物聯(lián)網(wǎng)條件下的信息安全風(fēng)險(xiǎn)防范及立法建議

張琴 王峰 王芳

摘 ? 要：隨著信息技術(shù)的發(fā)展，物聯(lián)網(wǎng)在我國(guó)得到了廣泛的應(yīng)用。物聯(lián)網(wǎng)給人們帶來(lái)巨大便利的同時(shí)，也對(duì)信息安全造成了巨大的風(fēng)險(xiǎn)?；趯?duì)國(guó)內(nèi)外相關(guān)立法的比較，文章提出了物聯(lián)網(wǎng)時(shí)代信息安全保護(hù)的立法原則、立法體系與結(jié)構(gòu)、立法內(nèi)容等構(gòu)想。同時(shí)，提出了強(qiáng)化政府的監(jiān)管作用、逐步統(tǒng)一規(guī)范和標(biāo)準(zhǔn)、加大物聯(lián)網(wǎng)條件下的密碼保護(hù)力度、提升用戶自身安全意識(shí)等建議。

關(guān)鍵詞：物聯(lián)網(wǎng);信息安全;風(fēng)險(xiǎn)防范;立法;建議

中圖分類號(hào)： D923 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the development of information technology， the Internet of Things has been widely used in China. The Internet of Things brings great convenience to people， but at the same time， it poses a huge risk to information security. Based on the comparison of relevant domestic and foreign legislations， this paper proposes the legislative principles， legislative system and structure， and legislative content of information security protection in the Internet of Things era. At the same time， it proposes to strengthen the government's regulatory role，gradually standardize norms and standards， increase password protection under the conditions of Internet of Things， enhance users' own security awareness.

Key words： internet of things; information security; risk prevention; legislation; suggestion

1 引言

伴隨著計(jì)算機(jī)技術(shù)的迅猛進(jìn)步，物聯(lián)網(wǎng)在世界各地得到了快速發(fā)展。物聯(lián)網(wǎng)已成為一種逐漸普及的生活方式，人們借助它暢享高科技帶來(lái)的便利。例如，足不出戶，就能遠(yuǎn)程辦公;離家千里之外，可以遠(yuǎn)程操作智能家電;企業(yè)運(yùn)用物聯(lián)網(wǎng)運(yùn)籌帷幄;無(wú)人駕駛汽車實(shí)現(xiàn)遠(yuǎn)程控制等，物聯(lián)網(wǎng)技術(shù)給人類帶來(lái)了福音，但其帶來(lái)的風(fēng)險(xiǎn)人們尚估計(jì)不足。如黑客盜取個(gè)人隱私，影響企業(yè)正常生產(chǎn)經(jīng)營(yíng)，干擾汽車駕駛釀成慘禍，對(duì)人體穿戴設(shè)備遠(yuǎn)程攻擊，干擾心臟起搏器等器械，甚至是危害生命。研究人員需要對(duì)物聯(lián)網(wǎng)帶來(lái)的風(fēng)險(xiǎn)慎重評(píng)估，運(yùn)用技術(shù)和法律的手段控制物聯(lián)網(wǎng)風(fēng)險(xiǎn)，本文將重點(diǎn)討論法律手段尤其是立法手段。

2 物聯(lián)網(wǎng)簡(jiǎn)述

2.1概念

美國(guó)人Auto-ID在1999年提出物聯(lián)網(wǎng)的概念后，國(guó)際電信聯(lián)盟于2005年正式提出物聯(lián)網(wǎng)的概念，即按照約定協(xié)議，通過(guò)射頻識(shí)別（RFID）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等傳感設(shè)備，把任何物品與互聯(lián)網(wǎng)連接，進(jìn)行信息交換和通信，以實(shí)現(xiàn)智能化的識(shí)別、定位、跟蹤、監(jiān)控和管理[1]。

2.2 物聯(lián)網(wǎng)發(fā)展概況

物聯(lián)網(wǎng)概念一經(jīng)提出，就引起了國(guó)際社會(huì)的高度重視。許多發(fā)達(dá)國(guó)家和地區(qū)紛紛出臺(tái)了物聯(lián)網(wǎng)的發(fā)展規(guī)劃，將物聯(lián)網(wǎng)作為重要的戰(zhàn)略目標(biāo)，以提高其核心競(jìng)爭(zhēng)力。例如美國(guó)的“智慧地球”計(jì)劃、歐盟的“十四點(diǎn)行動(dòng)”計(jì)劃、日本的“U-Japan”計(jì)劃、新加坡的“下一代I-Hub”計(jì)劃等。我國(guó)政府于2009年提出了“感知中國(guó)”，希望通過(guò)借助高科技發(fā)展，積極參與物聯(lián)網(wǎng)框架設(shè)計(jì)、標(biāo)準(zhǔn)制定，從而掌握物聯(lián)網(wǎng)時(shí)代的話語(yǔ)權(quán)。近年來(lái)，我國(guó)的物聯(lián)網(wǎng)體系不斷完善，創(chuàng)新成果不斷涌現(xiàn)，行業(yè)應(yīng)用突飛猛進(jìn)，產(chǎn)業(yè)集群優(yōu)勢(shì)突顯。具體表現(xiàn)在物聯(lián)網(wǎng)技術(shù)被運(yùn)用到管理、制造、研發(fā)等領(lǐng)域，推動(dòng)傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)。在消費(fèi)領(lǐng)域，可穿戴設(shè)備、智能家居、安防系統(tǒng)、智能醫(yī)療、移動(dòng)支付、物流管理等消費(fèi)市場(chǎng)高速增長(zhǎng);在智慧城市領(lǐng)域，物聯(lián)網(wǎng)技術(shù)在城市管理、公共事業(yè)、消防、交通、食品安全監(jiān)管等領(lǐng)域突飛猛進(jìn)。據(jù)預(yù)測(cè)，到2035年，我國(guó)的物聯(lián)網(wǎng)終端將達(dá)到數(shù)千億個(gè)。

2.3 物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的區(qū)別

從發(fā)展歷程看，互聯(lián)網(wǎng)是基礎(chǔ)，物聯(lián)網(wǎng)是對(duì)互聯(lián)網(wǎng)的繼承和發(fā)展。物聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)的區(qū)別在于： 一是交互主體多樣化?；ヂ?lián)網(wǎng)是通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)人與人之間的交流，而物聯(lián)網(wǎng)則是借助網(wǎng)絡(luò)實(shí)現(xiàn)人與物、物與物之間的互動(dòng)?；ヂ?lián)網(wǎng)實(shí)現(xiàn)了人類社會(huì)和數(shù)字世界的溝通，物聯(lián)網(wǎng)則在互聯(lián)網(wǎng)的基礎(chǔ)上使人類社會(huì)、數(shù)字世界和客觀世界之間實(shí)現(xiàn)順利交互。物聯(lián)網(wǎng)不僅使人與人之間的信息模式呈現(xiàn)出新的樣態(tài)，更因物質(zhì)客體獲得了主動(dòng)表達(dá)的機(jī)能，而使人類與物理世界的關(guān)系獲得新進(jìn)展，推動(dòng)了人類社會(huì)與物質(zhì)世界的共生共在[2]。二是對(duì)信息的處理方式?；ヂ?lián)網(wǎng)的信息都是人工輸入的，帶有一定的主觀性、事后性。而物聯(lián)網(wǎng)則是借助物聯(lián)網(wǎng)體系形成對(duì)實(shí)體世界的鏡像反映，更客觀，內(nèi)容實(shí)時(shí)，可預(yù)警。三是對(duì)世界的影響。物聯(lián)網(wǎng)能超越互聯(lián)網(wǎng)。互聯(lián)網(wǎng)將人們引入虛擬世界，但是虛擬世界解決不了安全、能源、環(huán)境、健康問(wèn)題等實(shí)體世界的問(wèn)題，而物聯(lián)網(wǎng)則可以解決。作為人類社會(huì)螺旋型發(fā)展的再次回歸，物聯(lián)網(wǎng)追求的是人與實(shí)體世界的和諧、共存、共融、共發(fā)展，它會(huì)使科學(xué)技術(shù)、市場(chǎng)和生活方式發(fā)生變革[3]。

3 物聯(lián)網(wǎng)條件下的信息安全風(fēng)險(xiǎn)

3.1物聯(lián)網(wǎng)條件下的信息安全風(fēng)險(xiǎn)的內(nèi)容和特點(diǎn)

風(fēng)險(xiǎn)是產(chǎn)生損失結(jié)果的可能性[4]。德國(guó)社會(huì)學(xué)家烏爾里希·貝克在《風(fēng)險(xiǎn)社會(huì)》中首次用“風(fēng)險(xiǎn)社會(huì)”這一概念來(lái)描述西方高度發(fā)達(dá)的現(xiàn)代社會(huì)，引起人們的強(qiáng)烈共鳴。人類在享受著科學(xué)技術(shù)帶來(lái)的物質(zhì)生活水平大幅度提升的同時(shí)，不知不覺(jué)地進(jìn)入了風(fēng)險(xiǎn)四伏的社會(huì)，面臨環(huán)境污染、金融危機(jī)、轉(zhuǎn)基因、恐怖襲擊等。在信息社會(huì)中，物聯(lián)網(wǎng)環(huán)境下的信息安全風(fēng)險(xiǎn)不可小視。

信息安全風(fēng)險(xiǎn)是指隨著信息技術(shù)、計(jì)算機(jī)技術(shù)的發(fā)展，因信息安全問(wèn)題導(dǎo)致組織或個(gè)人的權(quán)利受損失結(jié)果的可能性。從物聯(lián)網(wǎng)的架構(gòu)看，它通過(guò)感知層、網(wǎng)絡(luò)層、應(yīng)用層來(lái)實(shí)現(xiàn)其功能，這三個(gè)層次存在的風(fēng)險(xiǎn)為：感知層的安全風(fēng)險(xiǎn)主要是不法分子竊取身份信息和密碼，對(duì)RFID系統(tǒng)、移動(dòng)智能終端、無(wú)線傳感網(wǎng)絡(luò)構(gòu)成安全威脅。網(wǎng)絡(luò)層的安全威脅主要是異構(gòu)網(wǎng)絡(luò)跨網(wǎng)連接多個(gè)節(jié)點(diǎn)進(jìn)行驗(yàn)證的過(guò)程中易遭遇中間人的攻擊、異步攻擊、DoS攻擊。應(yīng)用層的安全威脅則是應(yīng)用層的數(shù)據(jù)及大量用戶的隱私信息面臨外部竊取等安全問(wèn)題[5]。

具體來(lái)看，信息安全風(fēng)險(xiǎn)的主要內(nèi)容有三個(gè)方面。

一是侵犯基礎(chǔ)設(shè)施和重要領(lǐng)域安全?；A(chǔ)設(shè)施和重要領(lǐng)域的物聯(lián)網(wǎng)設(shè)施一旦存在漏洞或遭受攻擊，會(huì)對(duì)國(guó)家安全產(chǎn)生不利影響。近年來(lái)發(fā)生在烏克蘭、委內(nèi)瑞拉等國(guó)的停電事件，說(shuō)明以物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)為支撐技術(shù)的關(guān)鍵基礎(chǔ)信息系統(tǒng)已經(jīng)成為影響國(guó)家安全的重要因素。

二是侵犯?jìng)€(gè)人隱私。物聯(lián)網(wǎng)的射頻識(shí)別系統(tǒng)（RFID 系統(tǒng)）由讀寫器、電子標(biāo)簽、天線和計(jì)算機(jī)系統(tǒng)組成。其中，電子標(biāo)簽具有信息存儲(chǔ)容量較大、數(shù)據(jù)處理效率高的優(yōu)點(diǎn)，人們可以用一個(gè)設(shè)備進(jìn)行上班、購(gòu)物、看病、上學(xué)、停車、吃飯等活動(dòng)。但是，信息的過(guò)分集中有可能導(dǎo)致個(gè)人隱私一旦泄露則一覽無(wú)余。而且，電子標(biāo)簽中的隱私信息可能被侵入者非法讀取，進(jìn)而通過(guò) RFID 技術(shù)對(duì)個(gè)人實(shí)施監(jiān)控，甚至亂改、刪除或拷貝信息，擾亂正常秩序。

三是入侵計(jì)算機(jī)系統(tǒng)。借助RFID系統(tǒng)，黑客可以更方便地入侵計(jì)算機(jī)信息系統(tǒng)。例如，黑客在獲得電子標(biāo)簽后，可能擅自植入惡意代碼，從而導(dǎo)致購(gòu)物系統(tǒng)、服務(wù)系統(tǒng)陷入癱瘓，造成財(cái)產(chǎn)損失甚至人身攻擊。

另外，智能化是物聯(lián)網(wǎng)的重要目的，人工智能必定會(huì)在物聯(lián)網(wǎng)中扮演重要角色。人工智能賦予物體以意識(shí)和行為能力，存在一些安全隱患，如人工智能之物被植入惡意程序后對(duì)人實(shí)施的侵犯、人工智能自發(fā)對(duì)人實(shí)施的侵犯等[6]。

與傳統(tǒng)的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)相比，物聯(lián)網(wǎng)條件下的信息安全風(fēng)險(xiǎn)并無(wú)本質(zhì)上的差別，但其特征在于由于物聯(lián)網(wǎng)特殊的交互性，信息入侵方式更便捷，因而會(huì)帶來(lái)更大的威脅性。

3.2 物聯(lián)網(wǎng)條件下的信息安全風(fēng)險(xiǎn)的現(xiàn)狀及危害

隨著物聯(lián)網(wǎng)的發(fā)展，信息安全的風(fēng)險(xiǎn)正不斷加大。主要表現(xiàn)在四個(gè)方面。

一是對(duì)國(guó)家和社會(huì)安全造成的風(fēng)險(xiǎn)。2019 年委內(nèi)瑞拉停電事件、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)和勒索軟件大規(guī)模攻擊事件、波音系統(tǒng)被爆出嚴(yán)重漏洞事件均表明物聯(lián)網(wǎng)安全形勢(shì)依然嚴(yán)峻，安全風(fēng)險(xiǎn)的源頭均指向了脆弱的物聯(lián)網(wǎng)終端[7]。

二是對(duì)公民健康乃至生命的危害。近年來(lái)，物聯(lián)網(wǎng)技術(shù)在醫(yī)療中得到逐步應(yīng)用，給人們帶來(lái)方便的同時(shí)也出現(xiàn)了不少問(wèn)題。例如，從2000年以來(lái)，美國(guó)共有2500部醫(yī)療外科手術(shù)機(jī)器人投入正式使用。從2007 年始，美國(guó)食品藥品監(jiān)督管理局收到了200 多件關(guān)于病人接受該機(jī)器人手術(shù)時(shí)遭受切割傷、燒傷及感染等報(bào)告，有89 件報(bào)告顯示導(dǎo)致病人死亡[8]。據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示，由于惡意軟件侵襲，全美有多達(dá)300臺(tái)用來(lái)分析高危妊娠孕婦的設(shè)備運(yùn)行速度放緩。美國(guó)前副總統(tǒng)迪克·切尼的植入式心臟除顫器也因?yàn)楹ε潞诳腿肭?，禁用了無(wú)線連接功能[9]。另外，在物聯(lián)網(wǎng)交通領(lǐng)域，無(wú)人駕駛得到快速發(fā)展，但其帶來(lái)的交通事故也時(shí)有發(fā)生。只要物聯(lián)網(wǎng)被恐怖分子控制，人們所擔(dān)憂的物聯(lián)網(wǎng)“殺人”事件就不再是空穴來(lái)風(fēng)。

三是對(duì)公民隱私權(quán)的侵害。在物聯(lián)網(wǎng)條件下，公民的隱私信息在電子標(biāo)簽中高度集成，又極易被破解泄露。例如：快遞工作人員泄露或黑客攻破快遞包裝面單上的電子標(biāo)簽、二維碼，公民的姓名、電話、地址等信息極易被倒賣謀利。

四是對(duì)公民或組織的財(cái)產(chǎn)權(quán)的侵害。例如，在物聯(lián)網(wǎng)安保中，只要黑客攻破安防系統(tǒng)，就可能長(zhǎng)驅(qū)直入，造成財(cái)產(chǎn)損失;隨著智能門鎖的普及推廣，網(wǎng)絡(luò)犯罪分子極易成為現(xiàn)實(shí)世界中的小偷，他們擁有高級(jí)工具和軟件，如果物聯(lián)網(wǎng)安防系統(tǒng)缺乏妥善的保護(hù)，那么家庭安全岌岌可危;又如，2004年有人開(kāi)發(fā)出一種名為“rf垃圾”的程序，該程序可以輕松改寫商品標(biāo)簽上的產(chǎn)品代碼數(shù)據(jù)。這樣，剃須刀就變成了奶酪，25美元的DVD也可以變成30美分的口香糖。但是，自動(dòng)結(jié)賬系統(tǒng)很難發(fā)現(xiàn)其中的問(wèn)題[10]。這將嚴(yán)重影響正常的銷售秩序，侵犯銷售者的財(cái)產(chǎn)權(quán)。

4 物聯(lián)網(wǎng)時(shí)代的信息安全立法現(xiàn)狀

4.1國(guó)外立法

為應(yīng)對(duì)物聯(lián)網(wǎng)帶來(lái)的信息安全問(wèn)題，發(fā)達(dá)國(guó)家和地區(qū)已開(kāi)始在物聯(lián)網(wǎng)領(lǐng)域立法。歐盟2009年5月制定的《射頻識(shí)別技術(shù)（ RFID） 應(yīng)用中隱私和數(shù)據(jù)保護(hù)原則的建議》為歐盟各國(guó) RFID 應(yīng)用中的信息保護(hù)提供了框架，包括隱私和數(shù)據(jù)保護(hù)影響評(píng)估、零售商使用RFID的要求、信息和透明度要求等內(nèi)容。隨后，歐盟發(fā)布了RFID 應(yīng)用隱私與數(shù)據(jù)保護(hù)影響評(píng)估框架，并且與歐洲網(wǎng)絡(luò)和安全委員會(huì)、歐洲個(gè)人信息和隱私數(shù)據(jù)保護(hù)組織等簽訂了《RFID 隱私數(shù)據(jù)保護(hù)協(xié)議》。與歐盟相比，美國(guó)的立法步伐相對(duì)慢一些，但至少已有十幾個(gè)州制定了物聯(lián)網(wǎng)領(lǐng)域的規(guī)定。2017年8月，美國(guó)國(guó)會(huì)通過(guò)了民主黨、共和黨兩黨議員聯(lián)合提交的《2017物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》法案，該法案的目的是要求向美國(guó)政府出售的物聯(lián)網(wǎng)設(shè)備必須滿足某些安全標(biāo)準(zhǔn)。這一法案的通過(guò)意味著美國(guó)已經(jīng)進(jìn)入物聯(lián)網(wǎng)國(guó)家立法階段。

4.2 我國(guó)立法

我國(guó)在上個(gè)世紀(jì)末開(kāi)始研究物聯(lián)網(wǎng)的核心傳感網(wǎng)技術(shù)，是物聯(lián)網(wǎng)發(fā)展較為迅速的國(guó)家之一。目前，我國(guó)的物聯(lián)網(wǎng)研發(fā)水平處于世界前列。但是，在物聯(lián)網(wǎng)安全方面的立法卻相對(duì)滯后。目前，我國(guó)只初步制定了涉及互聯(lián)網(wǎng)安全、計(jì)算機(jī)病毒、信息安全等方面的法律。隨著近幾年的發(fā)展，國(guó)家和地方相關(guān)部門也出臺(tái)了一系列的政策措施，主要集中在物聯(lián)網(wǎng)產(chǎn)業(yè)培育、技術(shù)標(biāo)準(zhǔn)方面，雖然對(duì)信息安全有所涉及，但其條款過(guò)于概括，缺少具體的規(guī)定。2013年2月5日發(fā)布的《國(guó)務(wù)院關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見(jiàn)》提出了抓緊推動(dòng)完善信息安全與隱私保護(hù)等方面的法律法規(guī)。2013年3月4日發(fā)布的《國(guó)家重大科技基礎(chǔ)設(shè)施建設(shè)中長(zhǎng)期規(guī)劃（2012-2030年）》提出了把網(wǎng)絡(luò)信息安全作為建設(shè)未來(lái)網(wǎng)絡(luò)試驗(yàn)設(shè)施的主要內(nèi)容之一。工信部在2017年1月發(fā)布了物聯(lián)網(wǎng)產(chǎn)業(yè)“十三五”的發(fā)展目標(biāo)，其中包括提升安全保障能力等具體任務(wù)。但是，關(guān)于物聯(lián)網(wǎng)關(guān)鍵核心RFID 技術(shù)使用方面，我國(guó)尚缺乏強(qiáng)制性的安全標(biāo)準(zhǔn)和法律規(guī)范，這將給物聯(lián)網(wǎng)信息安全帶來(lái)嚴(yán)重威脅。因此，我國(guó)應(yīng)盡快出臺(tái)一部“物聯(lián)網(wǎng)信息安全保護(hù)法”。

5 防范物聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)的立法設(shè)想

5.1 立法原則

首先是人類對(duì)物聯(lián)網(wǎng)的絕對(duì)控制原則。在物聯(lián)網(wǎng)時(shí)代，基礎(chǔ)設(shè)施系統(tǒng)和智能設(shè)備對(duì)網(wǎng)絡(luò)高度依賴，一旦它們被不法分子攻擊，后果將不堪設(shè)想。在物聯(lián)網(wǎng)對(duì)人類構(gòu)成威脅時(shí)，人類可以停止甚至銷毀物聯(lián)網(wǎng)，以保證人類對(duì)物聯(lián)網(wǎng)的絕對(duì)控制。甚至必要時(shí)銷毀物聯(lián)網(wǎng)的能力。然后是應(yīng)體現(xiàn)技術(shù)和法律保護(hù)相結(jié)合的原則，一方面要通過(guò)明確物聯(lián)網(wǎng)企業(yè)的準(zhǔn)入門檻、電子標(biāo)簽和讀寫器使用規(guī)范、數(shù)據(jù)加密規(guī)范、物聯(lián)網(wǎng)設(shè)備強(qiáng)制認(rèn)證制度等途徑明確物聯(lián)網(wǎng)的技術(shù)標(biāo)準(zhǔn)。另一方面應(yīng)借助法律明確個(gè)人對(duì)電子標(biāo)簽中的信息查詢、修改、知情、刪除、銷毀的權(quán)利，明確非法使用RFID 技術(shù)應(yīng)承擔(dān)的法律后果。

5.2 立法體系與結(jié)構(gòu)

相比較于目前零散的法律規(guī)定，我國(guó)需要建立物聯(lián)網(wǎng)信息保護(hù)法律體系。該體系可以由《中華人民共和國(guó)憲法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)刑法》《中華人民共和國(guó)民法》以及物聯(lián)網(wǎng)信息安全保護(hù)方面的法律和相關(guān)行政法規(guī)、地方法規(guī)、規(guī)章和其它規(guī)范性文件構(gòu)成。其中，《中華人民共和國(guó)憲法》居于最高地位，物聯(lián)網(wǎng)信息安全保護(hù)法律是重要單行法。目前，該單行法尚未被提上立法日程，研究人員認(rèn)為可以對(duì)該法結(jié)構(gòu)作出相應(yīng)的設(shè)計(jì)，包括物聯(lián)網(wǎng)信息安全保護(hù)的立法宗旨、物聯(lián)網(wǎng)信息安全的概念、保護(hù)方法，物聯(lián)網(wǎng)企業(yè)采集信息的途徑和渠道、物聯(lián)網(wǎng)信息安全保障措施、利用RFID技術(shù)威脅用戶安全行為的認(rèn)定、法律責(zé)任等。在立法時(shí)需注意，對(duì)作為科技發(fā)展產(chǎn)物的物聯(lián)網(wǎng)的立法，必須關(guān)注信息技術(shù)的發(fā)展，研究技術(shù)發(fā)展帶來(lái)的新問(wèn)題。同時(shí)，需要明確界定用以合法攔截物聯(lián)網(wǎng)數(shù)據(jù)的各項(xiàng)技術(shù)手段，從而保護(hù)個(gè)人隱私。 其它相關(guān)立法則應(yīng)及時(shí)跟進(jìn)，例如在《中華人民共和國(guó)刑法》《中華人民共和國(guó)民法》適時(shí)增加有關(guān)物聯(lián)網(wǎng)信息安全保護(hù)的條款，及時(shí)出臺(tái)相關(guān)司法解釋。與此相關(guān)的立法也應(yīng)及時(shí)跟進(jìn)。

5.3 立法內(nèi)容

從內(nèi)容上看，首先要對(duì)物聯(lián)網(wǎng)條件下的信息做出界定。其內(nèi)涵是指基于RFID 技術(shù)的運(yùn)用而涉及的數(shù)據(jù)總和，包括已經(jīng)依法公開(kāi)的信息和身份、財(cái)產(chǎn)、健康、個(gè)人活動(dòng)等隱私信息。物聯(lián)網(wǎng)信息安全保護(hù)法律至少應(yīng)包括五個(gè)方面：知情權(quán)法規(guī)、禁止法規(guī)、IT 安全法規(guī)、利用法規(guī)、任務(wù)驅(qū)動(dòng)法規(guī)[11]。知情權(quán)法規(guī)應(yīng)規(guī)定，客戶有權(quán)了解在接受物聯(lián)網(wǎng)商品或者服務(wù)過(guò)程中自己的哪些數(shù)據(jù)被收集，并保留這些數(shù)據(jù)被侵犯后的救濟(jì)權(quán)利。其目的是讓客戶知道使用了RFID 方案。禁止立法應(yīng)明確規(guī)定任何物聯(lián)網(wǎng)企業(yè)不得對(duì)拒絕使用 RFID的特定人群搜集信息。IT 安全法規(guī)是保護(hù) RFID不被非法讀取的安全技術(shù)標(biāo)準(zhǔn)，具體包括物聯(lián)網(wǎng)信息安全標(biāo)準(zhǔn)、密碼保護(hù)標(biāo)準(zhǔn)。利用法規(guī)需規(guī)定允許使用RFID的條件與規(guī)則。任務(wù)驅(qū)動(dòng)法規(guī)規(guī)定的是應(yīng)用 RFID 時(shí)遇到的挑戰(zhàn)和問(wèn)題，從而為技術(shù)團(tuán)隊(duì)提供支持。此外，還應(yīng)明確有關(guān)部門對(duì)物聯(lián)網(wǎng)信息安全的監(jiān)管職責(zé)、侵犯物聯(lián)網(wǎng)信息安全的法律責(zé)任。也有學(xué)者建議在應(yīng)用中從保護(hù)私人數(shù)據(jù)角度來(lái)規(guī)定法律的內(nèi)容，包括監(jiān)測(cè)產(chǎn)品、監(jiān)控動(dòng)物、監(jiān)控人、收集數(shù)據(jù)并加以分析[12]。

5.4 相關(guān)建議

（1）強(qiáng)化政府的監(jiān)管作用

基于物聯(lián)網(wǎng)對(duì)國(guó)家安全的重要意義，必須強(qiáng)化政府的監(jiān)管作用。我國(guó)可以借鑒一些國(guó)外的經(jīng)驗(yàn)。日本于2019年1月通過(guò)了一項(xiàng)法律修正案，允許政府工作人員入侵物聯(lián)網(wǎng)設(shè)備[13]。修正案允許日本國(guó)家信息和通信技術(shù)研究所通過(guò)弱口令對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行掃描以發(fā)現(xiàn)脆弱的設(shè)備，并可以將這些信息作為威脅情報(bào)共享給電信運(yùn)營(yíng)商。同時(shí)，日本從2019年2月20日起啟動(dòng) NOTICE 項(xiàng)目，開(kāi)始對(duì)互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備進(jìn)行調(diào)查，識(shí)別易受攻擊的設(shè)備，并將這些設(shè)備的信息提供給電信運(yùn)營(yíng)商。然后，電信運(yùn)營(yíng)商定位設(shè)備對(duì)應(yīng)的用戶，并警告用戶[14]。

（2）逐步統(tǒng)一規(guī)范和標(biāo)準(zhǔn)

物聯(lián)網(wǎng)設(shè)備產(chǎn)業(yè)的發(fā)展是一個(gè)不斷完善的過(guò)程。由于早期物聯(lián)網(wǎng)大多采用異構(gòu)的技術(shù)體系，專注于某個(gè)單一領(lǐng)域，因此存在著行業(yè)之間、地區(qū)之間、部門之間相互割裂的情況。隨著技術(shù)的發(fā)展，物聯(lián)網(wǎng)設(shè)備間需要實(shí)現(xiàn)互操作，其關(guān)鍵在于采用統(tǒng)一的標(biāo)準(zhǔn)。但由于各智能設(shè)備的安全水平存在較大的差異，設(shè)備間彼此聯(lián)通存在著鴻溝。目前，阿里、京東、海爾等平臺(tái)廠商都已發(fā)布了智能平臺(tái)和連接標(biāo)準(zhǔn)，但設(shè)備聯(lián)網(wǎng)場(chǎng)景化的使用需求在全國(guó)范圍內(nèi)尚未實(shí)現(xiàn)。這就需要從規(guī)范化建設(shè)出發(fā)，協(xié)作共贏，實(shí)現(xiàn)安全產(chǎn)品的互通，解決兼容性問(wèn)題[15]。意識(shí)到標(biāo)準(zhǔn)化對(duì)物聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展及安全的重要性，工信部已經(jīng)開(kāi)始制定《關(guān)于全面推進(jìn)移動(dòng)物聯(lián)網(wǎng)（NB-IoT）建設(shè)發(fā)展的通知》等規(guī)范，為未來(lái)設(shè)備互聯(lián)明確了技術(shù)和商業(yè)化方向。

（3）加大物聯(lián)網(wǎng)條件下的密碼保護(hù)力度

由于RFID技術(shù)對(duì)密碼的高度依賴，密碼對(duì)于物聯(lián)網(wǎng)信息安全的重要性不言而喻。密碼一旦被破譯、篡改，將對(duì)公民的人身、財(cái)產(chǎn)安全帶來(lái)?yè)p失。這種情況下，受害方可以要求追究侵權(quán)人的法律責(zé)任。這里的法律責(zé)任分民事責(zé)任、行政責(zé)任和刑事責(zé)任。民事責(zé)任適用于較輕微的密碼侵權(quán)行為，其主要形式有賠禮道歉、賠償損失等。對(duì)于違反行政法律法規(guī)、尚未觸犯刑法的行為，一般追究行政責(zé)任，比較常見(jiàn)的是采取罰款、沒(méi)收非法所得、行政拘留等行政處罰。刑事責(zé)任是最嚴(yán)厲的一類責(zé)任，我國(guó)目前已規(guī)定的侵犯公民信息的刑罰主要是有期徒刑（最高刑期為七年）和罰金。研究人員認(rèn)為應(yīng)加強(qiáng)懲罰力度，建議對(duì)竊取、泄漏、傳播密碼造成嚴(yán)重后果者應(yīng)按刑法嚴(yán)厲制裁，對(duì)情節(jié)特別嚴(yán)重的信息密碼犯罪提高刑期，從而威懾犯罪分子。

此外，政府機(jī)關(guān)、網(wǎng)絡(luò)服務(wù)商、銀行、保險(xiǎn)公司、醫(yī)院等密碼持有人泄漏、盜用、傳播密碼，造成人身財(cái)產(chǎn)損失、情節(jié)嚴(yán)重的，應(yīng)承擔(dān)刑事責(zé)任，并追究相關(guān)責(zé)任人。處罰嚴(yán)厲才能保護(hù)到位。

（4）借鑒國(guó)外的相關(guān)經(jīng)驗(yàn)

如何應(yīng)對(duì)數(shù)據(jù)發(fā)生泄露，美國(guó)建立了數(shù)據(jù)泄露通知制度，一旦用戶的個(gè)人數(shù)據(jù)信息被盜取或泄露，數(shù)據(jù)控制者必須及時(shí)通知用戶和相關(guān)機(jī)構(gòu)。

用戶的信息一旦被機(jī)構(gòu)掌握，用于用戶不知情或不情愿的用途該如何處理。歐盟曾在1995年的數(shù)據(jù)保護(hù)法中規(guī)定了“被遺忘權(quán)”，公民可在不再需要其個(gè)人數(shù)據(jù)時(shí)提出刪除要求。在“歐盟被遺忘權(quán)第一案”（西班牙資料保護(hù)局和西班牙公民Mr. Costeja Gonzalez訴谷歌公司、谷歌西班牙公司案）中，原告要求被告谷歌公司刪除與自己不再具有相關(guān)性的負(fù)面信息，以避免公眾通過(guò) Google 搜索引擎搜索到。歐盟法院支持了原告的訴訟請(qǐng)求，認(rèn)為基于《歐盟基本權(quán)利憲章》，資料當(dāng)事人有權(quán)要求相關(guān)信息不再列入述檢索結(jié)果列表[16]。借鑒這一經(jīng)驗(yàn)，我國(guó)有必要在立法中規(guī)定被遺忘權(quán)，同時(shí)規(guī)定物聯(lián)網(wǎng)服務(wù)方有控制用戶信息不被濫用的義務(wù)。如果出現(xiàn)用戶信息受侵害，則應(yīng)采取措施避免損害擴(kuò)大。

（5） 提升物聯(lián)網(wǎng)企業(yè)和用戶自身安全意識(shí)

企業(yè)應(yīng)高度重視物聯(lián)網(wǎng)安全，加強(qiáng)人員安全培訓(xùn)，規(guī)范設(shè)備的安全管理，增加必要的安全投入，以降低黑客程序、勒索軟件帶來(lái)的損失;用戶在購(gòu)買物聯(lián)網(wǎng)產(chǎn)品時(shí)需要考慮設(shè)備的安全性可能給自己帶來(lái)的損失，及時(shí)更換登錄密碼，定期更新軟件和系統(tǒng)。調(diào)查顯示，人們?cè)跁诚砦锫?lián)網(wǎng)便捷的同時(shí)，安全意識(shí)往往被拋之腦后。根據(jù)Verizon的“2016 數(shù)據(jù)泄露報(bào)告”顯示，涉及到默認(rèn)口令、弱口令的情形在2260起數(shù)據(jù)泄露事件中的比例高達(dá)63%。許多病毒正是利用了物聯(lián)網(wǎng)設(shè)備中某些組件的弱密碼入侵智能設(shè)備，進(jìn)而對(duì)特定目標(biāo)實(shí)施攻擊，Mirai病毒就是其中的一種。事實(shí)上該組件廠商早已發(fā)布更新版本，并要求用戶更改默認(rèn)口令，但是很多用戶并沒(méi)執(zhí)行該操作。一般用戶對(duì)于物聯(lián)網(wǎng)設(shè)備的安全威脅的反應(yīng)主要有三種情形：1）并不認(rèn)同安全是智能產(chǎn)品的一個(gè)功能并愿意因此負(fù)擔(dān)額外費(fèi)用;2）存在僥幸心理，認(rèn)為安全問(wèn)題離自己很遠(yuǎn)。沒(méi)那么巧黑客正好攻擊自己;3）保證安全是產(chǎn)品廠商的事。消費(fèi)者只管用就行，不需要考慮安全問(wèn)題。用戶自身安全意識(shí)提升，養(yǎng)成良好的設(shè)備安全使用習(xí)慣可以在很大程度上增加實(shí)施攻擊的難度，提高攻擊成本[17]。

6 結(jié)束語(yǔ)

物聯(lián)網(wǎng)的大幕已經(jīng)開(kāi)啟，物聯(lián)網(wǎng)時(shí)代的信息安全問(wèn)題已初露端倪。順應(yīng)歷史發(fā)展的潮流，只有充分評(píng)估風(fēng)險(xiǎn)，及時(shí)推進(jìn)立法，才能使物聯(lián)網(wǎng)技術(shù)真正造福國(guó)家，實(shí)現(xiàn)人民對(duì)美好生活的向往。

基金項(xiàng)目：

江蘇省社會(huì)科學(xué)基金項(xiàng)目研究成果“智慧城市治理中的個(gè)人信息保護(hù)問(wèn)題研究”（項(xiàng)目編號(hào)：19FXD004）。

參考文獻(xiàn)

[1] 段浩.物聯(lián)網(wǎng)發(fā)展?fàn)顩r及其安全問(wèn)題研究[J].通訊世界， 2013（11）：30-31.

[2] 閔春發(fā)，汪業(yè)周.物聯(lián)網(wǎng)的意涵、特質(zhì)與社會(huì)價(jià)值探析[J].中國(guó)人民大學(xué)學(xué)報(bào)，2011，25（04）：41-46.

[3] 劉海濤.物聯(lián)網(wǎng)與感知中國(guó)夢(mèng)[N].科技日?qǐng)?bào)2015-09-23（12）.

[4] C. G. JARDINE，S.E.HRUDEY. Mixed messages in risk communication [J].Risk Analysis，1997（4）.

[5] 張俊玲，趙林.物聯(lián)網(wǎng)安全與隱私保護(hù)分析[J].電腦迷， 2018（10）：28.

[6] 李欲曉.物聯(lián)網(wǎng)安全相關(guān)法律問(wèn)題研究[J].法學(xué)論壇，2014（11）：20-22.

[7] 張星，張克雷，桑鴻慶，張浩然，魏佩儒，周鴻屹.2019物聯(lián)網(wǎng)安全年報(bào)[J].信息安全與通信保密，2020（01）：45-62.

[8] 肖尤丹.機(jī)器人需要“守法”嗎？ [N].人民日?qǐng)?bào)，2014 -07 -21（20）.

[9] 歐洲刑警組織.物聯(lián)網(wǎng)將在今年年底前學(xué)會(huì)殺人[EB/OL].http：//itech.ifeng.com/40830199/news.shtml？&back鳳凰網(wǎng)2014-10-08.

[10] 劉云浩.物聯(lián)網(wǎng)導(dǎo)論[M].北京：科學(xué)出版社，2011：279.

[11] 程翔.淺談物聯(lián)網(wǎng)安全和隱私問(wèn)題[J].科技信息， 2011（16）：256+258.

[12] 陳新平，徐廣印，王振鋒.物聯(lián)網(wǎng)環(huán)境下的信息安全研究[J].科技管理研究，2013，33（01）：196-199.

[13] Japanese government plans to hack into citizens' Io T devices[EB/OL].https：//www.zdnet.com/article/japanese-government-plans-to-hack-into-citizens-iot-devices/ .

[14] The“NOTICE” Project to Survey Io T Devices and to Alert Users [EB/OL].http：//www.soumu.go.jp/main_sosiki/joho_tsusin/eng/Releases/Telecommunications/19020101.html.

[15] 劉志誠(chéng).物聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全生態(tài)體系構(gòu)建新論[J].網(wǎng)絡(luò)空間安全，2018，9（12）：85-89.

[16] 王小萌.物聯(lián)網(wǎng)環(huán)境下個(gè)人數(shù)據(jù)信息保護(hù)研究，華南理工大學(xué)碩士論文[D].廣州：華南理工大學(xué)， 2016.

[17] 上海社會(huì)科學(xué)院互聯(lián)網(wǎng)研究中心.Geek Pwn（極棒）智能物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)報(bào)告[J].信息安全與通信保密， 2017（10）：92-109.