谢海琴，杨 雯，肖 琳

(海尔数字科技(上海)有限公司，上海 200000)

0 引言

近年来，伴随着人工智能、物联网、大数据等新一代信息技术的不断突破，家电行业逐步向自动化、智能化的方向转变[1]。 从发展阶段看，逐步从智能单品向智能互联演进，开放共享已逐步成为共识。与此同时，随着大数据、机器学习等技术的快速发展，基于机器学习与数据分析的客户需求洞察使家电智能化进入新阶段。

然而，从谷歌因侵犯用户隐私被多州起诉，欧盟监管部门对 Facebook 将欧盟用户数据传回美国案开出28 亿美元罚单，到 Amazon 被爆违规收集和使用用户个人数据，自动化数据处理的发展使得大量数据快速传播，必须考虑与个人数据有关的隐私保护问题[2]。 数据安全问题一再引发公众的关注与讨论，在一定程度上，也成为了影响消费者购买意愿的因素。 相比较于现代技术带来的便利化，越来越多的人开始关注数据主权，希望确保对其自身数据采集和使用过程中的知情权、自主决定权和控制权。

洗衣在日常家务中占有很大比重，是家庭中最大的能源、时间和金钱消耗之一，洗衣机智能化可为消费者带来更好的洗衣体验。本文以洗衣机智能衣物检测为例， 探讨数据主权下的数据互联与共享，以期为家电智能化进程中的数据主权保护研究与实践提供参考。

1 研究背景概述

网络技术和通信技术的成熟和广泛应用、信息化水平的不断提高、互联网基础设施和技术条件的日益完善，以及用户对高水平的家电的需求，为智能家电的迅猛发展提供了必要的条件。

洗衣机等家电产品属于耐用消费品，更换周期较长。近年来，洗衣机行业整体规模保持平稳，增长主要来源于更新换代的需求。 倍速时代，用户越来越追求健康、高端、精致与节能，科技创新也推动了产品结构向高端化发展，免清洗、自动投放、智能产品的自主研发取得了显著成果。

根据《中国智能洗衣机市场全景调研分析及发展前景预测咨询》，洗衣机的智能化可分为两个层次，一个是产品层次的智能，一个是交互层次的智能。 产品层次主要表现为利用传感器、算法等对衣物重量、材质，水质，污渍等的识别与判断，交互层次主要在于利用数据交互与机器学习，减少用户思考，提升用户体验。

全国家用电器工业信息中心监测数据显示，洗衣机线下市场均价由 2020 年 7 月的 3 300 元左右上涨到 2021 年下半年的 3 800 ～4 000 元，均价的上涨，部分原因来自原材料，更大的动力来自于结构优化。 此外，2021 年前三季度线下洗衣机 5 500 元以上的中高端市场，销售份额较上年同期合计增加了7.5%，更是体现了用户更新换代的实际诉求。

根据奥维云网(AVC)洗衣机年度总结，2021 年全渠道零售额为766 亿元，同比增长7.3%，零售量为 3 718 万台，同比增长 0.8%。 以 WiFi 控制、近场通信技术(NFC)、智能投放为卖点的智能洗涤受到市场青睐，消费者过往的单纯的洗涤需求已经逐渐演变为“洗+烘”与“洗+烘+护”，洗涤产业的规模正在不断扩大，洗衣机市场高端化趋势显著。

智研咨询发布的《2019-2025 年中国洗衣机行业市场全景调查及投资方向研究报告》显示，2017年我国智能洗衣机市场规模为265 亿元，2018 年约为361 亿元，未来将有越来越多的洗衣机企业提供差异化的产品和服务，以便更好地满足消费者需求，预计到2025 年，我国智能洗衣机产品销售规模将增长至919.2 亿元。

在大数据分析推动数字化转型的今天，随着用户对生活品质的追求不断提高，洗衣机行业潜力巨大。

与传统洗衣机相比，智能洗衣机可以给人们带来前所未有的体验，不过，数据采集、分享和使用往往由服务提供方独立完成，消费者难以拥有知情权，个人数据的不可控逐渐导致信任的缺失，由此产生的担忧最终超过智能化带来的便利，使消费者不愿意分享数据。 为了克服这种信任缺失，必须采取行之有效的措施，确保在数据收集和使用过程中用户的数据主权，并对用户的数据隐私负责。

2 系统概述

2.1 功能简介

数据主权要求数据所有者可完全控制其数据，相对来说是一个较新的研究领域，在该领域，欧洲起步较早，欧共体及欧盟自1970 年起实施数据处理方面的统一政策[3]。 IDSA(国际数据空间协会)是德国的非政府组织，为世界首个、最大的关注数据主权的国际化联盟，拥有 132 家成员，遍布 22 个国家。 IDSA 旨在建立一个安全、主权的数据交换系统，以便所有参与者都可在其中实现其数据的全部价值[4]。

IDSA 制定了一个用于运行数据空间的参考架构 IDS(国际数据空间)，IDS 是一个依托现有标准、技术及在数据经济中广泛接受的治理模型建设的虚拟数据空间，用于在可信的商业生态系统中促进安全、标准化的数据交换和数据链接。 IDS 为创建智能服务场景、促进跨公司业务流程的创新提供了基础，使数据所有者进行可信的数据交换，从而确保了数据所有者的数据主权。 IDS 连接器是为方便接入IDS 而设计的一个独立的技术组件，该组件用应用程序容器捆绑了包含数据服务的各种数据应用程序，作为进入IDS 的网关。IDS 连接器需要遵循IDS 参考体系结构的相关规则，在可信的数据空间环境下进行数据交换，以确保原数据提供方始终保持对其数据的控制[5]。

本系统以符合国际数据空间(IDS)的数据主权这一概念作为核心，通过IDS 技术，构建一个安全的体系结构，促进参与者与他人共享和使用数据。与此同时，利用COSMOPlat 平台搭载运行机器学习算法，不断优化洗涤程序。

用户可以自主添加对洗衣数据的使用要求，规范洗衣机及参与方使用其个人数据，实现在遵守数据隐私的前提下，共享数据和应用服务，通过数据分析不断优化洗涤程序，促进数据驱动的产品和服务创新[6]。 该系统一方面为用户提供更好的产品体验，另一方面为洗衣机未来的产品创新提供数据洞察力，实现各方共赢的效果。

2.2 系统构成

本系统基于COSMOPlat 平台，通过实时数据采集与分析，根据洗衣过程中衣物、水况等的变化调节系统，为用户的洗衣机提供持续优化的洗涤程序。 在此过程中，由传感器负责收集洗衣机运行时的数据，并将数据传输到COSMOPlat 进行计算处理，反馈的优化洗涤程序再重新应用于洗衣机。 整个过程中的数据传输通过IDS 连接器完成，确保数据的主权与安全。

本系统由洗衣机、COSMOPlat 平台、传感器、电信供应商、智能 APP 五部分构成，如图 1 所示。 这五个模块在物理上是分离的，IDS 技术则起到将它们彼此连接起来的作用，IDS 技术提高了各模块间的安全性和信任度，并允许从传感器模块获取状态消息，同时发出模块反馈的更新信息。 五个模块的具体功能如下：

图1 系统概览

(1)洗衣机配有一个中央处理器来控制机器，同时利用传感器收集数据，并根据系统回传信息为用户提供优化的洗涤程序。

(2)COSMOPlat 平台配有机器学习的各种算法和模型，可计算最优洗涤程序。 COSMOPlat 的优点是开发了一个允许双边市场匹配供需的平台。 通过COSMOPlat，加强用户和供应商之间在智能制造技术方面的交流，同时可连接不同行业的信息技术和制造技术，实现大规模定制。

(3)传感器主要负责识别、区分甚至量化液体和固体物质，为数据分析提供基本依据。 对洗衣机内衣物成分的自动识别有两种方式：利用RFID 芯片识别衣物，该芯片集成在服装中，洗衣机通过RFID读取器识别并读取衣物材料；对于没有RFID 芯片的衣物，则利用集成到滚筒中的传感器进行检测。收集到的数据会通过IDS 连接器传输到洗衣机内部的处理单元，进行分析处理。

传感器还定期提供机器内衣物的相关信息。 一方面，提高了衣服的检测率；另一方面，后添加到洗衣机的衣服也会被检测到。 此外，在此期间可随时调整洗衣程序。 所有组件和参与方均使用IDS 连接器相互通信，以确保各方的数据安全和数据主权。

(4)电信供应商支持 COSMOPlat 与传感器间、企业与企业间、国内国外间的无缝数据传输与数据交换。

(5)智能 APP 可方便用户随时查看数据、调整设置。 用户可使用智能 APP 连接到系统，参与整个过程。 用户直接与洗衣机中的 IDS 连接器交互，可实时查看洗涤进程及数据情况，操作界面方便用户随时设置、更改系统控制及数据管理规则。一方面，用户可对洗衣机的节能信息一目了然，另一方面，可随时设置对洗衣机收集数据的使用策略。

IDS 建立了一个可信的数据主权网络，在这个网络中，各参与方可以控制自己的数据，同时开放对他人的数据使用权。 为使数据只能通过IDS 进行主权交换，会提前附加包含条款条件的元数据。 通过IDS，个人用户数据可共享，用来制定个人和可持续的洗涤计划。 IDS 连接器严格按照选定的使用策略执行，保证数据交换过程中的数据主权。

系统结构对部分技术及组件构成有一定的前提要求，具体情况如表1 所示。

表1 系统需求

2.3 系统运行机制

洗衣机中有处理单元，可随时更改每个洗涤程序参数(温度、转速等)；洗衣机中内置传感器，用以检测衣物的构成。

COSMOPlat 平台中有定期训练的机器学习模型，该模型基于传感器收集到的数据，不断优化洗涤程序，如图 2 所示。

图2 系统运行机制

洗衣机可随时向COSMOPlat 发出指令， 要求新的、优化的洗涤程序。

用户可使用智能手机APP 连接洗衣机中的IDS连接器，对洗衣机内收集的、要发送到COSMOPlat的数据设置数据规则。

系统在实际运行中可分为几个场景，如表2 所示。 洗衣机载有传感器和IDS 连接器，两者可相互通信。 如图3 所示，传感器采集到的新数据都将汇集到洗衣机处理单元，由处理单元检查判断是否出现重大变化，如果没有，则该场景结束，否则通过IDS 将收集到的数据发送到COSMOPlat，由COSMOPlat平台计算新的洗涤程序，并通过IDS 连接器发回洗衣机，由处理单元接收、应用新的参数。

图3 洗衣机数据处理

表2 系统场景构成

如图4 所示，洗衣机内的传感器模块向供应商发送状态信息，状态信息通过不同组件的IDS 转发，直至到达供应商，场景结束。

图4 传感器提供方—供应商信息流动

供应商向洗衣机内的传感器模块发送传感器更新的信息。 不同组件通过IDS 转发更新情况，直至到达洗衣机，如图 5 所示。 洗衣机接收更新并将其转发到相应的传感器模块，场景结束。

图5 传感器提供方—洗衣机信息流动

本用例中的每个组件都使用IDS 连接器，以确保跨组件的数据主权。 洗衣机内收集到的数据是用户数据，为了确保数据主权，用户可以通过智能APP连接洗衣机，自行决定与COSMOPlat 共享哪些数据，整个系统的运行将严格按照该规则执行。

传感器供应商可提供必要的硬件、软件和服务，传感器可以识别、区分甚至量化液体、粉末和固体复合材料。这些数据汇总到COSMOPlat，利用机器学习优化洗涤程序，实现洗衣机的最优化使用，同时更好地保护衣物，延长衣物使用寿命。

整个系统的正常有序运行，对组件及相关构成有一定的要求。首先，本系统主要基于现有技术，如IDS 连接器等，该技术已相对成熟，可减少故障，缩短实施和维护的时间。 第二，为实时显示清洗程序的状态，所有组件间的连接通信均为低延迟。第三，整个过程确保数据主权，保护所有参与方和用例组件的数据安全，确保收集的数据不被滥用。第四，传感器精准度高，可保证数据的准确性。第五，固件升级方便，COSMOPlat 中的算法和模型及洗衣机和传感器方便调整和扩展。

对于用户而言，自动化的洗涤程序大大节省了时间、水电能源和投入成本，免去了阅读使用说明、确定洗涤剂用量、选择合理洗衣程序等过程，减少了时间上的投入，同时可以更好地保护衣物，从而带来全新的洗衣体验。

2.4 用户隐私数据保护机制

本系统建立了一个安全、可靠、以用户数据隐私保护[7]为核心的平台，确保在符合数据保护相关法规与政策及保证用户数据主权的前提下，进行安全有序的数据通信[8]，支持跨组织的联邦学习，充分挖掘数据的价值。本系统从硬件安全、软件安全、应用程序隔离、认证管理及执行控制各个方面全方位确保系统整体架构的安全性，以组件认证证书、TPM、HSM 等硬件安全技术、容器技术、软件安全认证、部署资源控制等技术为支撑，减少用户对数据安全问题的担忧。

本系统主要从以下几个层面保证其运行过程中对数据安全性的监管：

(1)数据保护

系统采用同态加密技术保护用户元数据。 数据可进行本地化部署，保证原始数据不出域、数据可用不可见，以确保用户对数据的控制权。 系统基于隐私保护技术进行机器学习，同时在联邦学习环境中使用可扩展算法，可根据用户需求提供定制化隐私模式设定。

(2)通信安全

系统将从两个层面确保通信阶段的数据安全：端对端加密和端对端授权。 系统无开放接口，各组件仅可通过IDS 连接器进行通信，确保严格的数据管理与控制，进而保证用户的数据主权。与此同时，在系统运行过程中，将进行全流程通信加密，在共享信息数据的同时，确保通信信息的数据主权和信息的完整性。

(3)身份管理

在运行前，系统将对每个参与者的身份进行认定，用于通信时的身份验证与管理。 在系统运行过程中，将对各个参与方进行动态身份识别，有效防止第三方侵入，并避免以此造成的数据泄露，减少用户对于数据不可控的担忧。

(4)信任管理

建立可信的平台系统环境是进行可信数据交换的前提。 数据交换需要确保遵守相应法律法规及统一的数据管理规范，各参与方就安全配置文件等达成共识，以此建立各参与者间的信任。 IDS 连接器带有安全协议和安全配置文件，便于通信过程中各参与方间的相互验证，以确保整个流程遵守相关法律法规，并符合用户关于数据使用和控制的设定。

此外，系统采用区块链等技术，确保流程可追溯，进一步加强平台对数据全流程的监管，从而巩固运行环境的安全等级。

(5)访问和使用控制

系统将严格控制数据访问，该控制是强制性的，可最大限度地减少第三方的恶意攻击及数据泄露。 同时系统支持将数据使用政策规范附加到数据集，定义接收数据的连接器需要履行的义务，并在数据生命周期中强制执行。 通过这样的方式，即使是数据提供者已经发出的数据，也可以通过数据追踪，了解数据后续的情况，有效控制数据的使用。

在实际运行过程中，系统将从业务层、流程层、信息层、系统层四个层次推动数据的安全保护。 在业务层，系统会对角色、权限及潜在的业务流程进行定义，以便规范数据的使用。 流程层主要制定新的流程及调整现有流程，设定可信标识和身份验证、部署公钥证书等，确保在上传数据之前，数据已全部经过可信实体的验证。 信息层促进各参与者能够使用共同的词汇和语义，通过所有参与者都能理解的方式表达访问和使用控制策略。 系统层主要由IDS 连接器完成，系统将确保全部通信通过连接器完成，可信的连接器也是实现整个系统数据安全保护的基础。

3 系统优势与不足分析

3.1 系统优势分析

对于用户来说，洗衣机的智能化将极大节约人力、物力成本，一方面，降低人们在洗衣方面的时间与精力投入，将人们从家务中解放出来；另一方面，通过数据计算与分析，促进用水量、洗涤剂用量、洗衣机运行模式的精准化，避免不必要的浪费，节约资源，减少碳足迹，就环境保护方面来说，随着国家对环保的日益重视及人民环境意识的逐步提高，智能化、低能耗的家电更符合时代潮流和人们的期望，绿色环保系统也符合“双碳”战略目标。 此外，基于数据制定的洗衣程序可更好地护理衣物，延长衣服的使用寿命。

个性化的服务提升了产品本身对用户的吸引力，为洗衣机行业注入了新的生机，可提高用户的品牌忠诚度，也为制造商提供了新的盈利渠道和商业模式。

对于洗衣机制造商而言，数据驱动的创新是数据驱动型组织的关键，依靠数据收集和数据分析，是开发产品和服务的基础。 数据创新可不断衍生新的商业模式，促进新的产品变革，持续实现未来价值。

对数据交换而言，随着经济的发展和国际交往的日益密切，不同经济区域间的双边乃至多边数据交换需求与日俱增，数据的跨部门交换、跨公司交换、跨国交换不可避免，本系统的应用也有助于实现数据主权下的无摩擦通信。

3.2 系统不足

本方案为智能家居产品的数据主权保护提供了一个参考，但仍需在实践中不断优化与完善。

首先，整个系统的运行交互过程中可能出现故障或不当运行，进而导致错误的结果。 比如错误的传感器数据，会导致后面的计算错误；COSMOPlat 的模型和算法也可能生成错误的参数。 为避免此类问题的发生，建议在处理单元或COSMOPlat 中添加验证机制，方便检测故障数据。

其次，该系统的前提是用户愿意共享自己的数据，必须设定默认的使用策略，并根据用户的要求持续更新完善，系统的成功运行要求用户可通过智能手机应用程序设置使用策略，完全控制自己的数据。

最后，开发该系统需要合理的时间计划与安排，包括收集用户和体系结构的需求、实现体系结构和组件集成、概念验证和测试平台、转产、产品推出等，其中的某一模块可能需要进一步研究，并根据实际情况不断修改完善，持续迭代，以达到最优效果。

4 结论

数据主权是一个相对较新的研究领域，通过IDS技术，可以构建一个安全、透明的体系结构，在确保数据主权的前提下，使参与者与他人共享和使用数据，在更大程度上发掘数据的价值。 本文中提供的体系结构在洗衣机清洗过程中共享数据和应用服务，通过在COSMOPlat 上运行的机器学习算法，不断优化洗涤程序，与此同时，用户可以制定数据的使用策略，最大程度上保证其数据主权。

本文以洗衣机智能衣物检测为例，探讨智能家电使用过程中的数据隐私问题，希望为家电智能化过程中的数据主权保护提供参考。