基于物聯(lián)網(wǎng)的誠信體系建設(shè)與隱私保護制度研究

林美玉 ，韓海庭 ，吳 暉

(1.中國信息通信研究院，北京100191；2.哥本哈根大學，Copenhagen 1958 FC；3.北京大學，北京100871)

0 引言

十九大報告以來，加快推進社會誠信體系建設(shè)成為一項重要的國家戰(zhàn)略，政務(wù)誠信、個人誠信和電子商務(wù)領(lǐng)域的誠信體系建設(shè)及融合步入快車道。社會誠信體系建設(shè)最早可以追溯到2001 年，中共中央印發(fā)《公民道德建設(shè)實施綱要》，將“明禮誠信”作為社會主義公民基礎(chǔ)道德規(guī)范之一；2003 年十六屆三中全會提出“建立健全社會信用體系，形成以道德為支撐、產(chǎn)權(quán)為基礎(chǔ)、法律為保障的社會信用制度”[1]；2011 年十七屆六中全會再次強調(diào)“把誠信建設(shè)擺在突出位置”。

社會誠信體系建設(shè)是全面深化信用服務(wù)、國家意志參與社會信用建設(shè)的重要手段和主要內(nèi)容。長期以來我國構(gòu)建了以人民銀行個人征信中心、全國工商聯(lián)基礎(chǔ)信用信息數(shù)據(jù)庫為主體的國有信用服務(wù)系統(tǒng)。 隨著全國社會誠信體系建設(shè)的推進，各地政府和中央派出機構(gòu)紛紛成立政府新征信系統(tǒng)，如交通、教育、通信、工商、稅務(wù)、公安、海關(guān)、司法、水電、市政等紛紛做出信息整合和信用評估等工作，逐漸形成了專門化、區(qū)域化的信用平臺。 以央行為核心的金融信用系統(tǒng)和以各級政府建立的政府信用系統(tǒng)成為社會誠信體系建設(shè)的主體和框架，吸引了更多市場化的服務(wù)機構(gòu)開展征信相關(guān)服務(wù)。

1 大數(shù)據(jù)征信與物聯(lián)網(wǎng)數(shù)據(jù)的契合性

在傳統(tǒng)征信的基礎(chǔ)上，大數(shù)據(jù)征信利用大數(shù)據(jù)技術(shù)與現(xiàn)代計算技術(shù)逐步發(fā)展起來。 傳統(tǒng)征信受限于金融、政府機構(gòu)提供的信用信息，而大數(shù)據(jù)征信利用豐富的互聯(lián)網(wǎng)渠道，將數(shù)據(jù)收集擴展到多種非經(jīng)濟金融場景，如社交網(wǎng)絡(luò)、消費平臺等，這些傳統(tǒng)征信所無法涉及的多域多維的海量數(shù)據(jù)能夠豐富信用主體的信用畫像，充分反映主體的消費習慣、履約能力，且較傳統(tǒng)征信具有更好的動態(tài)實時性。

大數(shù)據(jù)征信的命脈是數(shù)據(jù)，保證廣泛的數(shù)據(jù)來源是建立大數(shù)據(jù)征信體系的基礎(chǔ)，而物聯(lián)網(wǎng)的快速發(fā)展為大數(shù)據(jù)征信提供了嶄新的可能。 據(jù)行業(yè)預測，到2020 年將有超過300 億的傳感器設(shè)備投入使用[2]，人在現(xiàn)實社會和網(wǎng)絡(luò)空間的一切行為都會留下記錄，如智能家居、智能汽車等環(huán)境留下了越來越多能夠識別特定個人及其特征的關(guān)鍵數(shù)據(jù)。 可應(yīng)用于大數(shù)據(jù)征信的物聯(lián)網(wǎng)數(shù)據(jù)有如下四種。

1.1 設(shè)備屬性信息

物聯(lián)網(wǎng)設(shè)備一般具有某些規(guī)格屬性信息，如設(shè)備型號、類別、等級等，或設(shè)備部署環(huán)境、技術(shù)參數(shù)等出廠或安裝設(shè)置的固有信息。 這些數(shù)據(jù)可以直接表征持有人的購買偏好、消費特點等，可以利用到信貸中，為信用主體的償貸能力或身份特質(zhì)做相應(yīng)的補充。 此外，這些固定的靜態(tài)屬性信息可以作為異常檢測的基準數(shù)據(jù)，通過某些攻擊者對數(shù)據(jù)的惡意更改與損壞可以識別潛在的偽造、欺詐風險。

1.2 設(shè)備身份信息

能夠表征設(shè)備身份的信息對物聯(lián)網(wǎng)設(shè)備的身份認證非常重要，如通信模組的IEMI 號碼、安卓ID、SIM 卡、MAC 地址等，這些數(shù)據(jù)可以與持有人建立對應(yīng)關(guān)系，常作為區(qū)分不同信用數(shù)據(jù)主體和對象的基礎(chǔ)。 設(shè)備身份的認證可以為信用主體的數(shù)據(jù)收集起到保護作用，設(shè)備持有人對是否提供個人信息具有選擇權(quán)，通過對數(shù)據(jù)收集設(shè)備的認證，后續(xù)可以進行數(shù)據(jù)收集限制，根據(jù)法律規(guī)范征信信息采集的范圍，保護用戶易被侵犯的敏感信息[3]。

1.3 設(shè)備狀態(tài)信息

物聯(lián)網(wǎng)設(shè)備狀態(tài)信息反映了設(shè)備運行中的設(shè)備狀態(tài)，多為動態(tài)信息，如位置信息、網(wǎng)絡(luò)報文或流量特征等。 設(shè)備狀態(tài)數(shù)據(jù)可以識別物聯(lián)網(wǎng)設(shè)備的安全狀態(tài)，確保設(shè)備的正常運轉(zhuǎn)；也可以成為設(shè)備持有人的主觀意愿的反映，如欺詐傾向。 與設(shè)備身份信息一致，狀態(tài)信息也具有識別特定個人的作用，包含手機號、身份信息等敏感信息，設(shè)備狀態(tài)信息的流動性易使設(shè)備持有人遭受信息泄露等風險，需要進行妥善保護。

1.4 設(shè)備采集信息

物聯(lián)網(wǎng)設(shè)備的采集信息是物聯(lián)網(wǎng)上層應(yīng)用服務(wù)所需要的主要數(shù)據(jù)。 以傳感器為代表的感知設(shè)備、以RFID 為代表的識別設(shè)備、以及GPS 等定位追蹤設(shè)備，可以獲取源源不斷的動態(tài)數(shù)據(jù)，如持有人的生活環(huán)境、消費場景、行為習慣。與傳統(tǒng)征信只能對具有信用記錄的人群進行信用評估不同，利用物聯(lián)網(wǎng)采集的信息與是否擁有信用記錄無關(guān)，很大程度上避免了數(shù)據(jù)缺失，補全了無信用記錄人群的信用信息。此外，這些物聯(lián)網(wǎng)設(shè)備實時、動態(tài)地從信用主體的周圍環(huán)境獲取數(shù)據(jù)，持續(xù)的數(shù)據(jù)收集能力增強了數(shù)據(jù)間的時間關(guān)聯(lián)，充分保持了數(shù)據(jù)時效性。

2 基于物聯(lián)網(wǎng)數(shù)據(jù)的泛信用體系

通過對上述信息進行搜集，可以對物聯(lián)網(wǎng)產(chǎn)品服務(wù)進行改進，也可對其他業(yè)務(wù)提供數(shù)據(jù)支持，在關(guān)鍵業(yè)務(wù)決策、服務(wù)認證、狀態(tài)監(jiān)測等場景中應(yīng)用廣泛，如反欺詐、人臉識別等。基于物聯(lián)網(wǎng)數(shù)據(jù)驅(qū)動的業(yè)務(wù)決策和產(chǎn)品設(shè)計，在信用社會中同樣發(fā)揮著不容小覷的作用，與大數(shù)據(jù)征信的結(jié)合使得其已經(jīng)超越了商品或服務(wù)本身，儼然形成了四種新的基于物聯(lián)網(wǎng)數(shù)據(jù)的泛信用體系。

2.1 設(shè)備身份信息-小額貸款反欺詐新手段

小額貸款的目標人群大多都不被傳統(tǒng)金融機構(gòu)覆蓋，缺乏央行信用記錄，容易出現(xiàn)多頭借貸、共債等風險行為。 小額貸款借貸人往往具有很有限的還款能力，在多家平臺產(chǎn)生的借款必然導致借款人違約的概率大幅上升[4]。 因此注重對借貸人的還款意愿、還款能力進行評估，判斷偽造身份的第三方欺詐，減少多頭借貸、共債是小額貸款的風控重點。

物聯(lián)網(wǎng)設(shè)備的身份信息、狀態(tài)信息為解決小額貸款欺詐識別，助力判別身份欺詐、偽造提供了新手段。 小額貸款可以通過識別單一基站來源數(shù)據(jù)，同一物聯(lián)網(wǎng)設(shè)備IP 數(shù)據(jù)等身份數(shù)據(jù)判定是否存在欺詐行為，進而進行輔助信貸決策。 一種識別欺詐賬戶的方式[5]是通過接收多個新賬戶的身份相關(guān)字段，如設(shè)備IP 地址、MAC 地址、網(wǎng)絡(luò)流量等，與多個歷史賬戶應(yīng)用相關(guān)聯(lián)的身份相關(guān)字段相連接，從而形成圖形模式，執(zhí)行統(tǒng)計分析與已知的或正常的圖形模式進行比較，檢測新賬戶圖形模式中出現(xiàn)的差異或異常，以確定新賬戶存在欺詐的可能性。

常用的異常檢測算法也都可以結(jié)合物聯(lián)網(wǎng)身份數(shù)據(jù)進行借貸人的身份審核，豐富、實時的物聯(lián)網(wǎng)數(shù)據(jù)與算法相結(jié)合從而形成一種新體系，較傳統(tǒng)方法可更快更準確地識別欺詐行為，為小額貸款提供更有效的風控手段。

2.2 穿戴式設(shè)備-個性化風險定價新方案

近年來我國保險行業(yè)逐步發(fā)展，保險業(yè)在提高資金風險保障，化解科技創(chuàng)新風險等方面具有重要作用。 在保險業(yè)激烈的市場大環(huán)境下，傳統(tǒng)的風險識別方案逐漸無法滿足需求，保險業(yè)對風險識別、精準定價提出了更高的要求。 保險需要注重個人、企業(yè)的差異化，針對不同個體所面臨的不同風險進行研究和個性化定價，同時需要降低成本。 不同環(huán)境下的物聯(lián)網(wǎng)設(shè)備為個性化風險定價提供了新的方案。

個人用戶的健康險可以通過隨身攜帶的傳感器設(shè)備采集運動及健康信息(睡眠、血壓、心跳等)，綜合考慮被保險人健康狀況、生活環(huán)境、運動習慣，對用戶身體狀況進行安全評估，進而推行個性化保險方案，激勵用戶適當?shù)倪\動來降低投保費用。 車險也逐漸向個性化定價轉(zhuǎn)型，目前車險產(chǎn)品更多地簡單依賴駕駛時間或里程計費等指標，但通過手機車聯(lián)網(wǎng)可以使用更貼合用戶的實際數(shù)據(jù)來進行風險定價。 例如國內(nèi)領(lǐng)先的互聯(lián)網(wǎng)車險平臺OK 車險，利用車聯(lián)網(wǎng)中提取的三個維度的變量來進行個性化定價[6]：駕駛行為習慣的穩(wěn)定程度、出行路徑的過往事故發(fā)生情況、行駛路況的熟悉程度。此外，物聯(lián)網(wǎng)數(shù)據(jù)還可以結(jié)合人工智能等技術(shù)搭建適合保險場景的風險模型， 幫助保險行業(yè)自動化定價、降低賠付成本，形成智能化的保險新體系。

2.3 行程(健康)卡-社會管理新工具

行程卡是將ID、標識、位置信息、接觸信息和醫(yī)療數(shù)據(jù)等信息融合，判斷流動人員傳播流行病風險[7]，助力醫(yī)學隔離人群的重要手段。 國家衛(wèi)生健康委辦公廳在 2018 年推行了《關(guān)于加快推進電子健康卡普及應(yīng)用工作的意見》[8]， 但此時的電子健康卡僅限于不同部門之間的共享和查詢。 隨著COVID-19 的全球爆發(fā)以及各地區(qū)復工復產(chǎn)的需求，行程(健康)卡成為全球戰(zhàn)疫的重要支撐工具。

目前行程(健康)卡的數(shù)據(jù)來源主要包含以下三種：(1)醫(yī)學機構(gòu)數(shù)據(jù)庫中的健康信息；(2)基于通信大數(shù)據(jù)的流動人員位置信息；(3)基于藍牙密接技術(shù)的流動人員接觸信息。 其中醫(yī)學數(shù)據(jù)庫中的健康信息較為傳統(tǒng)，更新時效慢，且主要關(guān)注已經(jīng)發(fā)生的病例或疫情，并不適合突發(fā)性全球衛(wèi)生事件的防控；而基于通信大數(shù)據(jù)的位置信息和基于藍牙密接技術(shù)的接觸信息就成為應(yīng)對突發(fā)危機和精細化防控的關(guān)鍵，通過對流動人員出入的國家和地區(qū)、接觸的人群或個人精準的識別來判斷目標用戶是否需要進行醫(yī)學隔離等防控措施。

在海外疫情呈快速擴散態(tài)勢之際，中國信息通信研究院聯(lián)合中國電信、中國移動、中國聯(lián)通推出基于基站連接的通信大數(shù)據(jù)行程卡[9]，只需要用戶授權(quán)便可多途徑(短信、微信、支付寶等)便捷查詢過去14 天內(nèi)在國內(nèi)停留超過4 小時的城市或到訪的海外國家。 行程卡2.0 版本還將增加藍牙近距離接觸提醒功能，可精準地識別每一次接觸是否存在病毒攜帶者、是否需要醫(yī)學隔離。

行程(健康)卡已經(jīng)成為中國戰(zhàn)疫的致勝法寶，對精準防控、節(jié)能增效、防范疫情輸入、推動復工復產(chǎn)起到了重大作用。 行程(健康)卡不僅僅是一項物聯(lián)網(wǎng)服務(wù)，更代表了一系列新型的社會治理手段，為人員流動、跨地區(qū)管理、醫(yī)療資源分配等多方面提供了有效的技術(shù)支持。

2.4 生物識別-認證服務(wù)新途徑

認證技術(shù)是確認信用主體身份的技術(shù)手段。 認證技術(shù)需要對信用主體的兩種身份進行確認：網(wǎng)絡(luò)數(shù)字身份和物理身份。 網(wǎng)絡(luò)數(shù)字身份利用計算機網(wǎng)絡(luò)中與該用戶相關(guān)的信息集合成特定的數(shù)據(jù)，同時需要與現(xiàn)實世界的物理身份進行對應(yīng)，確保信用主體的數(shù)字身份和物理身份保持一致。 認證服務(wù)是征信技術(shù)中重要的基礎(chǔ)技術(shù)。

傳統(tǒng)認證通過身份證、電話號碼等固定信息對用戶身份進行區(qū)分，信息的簡單性難免會導致層出不窮的身份偽造攻擊。 物聯(lián)網(wǎng)的發(fā)展為認證服務(wù)提供了嶄新的方式，各種光學、聲學、生物傳感器分布廣泛且使用方式日趨簡化，可以布置在各種場景，如門禁、樓宇、乘車、購物支付，利用人體固有的生理特性(如指紋、面貌)和行為特征(如筆跡、聲音、步態(tài)等)來進行生物認證。

3 應(yīng)用物聯(lián)網(wǎng)數(shù)據(jù)開展泛信用服務(wù)的風險

物聯(lián)網(wǎng)數(shù)據(jù)的廣泛性為信用服務(wù)提供了豐富的信息來源，讓信用機構(gòu)能夠充分了解人們生活的各種方面，但與此同時也讓生活中的個體“無所遁形”，信用主體的合法權(quán)益保護難度也隨著信息收集的隱蔽化和全面化而不斷提高。

3.1 身份泄露與偽造

物聯(lián)網(wǎng)移動終端的個人信息保護是物聯(lián)網(wǎng)征信首先要解決的問題。 2019 年“3·15”晚會曝光了一款黑科技產(chǎn)品——“探針盒子”，當個人的手機無線局域網(wǎng)處于打開狀態(tài)時，會向周圍發(fā)出尋找無線網(wǎng)絡(luò)的信號，“探針盒子”發(fā)現(xiàn)這個信號后，就能迅速識別出用戶設(shè)備的MAC 地址。 部分商家依靠該產(chǎn)品在附近居民毫不知情的情況下收集用戶的設(shè)備信息，與其他渠道已關(guān)聯(lián)手機號碼、個人標簽的設(shè)備信息進行關(guān)聯(lián)，借此對附近居民進行精準營銷。

設(shè)備自身狀態(tài)與屬性也可能會被攻擊者惡意更改與損壞，如物聯(lián)網(wǎng)設(shè)備的IMEI 碼面臨篡改、偽造風險，操作系統(tǒng)安全風險以及SIM 卡復制產(chǎn)生的盜號問題等也會危害信用主體的個人信息保護。 除此之外，郭陳陽[10]研究認為手機位置信息也是一種隱私信息，近年來移動手機的操作系統(tǒng)平臺和軟件開發(fā)公司對手機位置的收集獲取也愈加肆無忌憚，需要對此進行妥善保護。 與手機位置信息類似的還有車聯(lián)網(wǎng)中車輛軌跡數(shù)據(jù)，高澤民[11]研究了車聯(lián)網(wǎng)中車輛軌跡數(shù)據(jù)，認為車輛軌跡是一種敏感信息，與駕駛員有強關(guān)聯(lián)，一旦泄露會影響人的正常生活。

3.2 過度監(jiān)控

音箱Alexa 是亞馬遜的一款智能產(chǎn)品，它可以對其他設(shè)備發(fā)出命令，在收到“Alexa，打開燈”的命令后，軟件會向燈泡制造商的服務(wù)器詢問燈泡的當前狀態(tài)，在確認開關(guān)為關(guān)閉狀態(tài)后，Alexa 會開啟開關(guān)來打開指示燈。 亞馬遜在某些情況下要求燈泡制造商調(diào)整控制代碼，讓燈泡必須隨時向智能音箱報告其狀態(tài)。 但實際上亞馬遜一旦獲取到這些看似微不足道的設(shè)備狀態(tài)信息，便可以利用此做很多事情，例如可以推論出用戶一些隱私信息，比如用戶什么時候回家，用戶是否有熬夜習慣等。

諸如此類的以“必要信息收集”為借口的過度采集行為數(shù)見不鮮，如視頻軟件訪問通訊錄、移動播放器攜帶定位模塊等。 智能音箱收集用戶語音指令等信息這本無可厚非，但是強行與其他設(shè)備交互，并獲取其信息，主動探測周邊環(huán)境，這是一種偷盜行為，是過度監(jiān)控的表現(xiàn)。

3.3 未盡充分告知義務(wù)

消費者享有知情權(quán)和選擇權(quán)，這是法律規(guī)定由接受商品或服務(wù)一方享有并因提供商品或服務(wù)另一方的告知義務(wù)而產(chǎn)生的相對權(quán)[12]。 正常情況下，消費者有權(quán)要求經(jīng)營者提供商品的產(chǎn)地、生產(chǎn)者、用途、使用方法等服務(wù)的有關(guān)情況。 但現(xiàn)在許多物聯(lián)網(wǎng)終端都會將隱私侵害操作通過服務(wù)條款合法化，并將其設(shè)置為“默認操作”，造成用戶在不知情的前提下盲目同意合作條款，并引發(fā)實質(zhì)性侵害。

2019 年一則有關(guān)于APP 隱私偷窺且未盡告知義務(wù)的報道引起了大眾的警惕與探討[13]。 報道中的媒體人員對一些社交APP 進行測試，在移動終端關(guān)閉了訪問聯(lián)系人、定位、錄音、照片等權(quán)限的情況下，社交APP 仍能對新注冊用戶進行符合其近期聊天記錄內(nèi)容的廣告推薦，甚至在其他跨平臺的電商軟件上也可以看到相關(guān)廣告推薦。 這些用戶不易察覺的信息比如聊天記錄、搜索記錄等均可以在用戶不知情的情況下被相關(guān)軟件獲取利用，軟件內(nèi)的關(guān)閉設(shè)置也被積極隱蔽，導致用戶不知曉相關(guān)條款且無法關(guān)閉軟件設(shè)置，知情權(quán)和選擇權(quán)遭到嚴重損害。

3.4 缺乏數(shù)據(jù)傳遞規(guī)范

傳統(tǒng)征信數(shù)據(jù)匯集于銀行、政府機構(gòu)，數(shù)據(jù)的來源與去向穩(wěn)定可控，數(shù)據(jù)擁有方具有較強的掌控力。 物聯(lián)網(wǎng)的數(shù)據(jù)流轉(zhuǎn)具備特殊性，物聯(lián)網(wǎng)終端分布廣泛，來源領(lǐng)域不同，每個終端都具備信息采集能力；其次多數(shù)物聯(lián)網(wǎng)所采集的信息并不是在終端進行計算和決策，需要傳輸?shù)街行钠脚_，甚至合作伙伴方進行處理。物聯(lián)網(wǎng)數(shù)據(jù)的收集、流轉(zhuǎn)、保存均存在一定程度的分散性，同時又數(shù)量巨大，在數(shù)據(jù)掌控方面無法做到面面俱到。

傳統(tǒng)征信數(shù)據(jù)擁有方一般擁有較強的社會公信力，且具有數(shù)據(jù)使用權(quán)限，不需要將數(shù)據(jù)進行多方流轉(zhuǎn)。 但物聯(lián)網(wǎng)數(shù)據(jù)擁有方多為數(shù)據(jù)收集云平臺，不具備征信業(yè)務(wù)能力，需要將數(shù)據(jù)傳輸給他方進行數(shù)據(jù)利用。 當征信需求方傳遞數(shù)據(jù)時，確定其是否擁有數(shù)據(jù)獲取權(quán)限也是需要解決的問題。 例如在向保險公司索賠時或者雇主決定是否雇傭時，可否使用這些物聯(lián)網(wǎng)收集到的信息？ 數(shù)據(jù)流動如何設(shè)置合理的規(guī)范使傳遞更安全？ 這些問題導致物聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用于征信服務(wù)存在許多潛在的應(yīng)用風險。

4 物聯(lián)網(wǎng)數(shù)據(jù)信用隱私保護制度初探

上述幾種物聯(lián)網(wǎng)數(shù)據(jù)開展泛信用服務(wù)的風險在不同程度上都對用戶的個人隱私進行了侵犯。 如何保護用戶隱私，建立有效的信用數(shù)據(jù)隱私保護制度是當前需要迫切解決的問題。 本文嘗試對此進行初步探討，從兩個角度對物聯(lián)網(wǎng)數(shù)據(jù)信用隱私保護體系的建設(shè)提出建議。

4.1 區(qū)分不同主體

物聯(lián)網(wǎng)數(shù)據(jù)在流動中會涉及多個不同的主體，各參與主體所扮演的角色有所不同，獲取到的數(shù)據(jù)使用權(quán)限、面臨的數(shù)據(jù)隱私侵犯風險、所需的數(shù)據(jù)保護手段均有所差距。 因此建設(shè)物聯(lián)網(wǎng)數(shù)據(jù)信用隱私保護體系，第一步即需要理清數(shù)據(jù)流動和使用過程中的參與主體。

歐盟的《一般數(shù)據(jù)保護條例》[14]將數(shù)據(jù)流動的參與主體分為信息控制者和信息處理者。 信息控制者指能夠決定個人數(shù)據(jù)處理目的和采用方式的單獨個體或者群體，包括個人、公司、法律實體。 信息處理者是指代表數(shù)據(jù)控制者進行處理個人數(shù)據(jù)的個體或群體。 我國在2019 年1 月發(fā)布的《個人信息安全規(guī)范（修訂草案）》中也有相應(yīng)描述，但僅有“個人信息控制者”的概念，并未區(qū)分控制者和處理者。我國的《網(wǎng)絡(luò)安全法》則明確了公民個人信息保護中的三個角色：作為個人信息使用方的網(wǎng)絡(luò)運營者、作為個人信息被保護方的公民個人、監(jiān)管機構(gòu)。

物聯(lián)網(wǎng)中，信息處理參與主體是多元化的，包括設(shè)備生產(chǎn)商、應(yīng)用程序開發(fā)商、應(yīng)用程序下載平臺、第三方主體[15]。 設(shè)備的生產(chǎn)商不僅向用戶直接銷售產(chǎn)品，并且開發(fā)設(shè)備的運行系統(tǒng)或事先在物品上安裝功能軟件，以此收集與設(shè)備相關(guān)的信息。 設(shè)備生產(chǎn)商決定了收集信息的目的和工具，因而是“信息控制者”。應(yīng)用程序開發(fā)商為用戶開發(fā)應(yīng)用程序，并在智能手機上運行程序，決定了在智能設(shè)備上處理個人信息的目的和方法，是“信息控制者”。每一款廣泛適用的智能設(shè)備都有其各自的應(yīng)用程序下載平臺，付費下載軟件時要求用戶提供名稱、住址和財務(wù)信息，這些具有可識別性的信息可能與設(shè)備唯一識別符相結(jié)合，使得應(yīng)用程序下載平臺成為“信息控制者”。其他參與處理的第三方包括廣告商、通信服務(wù)供應(yīng)商等，與其他主體相比，可能發(fā)揮兩種作用：一是為應(yīng)用程序的擁有方執(zhí)行操作，并非為其自身的目的處理資料，只是作為“信息使用者”；另一作用就是在應(yīng)用程序中收集信息，以提供額外的范圍更廣的分析服務(wù)。 如果第三方為其自身的目的而對個人資料進行處理，那么他們就是“信息控制者”。

4.2 區(qū)分不同數(shù)據(jù)類型與隱私場景

數(shù)據(jù)流轉(zhuǎn)的參與主體需要進行區(qū)分，流動中的數(shù)據(jù)本身也扮演著不同的角色，并非所有的數(shù)據(jù)都是需要進行妥善保護的隱私數(shù)據(jù)，也并非所有被聲稱需要保護的“隱私”都是合理的隱私。

物聯(lián)網(wǎng)信用數(shù)據(jù)可以分為幾種不同的類型：身份、基礎(chǔ)數(shù)據(jù)、增值數(shù)據(jù)、個人敏感信息、隱私數(shù)據(jù)。 身份是指由政府、平臺、生產(chǎn)廠商等賦予個人、設(shè)備的統(tǒng)一身份信息，如身份證、平臺賬號、設(shè)備號等。 基礎(chǔ)數(shù)據(jù)是指數(shù)據(jù)呈現(xiàn)的事實或觀察的結(jié)果，用于表示客觀數(shù)據(jù)的未經(jīng)加工的原始素材，包括但不限于行為記錄(交易、日志等)、服務(wù)傳遞數(shù)據(jù)、賬號行為人相關(guān)數(shù)據(jù)等。 增值數(shù)據(jù)是指對原始素材進行歸納、總結(jié)、分析等得到的可用來輔助決策的特定數(shù)據(jù)，例如征信報告、用戶畫像等。個人敏感信息是指一旦被泄露、濫用時可能危害個人信息財產(chǎn)安全，使得個人利益受損的信息。 隱私數(shù)據(jù)是指數(shù)據(jù)主體不愿被他人知曉的數(shù)據(jù)，隱私的期待有兩種：一是主觀期望，某人認為某事是隱私的；二是客觀的群體期望，被社會普遍認可。 只有當事人處于某一空間時主觀上期望，同時這種期望又被大眾普遍認為是合理的，這種隱私數(shù)據(jù)才可被稱為合理隱私數(shù)據(jù)。

對于物聯(lián)網(wǎng)數(shù)據(jù)信用隱私保護，應(yīng)該在對數(shù)據(jù)進行分類分級的基礎(chǔ)上，結(jié)合數(shù)據(jù)去標識化、數(shù)據(jù)脫敏技術(shù)對數(shù)據(jù)進行處理。 需要注意的是，在當下數(shù)據(jù)體量呈現(xiàn)爆發(fā)式增長的萬物互聯(lián)時代，這些技術(shù)手段的處理能力是有限的，從海量數(shù)據(jù)中找出真正面臨隱私侵犯危險，確定數(shù)據(jù)的保護范圍是數(shù)據(jù)保護技術(shù)的首要前提。 以數(shù)據(jù)去標識化技術(shù)為例，在第一個步驟確定去標識化對象與安全目標時[16]，便可將保護范圍限定為上文所提到的三種關(guān)鍵數(shù)據(jù)：身份、個人敏感信息、隱私數(shù)據(jù)。 身份數(shù)據(jù)可能包含個人敏感信息，如身份證號碼，這些數(shù)據(jù)的重標識風險和數(shù)據(jù)可用性通常較高，可采用屏蔽、隨機等數(shù)據(jù)變換方法。 個人敏感信息的判別標準較為模糊，會根據(jù)實際情況改變，其數(shù)據(jù)價值也會伴隨業(yè)務(wù)場景發(fā)生變化，具有很強的場景性，因此可根據(jù)場景需求隨時變更安全策略。 而對于隱私數(shù)據(jù)而言，其需要保護的程度與被侵犯的風險都比其他數(shù)據(jù)類型高，需要輔以數(shù)據(jù)加密、訪問控制等技術(shù)確保其安全。

4.3 小結(jié)

上述兩種區(qū)分方式具有一致的目的，本質(zhì)上都是對物聯(lián)網(wǎng)信用數(shù)據(jù)的采集、存儲、流動與使用過程進行更進一步的細化與規(guī)范，避免傳統(tǒng)管理準則下模糊不清的隱私侵犯界定標準，從而確定數(shù)據(jù)權(quán)屬，劃定責任邊界，建立起合理的頂層規(guī)劃和數(shù)據(jù)應(yīng)用安全框架。

但與此同時，上述兩個角度也具備不同的特點與適用情況。“區(qū)分不同主體”從數(shù)據(jù)市場參與者的角度出發(fā)，可隨時結(jié)合數(shù)據(jù)生產(chǎn)流通的實際場景進行改動與調(diào)整，例如根據(jù)數(shù)據(jù)作為生產(chǎn)資料或作為實體類產(chǎn)品兩種交易形態(tài)對數(shù)據(jù)主體進行更為詳細的劃分。 同一主體的角色在不同場景下也會在生產(chǎn)市場、運營市場和交易市場包含的各種角色中進行轉(zhuǎn)變，需要根據(jù)主體角色的變化選擇合適的隱私保護策略，例如當作為信息收集者時須遵循“最小必要收集”原則，當作為信息控制者時需要對數(shù)據(jù)進行分區(qū)及生命周期管理等。 “區(qū)分不同數(shù)據(jù)類型與隱私場景”從數(shù)據(jù)本身出發(fā)，體現(xiàn)出數(shù)據(jù)隨著加工、挖掘程度的加深造成的關(guān)于隱私的不同性質(zhì)。與上述區(qū)分主體的角度類似，同一數(shù)據(jù)在不同場景下可能扮演不同的角色，例如電話號碼在日常生活中只是個人的基本信息，需要進行通訊的人員均可以獲??；但在特殊時期如疫情期間來自疫情風險地區(qū)的號碼持有者可能會遭受歧視。

傳統(tǒng)方法武斷地以產(chǎn)權(quán)制度和信息保護來阻斷數(shù)據(jù)流動和使用是不科學且不實際的，當從新角度來看待隱私保護時，同樣也不能利用單一且固定的方法來劃分主體與數(shù)據(jù)，在實際應(yīng)用中要結(jié)合兩者，根據(jù)情景對隱私侵犯界定標準進行妥善的調(diào)整，結(jié)合現(xiàn)實社會活動的實際數(shù)據(jù)應(yīng)用需求和利益相關(guān)者的保護預期，來指導具體的業(yè)務(wù)實踐，實現(xiàn)動態(tài)、持續(xù)、可迭代的數(shù)據(jù)安全管理。

5 結(jié)論

誠信體系建設(shè)和物聯(lián)網(wǎng)作為重要國家戰(zhàn)略逐步推進，泛信用體系的構(gòu)建占有重要地位。 物聯(lián)網(wǎng)數(shù)據(jù)與大數(shù)據(jù)征信技術(shù)的契合造就了物聯(lián)網(wǎng)數(shù)據(jù)支撐社會治理現(xiàn)代化的廣闊前景，不僅催生了小額貸款反欺詐、個性化風險定價、社會管理、認證服務(wù)等物聯(lián)網(wǎng)泛信用體系，更為Society5.0 社會的管理架構(gòu)和治理體系建設(shè)提供了思路。 但物聯(lián)網(wǎng)信息收集的隱蔽化和全面化會對個體隱私保護和財產(chǎn)利益造成不同程度的影響，需要建立數(shù)據(jù)信用隱私保護制度，區(qū)分不同的數(shù)據(jù)流動參與主體、不同數(shù)據(jù)類型與應(yīng)用場景，對合理的用戶隱私加以妥善保護。