张 迪

1 物联网的应用与挑战

物联网是物理与数字世界间的桥梁，它允许人和物在任何时间、地点与任何人和物采用任何途径与网络进行连接，并可使用任何相关服务，因此也被称为“万物互联”[1]。物联网是互联网的重要组成部分，其应用场景极其广泛，包括个人生活、医疗健康、汽车工业、航空航天业、电信业、建筑领域、零售和物流领域、制造业、农业、娱乐、保险和环保领域等[2]。如通过智能手表或手环监测个人运动量、心跳和睡眠时长，并通过算法推断个人健康状况；将智能空调、洗衣机、冰箱等智能家电接入互联网可让用户通过手机远程监测设备状态并进行远程操控；智能血压、血糖监测仪[3]、输液泵、胰岛泵、电子药片[4-5]和智能药盒[6]等医疗健康设备可监测、存储、分析个体的健康状况，让患者和医生实时了解患者的健康状况，并允许设备自身对治疗方案进行调整，甚至还能主动收集有关临床试验受试者的数据[5]。

物联网正在改变世界并影响人类社会未来的发展方向[2]，提升人类社会整体的生产效率，这也是世界各国政府重视和推动物联网发展的重要原因。中国政府于2005年首次提出将传感网作为重点研究领域，2009年提出“感知中国”战略并强调物联网技术的重要性。预计到2025年全球物联网设备将超过250亿台[7]，市场规模约1.6万亿美元[8]。

物联网使现实世界与虚拟世界融合，促进社会、经济发展，使社会和个人受益，如在医疗健康领域的应用可降低医疗机构的运营成本、提升患者体验、减少医疗差错等。与此同时，物联网也给社会带来了一系列伦理挑战[9]。第一，物联网技术可能引发新的歧视。物联网突破了物理与数字世界间的界限，通过物联网设备企业可以实时获得大量用户个人信息，如每日运动量、心率、饮食规律和睡眠状况等，这些数据可以单独使用，或与用户的其他数据整合，通过算法推出用户的躯体、心理和精神健康状况[10-11]。医疗健康类数据的产生不再局限于医疗机构，越来越多的数据来源于用户的物联网设备，并在医疗机构之外的地点存储和分析，而这使得数据应用的目的和场景被大大拓展。此类数据如果被雇主或保险公司获取，可能会被用于判断是否雇佣某位应聘者或续约某位员工，或评估个人商业医疗保险费率[12]。第二，威胁个人隐私。传统的健康数据仅保存在医疗机构内部，仅有患者个人和医务人员知晓，加之医疗机构内的医务人员受到医学伦理和法律的双重约束，对个人隐私的保护较为重视，除诊疗外仅限于教学与科研，患者个人信息和健康数据可以得到较好保障。然而，物联网设备采集数据的场所不局限于医疗机构，且可采集个人方方面面的数据，物联网企业或第三方可通过算法推测出我们是谁[13-14]，我们的健康状况、行为[15]、习惯、偏好、性格[16-17]，甚至是我们行为的目的。即使对数据进行匿名化处理，通过算法也可以将数据去匿名化，从而使个人隐私受到前所未有的挑战。在物联网设备安全性欠佳的情况下，用户个人信息更易被盗取并贩卖，医院内存储的医疗健康信息每例售价在数百美元，高额回报更是加剧个人隐私受到威胁。与受医学伦理学和医学专业精神影响的医学专业不同，企业常以经济利益最大化为首要原则，在缺乏医学专业精神、医学伦理学约束和法律规制的前提下，企业的行为必将加深社会歧视以及对个人隐私的威胁。第三，对数据安全构成挑战。当前个人物联网的特点使得其易引发数据安全问题[18]，包括体积较小缺乏交互界面[7]、研发和制造企业缺乏数据安全知识和经验[8,18]、软件安全更新不及时和缺乏行业标准与监管机制等。脆弱的物联网终端是近些年数据安全事件的高发领域，健康手环、互联网摄像头的数据泄露和盗用屡见不鲜[19-20]，直接威胁到数据安全和个人隐私[21-23]，而医疗健康类物联网设备的数据安全问题甚至会威胁到患者的生命健康[24-25]，如控制胰岛素泵调高胰岛素的注射量进而导致死亡。由于篇幅所限，本文试就前两个问题进行探讨，抛砖引玉，期待使更多的研究者关注物联网发展所引发的伦理学问题，促进相关问题的研究和物联网的善用。

2 物联网的特点

物联网之所以会引发伦理学问题，与其自身的特点密不可分。

第一，物理世界的数字化。传统互联网主要通过计算机、手机两类终端链接个体，且个体具有高度的自主性。物联网设备使得个人可被数字化的内容不断拓宽，各类数据的不断整合可以用来预测个体的各种特征。如通过运动腕带或智能手表中的传感器获悉个人血液、心率和睡眠状况等健康信息；通过监测声带振动，在无需获得个体具体讲话内容的情况下预测个体的健康；通过智能手机了解个体的家庭住址、作息时间，从而推测个体的生活习惯、健康状况和经济水平等；通过汽车传感器了解个体的驾驶习惯，从而推测个体的性格；通过智能音响了解个体的兴趣爱好。这些数据单独使用便可以揭示个人的诸多特征，而不同的传感器之间产生的数据融合[26]则可以更深入地了解个人特征，实现1+1>2的效果[27]。手机中陀螺仪和加速器可以测量物体的运动方向与加速度，如果将两者结合使用可以推测用户的休息状态，准确地描述线性和旋转运动。如果分析时再加入心率监测设备的数据，还可以推测用户当前的应激水平和情绪[28]。通过传感器监测用户握持手机或打电话的方式来推测用户的情绪，通过分析用户使用手机输入文字的方式、打错字的频率和手机晃动的幅度等来推测用户的精神状况等[28]。不难想象，当我们使用的物联网设备越来越多、监测精度越来越高，其所产生的海量数据将揭示更多个人的健康状况、特征、习惯和性格，甚至预测个体行动。这意味着物联网可以获得更多有关个人隐私的信息，且传统互联网中存在的隐私和安全问题在物联网中被放大，一旦出现负面效应更难以逆转[29]。

第二，数据的被动收集。传统互联网数据中用户信息的收集需要通过用户自行输入，而在物联网中数据的收集工作由设备自行、全天候、不间断执行，无需用户主动输入。这将产生两个结果，一是产生大量数据，二是用户可能会遗忘设备的存在进而忽略对设备的控制。海量的多元数据在算法的支持下可以更准确地预测个体的特征、在人群中甄别个体，这将对个人隐私和自主性构成更严峻的挑战。

第三，缺乏交互性。传统互联网中，用户通过键盘、鼠标、语音和手势与设备进行交互，输入信息和命令，并且用户可以通过屏幕和声音来直观地获得反馈，即时快速地调整电脑、手机和各类服务器的设置。而物联网设备自身的硬件特点是微小，这使得隐私设置的便捷性劣于计算机和手机，隐私政策和用户协议更不易被察觉，修改隐私设置的成本更高，而这将对用户的个人隐私和同意的有效性提出挑战。

3 物联网应用引发的伦理问题

3.1 歧视

物联网设备可能会引发和加深社会歧视。物联网设备所产生的数据(同时可结合算法)允许企业、机构和个人获得更为精确的用户数据，通过分析后可以对个体进行精确描述。这就意味着用户的特征可以被更为细致的分类，贴上各类标签，将个体用户归为不同人群类别。雇主、保险公司和其他机构可以根据这些特征、标签制定策略，决定是否雇佣、保险费率和信用额度高低以及入学机会等，对个体进行区别对待。这可能会导致某种新形式的歧视或加深现有歧视，尤其是针对那些本就十分脆弱的人群，如由于先天因素或社会不公正而使自身健康处于不利境遇的个体。此类歧视行为可十分隐蔽，尤其是在数据收集者和使用者缺乏动力增加信息告知的透明度和促进有效同意的前提下，如缺少伦理规范和法律法规时。

首先，雇主会对物联网数据产生兴趣。雇主通过对应聘者的教育、工作和健康信息来评估个体是否能够胜任某项工作。在这些环节中，雇主会获得有关应聘者的各类数据和信息，通过分析来推测应聘者的能力、降低用工成本、提升投入产出比，如通过筛查应聘者的基因挑选出未来患病率低的个体。物联网设备提供的信息将会丰富雇主对应聘者的“画像”，在未来必将被雇主用于对应聘者的评估。

以常见的物联网设备——运动手环(和手表)为例。运动手环能够连续、长期监测个体的运动量(如步数，跑步、游泳时长和距离)、坐立时间、心率、睡眠状况、体重(如配合智能体重/体脂秤使用)、运动轨迹等数据，并结合用户通过应用或网站提供的个人信息推测用户的健康状况、健身习惯和常住地址等。近些年此类设备的发展迅速，以苹果手表和小米手环为例，前者2019年的出货量为3 070万只[30]，后者在2020年上半年出货量为1 340万只[31]，伴随而生的是海量的个人数据。

假设A是某运动手环的用户，身体健康且有良好的健身习惯。当其求职时，雇主除按照传统的招聘程序通过笔试和面试来评估其工作胜任力外，还会对其健康数据进行评估。这里的健康数据除常规入职体检外，雇主可能会要求她主动提供或从第三方处获取运动手环的数据，如心率、血压、睡眠和作息规律等，从而判断A的健康状况、健身习惯。如果通过算法分析得出A目前拥有良好的健康，且具备“好的健身习惯”，在其他条件相近的情况下，A被该公司雇佣的机会更大。因为其未来大概率会保持健康，而这对于他履行自己的岗位职责并为公司节省医疗支出十分重要。这看起来有些不可思议，但实际上雇主们早已在应聘者不知情的前提下通过数据分析来评估潜在雇员[32-33]，以获得对雇主而言最高效、最有利的雇员。

我们尝试通过三种方法分析其中是否存在歧视[34]。第一，从雇佣政策的目的来看。雇主可能希望获得能够胜任工作岗位且收益成本比最大的员工，就目的本身而言，在道德上并没有错误。第二，从结果分析。这需要我们评估好的健身习惯和其他物联网设备收集的信息是否在实际上与工作目标相关。此处的争论在所难免，一些人会认为好的习惯代表个人较高的自律性并能预测未来健康状况，而这些特征将有助于工作目标的实现；但另一些人会认为没有充分证据证明没有良好健身习惯的人不能够胜任某些工作，至少不意味着比有这些习惯的人要差。第三，从意义和信息传递分析。将物联网数据融入雇佣程序中，可能会向社会传递一种信号，即没有良好健身习惯或某些特征的人是懒惰的，进而对这类人群进行贬低，甚至构成和加深污名化。当然也会有人提出反对观点，认为健身习惯本就是社会提倡的，并且对个体和社会均有益，故将物联网数据作为雇佣标准可传递好的信号，即人们应当养成良好的习惯。这些分歧预示着将物联网数据作为衡量雇佣与否的标准存在伦理争议，这种区别对待可能会构成歧视。

其次，保险公司十分关注物联网数据[35-36]。长久以来保险公司通过对个体全方位的信息收集和分析来评估个体风险，从而判断商业医疗险(如重疾险、百万医疗险、防癌险等)的费率及是否拒保[37]。近些年，越来越多的保险公司开始投资和运用人工智能、大数据、基因、物联网、区块链等技术，对承保定价进行重塑[38]。

以上文的A为例，如果A希望投保商业医疗险，保险公司可能会要求A提供个人运动手环的数据(甚至基因检测数据[39])，或通过第三方机构获得个体健康数据，从而判断A的费率及是否拒保。对于A而言他或许可以获得商业医疗险，并能够以较低的费率获得保险，因为好的健身习惯和当前好的身体健康状况预示着A短期内死亡和发病的风险较低。相反，对于那些没有良好健康数据(如物联网设备收集的健身数据，推算的健康状况)，他们的费率很可能会高于A。这种“个体化”保险定价看起来将是多赢的，一方面用户可以因良好的习惯而获得保险折扣，同时激励一些用户改变自己的生活习惯，另一方面保险公司可以更好地控制风险，同时获得更稳定的利润[40-42]。但是，这种区别对待是否能够得到伦理辩护？是否存在不公正对待？在能否基于用户基因信息调整费率和拒保时，类似问题同样存在，世界各国所采取的立场也各不相同[37]。健身数据，以及其他我们尚未预见到的可能会被用于评估风险的数据，其背后可能存在更深层次的生物或社会因素。不少社会因素对健康的影响不应完全由个人承担，如经济和社会地位等因素本身涉及社会公正问题，基于此来调整保险费率或拒保可被视为加深社会不公正(尤其在考虑商业性保险公司应承担一定社会责任时[37])，使医疗可及性降低，构成对特定人群的歧视。

这些物联网数据和其他数据一同可以揭示个体的各方面特征，雇主、保险公司或其他机构可以判断某人是否适合被雇佣、被保险或获得某种服务。从经济角度来看，这大概会提升机构的效率和受益，但同时可使某些群体的基本权利受到负面影响。从伦理视角审视，商业也需符合伦理，社会需要在公平与效率之间寻求平衡，而非只看重物联网数据给某些机构带来的商业利益，忽略他人利益。在促进物联网设备的发展和数据合理交换的同时，通过法律来维护个人利益、避免歧视的发生十分必要。我国尚无系统的反歧视立法，且散在于各类现有法律法规中的反歧视条款也尚未涉及禁止对基于个人行为、个性或行动进行区分。

《劳动法》中明确禁止“民族、性别、宗教信仰”歧视，《艾滋病防治条例》要求尊重艾滋病患者和艾滋病病毒感染者的就业权。但对于雇主因健康原因而区别对待潜在雇员和雇员并无明确规定，对于基于健康而造成的就业歧视并未提供明确的法律规制，在一定程度上难以保障个人的就业权[43]。 《保险法》中规定在订立保险合同时，保险人就投保相关问题向投保人询问，投保人有如实告知义务，否则保险人有权解除合同，不承担赔偿责任甚至可以不退还保费。依据现有规定，保险人完全可以要求个人提供看似不甚敏感的个人物联网设备数据(或通过购买、接入第三方数据库的方式)，评估被保险人的健康风险，并据此提高保险费率或拒绝投保。对此是否构成歧视或许存在争议，就像有关基因检测与保险的问题一样，但如果我们认定这构成歧视，目前我国现有的法律法规并未起到预防歧视的作用，也难以为受到歧视的个体提供救济。

3.2 隐私脆弱性增加

由物联网数据引发的歧视问题源于数据的汇集和分析，最终推测出个体的各类特征。在实践中，解决该问题的最常见方式是将数据进行匿名化处理，拒绝向他人提供可识别出个体的数据。这种做法被很多企业所采纳，承诺用户的数据仅在被去标识和匿名化之后使用或转移给第三方。但包括物联网数据在内的各类数据以指数级增长，且数据分析能力不断提升时，完全去标识和匿名化几乎无法实现[44-46]。这意味着个人隐私将更加脆弱[47]，隐私更易被他人获知，如个人身份、特征、消费偏好、健康状况和位置信息等[48]。

依据法律和企业自己制定的隐私条款，企业会将数据库中个体(传统意义上的)可识别信息去掉(如姓名、年龄、性别、地址、电话和社交网络账号等)后分享给第三方。但即便如此，对个体进行再识别也并非是件难事[49-51]。以智能手环为例，每个人都有独特的步态[52]，如果我们知道某个人的步态便可以在数据库中定位该个体，并由此获得该个体的所有数据，包括运动量、心率和定位信息，并通过步态和其他数据推测个体的身高、体重和性别。此外，物联网设备可以获得大量的个人数据，且这些数据相比传统的互联网数据具有更强的个人特征，这意味着获得越多个体数据，识别出个体的可能性就越大。还是以智能手环(或智能手表、智能手机)为例，它可以监测到个体全天的移动轨迹及移动速度数据，据此可以很容易推断出个体经常往返的位置信息，以及所使用的交通工具(汽车、地铁或自行车)。如果机构获得了这些匿名化的数据，并同时知道某人在何时、何地、乘坐了何种交通工具，便可以大致推断出数据库中哪些匿名化数据属于该个体，并由此将属于该个体的信息再次链接到一起。

除匿名化问题之外，物联网设备还会从其他方面对隐私构成挑战，这主要源于物联网所产生的新的海量数据和不断发展的算法。例如，即使企业不主动搜集用户的位置信息，他们仍可以通过物联网设备产生的数据获得对用户而言具有私密性的信息，如通过获取某智能手机中加速器的数据，并将其与其他手机的同类数据进行比对，可以推测两个手机用户是否处于同一位置[53]。再例如，在一定范围内道路的长度、走向，某一时间段拥堵程度等存在差异，当用户携带智能手机驾车时(在未开导航的情况下)，根据手机中加速器、陀螺仪等产生的数据并结合道路信息，即使在没有获得用户的定位信息时，也可以推测用户运行的轨迹，推测出他运动的起点和终点。这意味着通常企业和用户(尤其是后者)所认为的非敏感信息、非隐私信息，在物联网设备不断增加，数据不断增长和算法发展的背景下，可以合成或推测出个体的隐私信息。换句话而言，即使不掌握人口学信息，匿名化处理后的数据仍旧可以被用于识别个体。

物联网数据的特点使得寄希望于通过匿名化来保护个人隐私变得更加困难，这对伦理和法律的挑战不言而喻。在伦理学方面，技术上难以实现匿名化将对个体自主性构成挑战。通常，个人并不担心通过匿名化处理的数据会暴露个人隐私；在未征得个体同意的情况下，匿名化个人信息可被转移给第三方，机构和个人并不担心数据被再次整合并识别出具体个体，如医疗机构将患者信息进行匿名化处理并用于研究。但丰富的个人物联网数据和算法的发展使得再标识成为可能，这意味着获得用户数据的机构或个人可以通过算法识别出具体个体，并利用这些个人信息实现自身的目的，如贩卖个人健康信息，或通过推送保健品、药品、医疗器械或医疗机构信息来赚取利润。这些再识别行为可能会暴露个人隐私，影响个人生活，违背个体的自主性。此外，在受到巨大经济利益诱惑时企业或个人进行再识别的动力将是巨大的，McDonald等[54]于2008年的研究显示，如果所有美国用户仔细阅读网站的隐私条款，一年损失的机会成本约为7 810亿美元。互联网没有免费的午餐，物联网也不例外，奢望仅仅依靠企业自律来实现保护个人隐私或权衡隐私与经济发展之间的关系是不切实际的。

法律方面的挑战包括个人信息的界定、匿名化与隐私权保护。首先，物联网数据对个人信息的界定构成了挑战。《网络安全法》《数据安全管理办法》(征求意见稿)中所指的个人信息为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”；《电信和互联网用户个人信息保护规定》中的个人信息是指“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”[55]；《信息安全技术个人信息告知同意指南》对个人信息的定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。(注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。)”[56]依据这些定义，物联网设备所产生的大量数据都属于个人信息，无论是单独使用还是与其他信息结合都可以识别个人身份，如步态、移动轨迹、声纹等。但是，从《网络安全法》和《数据安全管理办法》来看，其中所罗列的信息更多是传统的人口学信息，忽略了物联网数据和算法对个人信息概念的拓展，这可能使个人和机构只关注人口学信息，而放松对其他个人信息保护和数据安全的关注，包括由这些看似非敏感信息推出的个体健康信息或其他隐私信息。

其次，匿名化对隐私权[29]的保护作用被削弱。现有规定通常认为个人信息被匿名化处理后可很好地保护个体的隐私，故规定个人信息经匿名化处理后(或“经过处理无法识别特定个人且不能复原的除外”)，可以在不征得个人信息主体同意的前提下向第三方提供[57-58]。这一规定的目的是在保护个人隐私的前提下促进数据的流动和共享，促进数据技术和经济的发展。但现有研究提示我们，物联网数据和算法的发展使得匿名化或无法识别特定个人的情况几乎无法实现，而这意味着仅依靠此种方式保护个体的隐私变得更加困难，法律法规中有关匿名化的规定是否妥当有待商榷。

为了避免匿名化概念的瓦解，一些学者试图根据数据单独使用时可识别程度高低分为识别信息、可识别信息和不可识别信息。“识别信息”对应那些明确与个体相关的信息，如姓名、住址、身份证号、帐户、密码和生物识别信息等；“不可识别信息”对应那些可关联到具体个人的可能性极低的信息；“可识别信息”则介于两者之间[59]。但是，技术的发展使匿名化概念的瓦解无法避免，所有的生物识别信息和个人物联网数据都属于个人可识别信息。当下，企业更倾向于将物联网数据视为“非个人”信息，不甚关注隐私保护技术的研发和应用。其原因可能不仅(或不主要是)在于技术和知识的缺乏，更在于缺少对相关技术应用的经济激励[60]。立法者、监管者似乎也没有意识到物联网数据可能都具有可识别性。现有法律法规尚未对这些伦理和法律挑战做出回应，《个人信息保护法》或许是一个契机，平衡个人隐私保护、数据安全与数据共享和开发。

4 治理建议

针对物联网数据带来的伦理和法律挑战，本文分别对企业、行业协会、政府和公众提出如下治理建议。

第一，企业应增加和强化技术善用这一伦理学要求，关注如何预防不符合伦理的事件发生，将其融入企业文化和价值观中。企业应从避免歧视、隐私保护和数据安全等方面加强对员工的培训。在研发阶段，团队应注重隐私保护技术和数据安全技术的应用，同时避免将歧视性内容和理念嵌入到产品之中。在应用阶段，企业应关注产品使用中存在或可能引发的歧视、隐私保密和数据安全问题，及时纠正或预防问题的发生。

第二，行业协会应制定行业行为准则和技术标准，加强行业自治。行业协会(物联网、金融业及其他行业协会)应制定明确的企业可获取数据清单，并规范数据的使用目的和匿名化数据再链接的限制，避免歧视，保护个人隐私。行业协会应集中企业优势，制定相应技术标准，协助企业强化隐私保密和数据安全技术的开发与应用。

第三，政府应从立法、监督和政策制定等方面促进物联网数据的善用。通过立法来明确数据的权属和各主体的权利，应赋予个人访问、纠正与删除数据的权利和数据可移动权[61]；明确个人信息的定义(尤其需要关注物联网对生物识别信息的扩展)，要求各类匿名化数据分开存储，并应由政府、行业协会、企业和公众共同制定允许进行数据关联和去匿名化的限制条件；要求企业公布算法中有逻辑意义的信息，如构建该算法的目的、当算法没有实现或偏离目标时如何应对[62]，并要求企业为避免歧视做出努力。各行业主管部门应时刻关注物联网数据的收集和使用，关注行业内已经存在和潜在的歧视与隐私泄露风险，对弱势群体给予适当保护。为避免物联网数据的滥用，政府应召集利益攸关方共同探讨数据转移的限制条件，加大对歧视和隐私泄露的惩戒力度。政府应制定经济激励政策，鼓励机构、个人开发和使用隐私保护与数据安全技术[63]，同时鼓励公众对违法行为进行举报并提出改善建议。

第四，公众应加强自身的隐私保密和数据保护意识，关注物联网中的用户协议和隐私条款，积极参与对物联网数据使用的监督工作，如违法行为的举报和不合理行为的投诉[64]。

5 结语

物理世界与数字世界的融合将会对人类社会构成前所未有的伦理、法律和社会挑战。鉴于人类对技术发展预测的完整性和准确性上尚无法做到对技术行为因果性的准确把握，人类应将灾难的预言优先于对福祉的预言[65]。如果人类希望物联网能够得到善用，我们必须从研发那一刻起便不断思考物联网对自然和人类社会的短期、中期、长期的风险，并思考应对策略和具体方案。仅凭伦理或法律无法实现物联网的善用，我们必须从更多元化的专业和视角思考、分析和应对这些问题，逐渐形成对物联网的善治。