成的风险。2019 年委内瑞拉停电事件、物联网僵尸网络和勒索软件大规模攻击事件、波音系统被爆出严重漏洞事件均表明物联网安全形势依然严峻,安全风险的源头均指向了脆弱的物联网终端[7]。
二是对公民健康乃至生命的危害。近年来,物联网技术在医疗中得到逐步应用,给人们带来方便的同时也出现了不少问题。例如,从2000年以来,美国共有2500部医疗外科手术机器人投入正式使用。从2007 年始,美国食品药品监督管理局收到了200 多件关于病人接受该机器人手术时遭受切割伤、烧伤及感染等报告,有89 件报告显示导致病人死亡[8]。据统计数据显示,由于恶意软件侵袭,全美有多达300台用来分析高危妊娠孕妇的设备运行速度放缓。美国前副总统迪克·切尼的植入式心脏除颤器也因为害怕黑客入侵,禁用了无线连接功能[9]。另外,在物联网交通领域,无人驾驶得到快速发展,但其带来的交通事故也时有发生。只要物联网被恐怖分子控制,人们所担忧的物联网“杀人”事件就不再是空穴来风。
三是对公民隐私权的侵害。在物联网条件下,公民的隐私信息在电子标签中高度集成,又极易被破解泄露。例如:快递工作人员泄露或黑客攻破快递包装面单上的电子标签、二维码,公民的姓名、电话、地址等信息极易被倒卖谋利。
四是对公民或组织的财产权的侵害。例如,在物联网安保中,只要黑客攻破安防系统,就可能长驱直入,造成财产损失;随着智能门锁的普及推广,网络犯罪分子极易成为现实世界中的小偷,他们拥有高级工具和软件,如果物联网安防系统缺乏妥善的保护,那么家庭安全岌岌可危;又如,2004年有人开发出一种名为“rf垃圾”的程序,该程序可以轻松改写商品标签上的产品代码数据。这样,剃须刀就变成了奶酪,25美元的DVD也可以变成30美分的口香糖。但是,自动结账系统很难发现其中的问题[10]。这将严重影响正常的销售秩序,侵犯销售者的财产权。
4 物联网时代的信息安全立法现状
4.1国外立法
为应对物联网带来的信息安全问题,发达国家和地区已开始在物联网领域立法。欧盟2009年5月制定的《射频识别技术( RFID) 应用中隐私和数据保护原则的建议》为欧盟各国 RFID 应用中的信息保护提供了框架,包括隐私和数据保护影響评估、零售商使用RFID的要求、信息和透明度要求等内容。随后,欧盟发布了RFID 应用隐私与数据保护影响评估框架,并且与欧洲网络和安全委员会、欧洲个人信息和隐私数据保护组织等签订了《RFID 隐私数据保护协议》。与欧盟相比,美国的立法步伐相对慢一些,但至少已有十几个州制定了物联网领域的规定。2017年8月,美国国会通过了民主党、共和党两党议员联合提交的《2017物联网网络安全改进法》法案,该法案的目的是要求向美国政府出售的物联网设备必须满足某些安全标准。这一法案的通过意味着美国已经进入物联网国家立法阶段。
4.2 我国立法
我国在上个世纪末开始研究物联网的核心传感网技术,是物联网发展较为迅速的国家之一。目前,我国的物联网研发水平处于世界前列。但是,在物联网安全方面的立法却相对滞后。目前,我国只初步制定了涉及互联网安全、计算机病毒、信息安全等方面的法律。随着近几年的发展,国家和地方相关部门也出台了一系列的政策措施,主要集中在物联网产业培育、技术标准方面,虽然对信息安全有所涉及,但其条款过于概括,缺少具体的规定。2013年2月5日发布的《国务院关于推进物联网有序健康发展的指导意见》提出了抓紧推动完善信息安全与隐私保护等方面的法律法规。2013年3月4日发布的《国家重大科技基础设施建设中长期规划(2012-2030年)》提出了把网络信息安全作为建设未来网络试验设施的主要内容之一。工信部在2017年1月发布了物联网产业“十三五”的发展目标,其中包括提升安全保障能力等具体任务。但是,关于物联网关键核心RFID 技术使用方面,我国尚缺乏强制性的安全标准和法律规范,这将给物联网信息安全带来严重威胁。因此,我国应尽快出台一部“物联网信息安全保护法”。
5 防范物联网信息安全风险的立法设想
5.1 立法原则
首先是人类对物联网的绝对控制原则。在物联网时代,基础设施系统和智能设备对网络高度依赖,一旦它们被不法分子攻击,后果将不堪设想。在物联网对人类构成威胁时,人类可以停止甚至销毁物联网,以保证人类对物联网的绝对控制。甚至必要时销毁物联网的能力。然后是应体现技术和法律保护相结合的原则,一方面要通过明确物联网企业的准入门槛、电子标签和读写器使用规范、数据加密规范、物联网设备强制认证制度等途径明确物联网的技术标准。另一方面应借助法律明确个人对电子标签中的信息查询、修改、知情、删除、销毁的权利,明确非法使用RFID 技术应承担的法律后果。
5.2 立法体系与结构
相比较于目前零散的法律规定,我国需要建立物联网信息保护法律体系。该体系可以由《中华人民共和国宪法》《中华人民共和国网络安全法》《中华人民共和国刑法》《中华人民共和国民法》以及物联网信息安全保护方面的法律和相关行政法规、地方法规、规章和其它规范性文件构成。其中,《中华人民共和国宪法》居于最高地位,物联网信息安全保护法律是重要单行法。目前,该单行法尚未被提上立法日程,研究人员认为可以对该法结构作出相应的设计,包括物联网信息安全保护的立法宗旨、物联网信息安全的概念、保护方法,物联网企业采集信息的途径和渠道、物联网信息安全保障措施、利用RFID技术威胁用户安全行为的认定、法律责任等。在立法时需注意,对作为科技发展产物的物联网的立法,必须关注信息技术的发展,研究技术发展带来的新问题。同时,需要明确界定用以合法拦截物联网数据的各项技术手段,从而保护个人隐私。 其它相关立法则应及时跟进,例如在《中华人民共和国刑法》《中华人民共和国民法》适时增加有关物联网信息安全保护的条款,及时出台相关司法解释。与此相关的立法也应及时跟进。
5.3 立法内容
从内容上看,首先要对物联网条件下的信息做出界定。其内涵是指基于RFID 技术的运用而涉及的数据总和,包括已经依法公开的信息和身份、财产、健康、个人活动等隐私信息。物联网信息安全保护法律至少应包括五个方面:知情权法规、禁止法规、IT 安全法规、利用法规、任务驱动法规[11]。知情权法规应规定,客户有权了解在接受物联网商品或者服务过程中自己的哪些数据被收集,并保留这些数据被侵犯后的救济权利。其目的是让客户知道使用了RFID 方案。禁止立法应明确规定任何物联网企业不得对拒绝使用 RFID的特定人群搜集信息。IT 安全法规是保护 RFID不被非法讀取的安全技术标准,具体包括物联网信息安全标准、密码保护标准。利用法规需规定允许使用RFID的条件与规则。任务驱动法规规定的是应用 RFID 时遇到的挑战和问题,从而为技术团队提供支持。此外,还应明确有关部门对物联网信息安全的监管职责、侵犯物联网信息安全的法律责任。也有学者建议在应用中从保护私人数据角度来规定法律的内容,包括监测产品、监控动物、监控人、收集数据并加以分析[12]。
5.4 相关建议
(1)强化政府的监管作用
基于物联网对国家安全的重要意义,必须强化政府的监管作用。我国可以借鉴一些国外的经验。日本于2019年1月通过了一项法律修正案,允许政府工作人员入侵物联网设备[13]。修正案允许日本国家信息和通信技术研究所通过弱口令对物联网设备进行扫描以发现脆弱的设备,并可以将这些信息作为威胁情报共享给电信运营商。同时,日本从2019年2月20日起启动 NOTICE 项目,开始对互联网上的物联网设备进行调查,识别易受攻击的设备,并将这些设备的信息提供给电信运营商。然后,电信运营商定位设备对应的用户,并警告用户[14]。
(2)逐步统一规范和标准
物联网设备产业的发展是一个不断完善的过程。由于早期物联网大多采用异构的技术体系,专注于某个单一领域,因此存在着行业之间、地区之间、部门之间相互割裂的情况。随着技术的发展,物联网设备间需要实现互操作,其关键在于采用统一的标准。但由于各智能设备的安全水平存在较大的差异,设备间彼此联通存在着鸿沟。目前,阿里、京东、海尔等平台厂商都已发布了智能平台和连接标准,但设备联网场景化的使用需求在全国范围内尚未实现。这就需要从规范化建设出发,协作共赢,实现安全产品的互通,解决兼容性问题[15]。意识到标准化对物联网产业发展及安全的重要性,工信部已经开始制定《关于全面推进移动物联网(NB-IoT)建设发展的通知》等规范,为未来设备互联明确了技术和商业化方向。
(3)加大物联网条件下的密码保护力度
由于RFID技术对密码的高度依赖,密码对于物联网信息安全的重要性不言而喻。密码一旦被破译、篡改,将对公民的人身、财产安全带来损失。这种情况下,受害方可以要求追究侵权人的法律责任。这里的法律责任分民事责任、行政责任和刑事责任。民事责任适用于较轻微的密码侵权行为,其主要形式有赔礼道歉、赔偿损失等。对于违反行政法律法规、尚未触犯刑法的行为,一般追究行政责任,比较常见的是采取罚款、没收非法所得、行政拘留等行政处罚。刑事责任是最严厉的一类责任,我国目前已规定的侵犯公民信息的刑罚主要是有期徒刑(最高刑期为七年)和罚金。研究人员认为应加强惩罚力度,建议对窃取、泄漏、传播密码造成严重后果者应按刑法严厉制裁,对情节特别严重的信息密码犯罪提高刑期,从而威慑犯罪分子。
此外,政府机关、网络服务商、银行、保险公司、医院等密码持有人泄漏、盗用、传播密码,造成人身财产损失、情节严重的,应承担刑事责任,并追究相关责任人。处罚严厉才能保护到位。
(4)借鉴国外的相关经验
如何应对数据发生泄露,美国建立了数据泄露通知制度,一旦用户的个人数据信息被盗取或泄露,数据控制者必须及时通知用户和相关机构。
用户的信息一旦被机构掌握,用于用户不知情或不情愿的用途该如何处理。欧盟曾在1995年的数据保护法中规定了“被遗忘权”,公民可在不再需要其个人数据时提出删除要求。在“欧盟被遗忘权第一案”(西班牙资料保护局和西班牙公民Mr. Costeja Gonzalez诉谷歌公司、谷歌西班牙公司案)中,原告要求被告谷歌公司删除与自己不再具有相关性的负面信息,以避免公众通过 Google 搜索引擎搜索到。欧盟法院支持了原告的诉讼请求,认为基于《欧盟基本权利宪章》,资料当事人有权要求相关信息不再列入述检索结果列表[16]。借鉴这一经验,我国有必要在立法中规定被遗忘权,同时规定物联网服务方有控制用户信息不被滥用的义务。如果出现用户信息受侵害,则应采取措施避免损害扩大。
(5) 提升物联网企业和用户自身安全意识
企业应高度重视物联网安全,加强人员安全培训,规范设备的安全管理,增加必要的安全投入,以降低黑客程序、勒索软件带来的损失;用户在购买物联网产品时需要考虑设备的安全性可能给自己带来的损失,及时更换登录密码,定期更新软件和系统。调查显示,人们在畅享物联网便捷的同时,安全意识往往被抛之脑后。根据Verizon的“2016 数据泄露报告”显示,涉及到默认口令、弱口令的情形在2260起数据泄露事件中的比例高达63%。许多病毒正是利用了物联网设备中某些组件的弱密码入侵智能设备,进而对特定目标实施攻击,Mirai病毒就是其中的一种。事实上该组件厂商早已发布更新版本,并要求用户更改默认口令,但是很多用户并没执行该操作。一般用户对于物联网设备的安全威胁的反应主要有三种情形:1)并不认同安全是智能产品的一个功能并愿意因此负担额外费用;2)存在侥幸心理,认为安全问题离自己很远。没那么巧黑客正好攻击自己;3)保证安全是产品厂商的事。消费者只管用就行,不需要考虑安全问题。用户自身安全意识提升,养成良好的设备安全使用习惯可以在很大程度上增加实施攻击的难度,提高攻击成本[17]。
6 结束语
物联网的大幕已经开启,物联网时代的信息安全问题已初露端倪。顺应历史发展的潮流,只有充分评估风险,及时推进立法,才能使物联网技术真正造福国家,实现人民对美好生活的向往。
基金项目:
江苏省社会科学基金项目研究成果“智慧城市治理中的个人信息保护问题研究”(项目编号:19FXD004)。
参考文献
[1] 段浩.物联网发展状况及其安全问题研究[J].通讯世界, 2013(11):30-31.
[2] 闵春发,汪业周.物联网的意涵、特质与社会价值探析[J].中国人民大学学报,2011,25(04):41-46.
[3] 刘海涛.物联网与感知中国梦[N].科技日报2015-09-23(12).
[4] C. G. JARDINE,S.E.HRUDEY. Mixed messages in risk communication [J].Risk Analysis,1997(4).
[5] 张俊玲,赵林.物联网安全与隐私保护分析[J].电脑迷, 2018(10):28.
[6] 李欲晓.物联网安全相关法律问题研究[J].法学论坛,2014(11):20-22.
[7] 张星,张克雷,桑鸿庆,张浩然,魏佩儒,周鸿屹.2019物联网安全年報[J].信息安全与通信保密,2020(01):45-62.
[8] 肖尤丹.机器人需要“守法”吗? [N].人民日报,2014 -07 -21(20).
[9] 欧洲刑警组织.物联网将在今年年底前学会杀人[EB/OL].http://itech.ifeng.com/40830199/news.shtml?&back凤凰网2014-10-08.
[10] 刘云浩.物联网导论[M].北京:科学出版社,2011:279.
[11] 程翔.浅谈物联网安全和隐私问题[J].科技信息, 2011(16):256+258.
[12] 陈新平,徐广印,王振锋.物联网环境下的信息安全研究[J].科技管理研究,2013,33(01):196-199.
[13] Japanese government plans to hack into citizens' Io T devices[EB/OL].https://www.zdnet.com/article/japanese-government-plans-to-hack-into-citizens-iot-devices/ .
[14] The“NOTICE” Project to Survey Io T Devices and to Alert Users [EB/OL].http://www.soumu.go.jp/main_sosiki/joho_tsusin/eng/Releases/Telecommunications/19020101.html.
[15] 刘志诚.物联网网络信息安全生态体系构建新论[J].网络空间安全,2018,9(12):85-89.
[16] 王小萌.物联网环境下个人数据信息保护研究,华南理工大学硕士论文[D].广州:华南理工大学, 2016.
[17] 上海社会科学院互联网研究中心.Geek Pwn(极棒)智能物联网安全风险报告[J].信息安全与通信保密, 2017(10):92-109.
