思科估计,到2015年,将有250亿个设备连接到物联网(IoT),到2020年将达到500亿个。分析公司IDC做出了更大胆的预测:到2020年,将有2120亿个连接设备。创新浪潮,并可能产生多达 19万亿美元 根据思科的估计,未来十年将节省大量资金。

在里面 第一部分 在这一由两部分组成的文章中,我们研究了物联网解决方案的发展以及企业实施这些挑战所面临的实际挑战。在第二部分中,我们将研究与物联网相关的可能的法律和法规问题,尤其是从欧盟和美国的角度。

问题

在物联网的新世界中,问题在许多情况下是旧问题的平方。合同规定,设备和平台的爆炸式增长将需要建立相互依存的提供商和联盟网络,随之而来的问题是责任,知识产权和遵守消费者保护法规。

物联网还引发了许多与数据有关的法律和道德问题,这些问题主要与由此产生的大量数据的收集和使用有关。物联网将使人们能够创建和共享有关个人习惯,行为和个人偏好的海量新数据,从而加强全球社会对数据的依赖,并使保护数据隐私和限制数据使用的法律法规从根本上更加重要。 。

监管机构,包括美国的联邦贸易委员会(FTC)和欧盟的欧盟委员会(“ 欧洲联盟 Commission”),尤其将注意力转向了物联网无疑带来的潜在隐私和安全问题。

2013年,欧盟委员会发布了有关其关于物联网的公众咨询结果的报告,以及一系列随附的情况介绍(以下简称“报告”),其中强调:物联网的发展可能会引起社会上的许多道德问题和争论,其中许多已经与当前的互联网和ICT全面浮出水面,例如失去信任,侵犯隐私,滥用互联网等。数据,版权含糊,数字鸿沟,身份盗用,控制和获取信息的问题以及言论和表达自由。但是,在物联网中,鉴于复杂性的增加,这些问题中的许多问题都有新的发展。

在此领域,法律和政策制定者所面临的问题清单中最重要的是:

  • 隐私和数据保护的损失。 遵守隐私和数据保护原则的困难(例如知情同意和数据最小化)可能会大大增加。正如欧盟委员会在其报告中指出的那样,“可以合理地预测,如果从一开始就没有设计IoT来满足支撑删除权,被遗忘权,数据可移植性,隐私和数据保护原则的适当详细要求,那么我们将面临滥用互联网的问题。物联网系统和消费者损害 。”
  • 自主通讯。 与物联网相关的最重大数据隐私风险之一是由于设备能够并且有意相互通信并自动传输数据的事实。在后台运行应用程序的情况下,个人可能不知道正在进行的任何处理,因此,数据主体行使其数据隐私/保护权利的能力可能因此受到严重损害。
  • 可追溯性和非法分析。 2013年,剑桥大学的研究人员 证明的 可以仅通过对其Facebook“喜欢”的自动分析来推断出难以置信的准确的种族,年龄,智商,性别,性格,使用毒品和政治观点的估计。同样,尽管物联网中的对象可能会单独收集看似无害的数据片段,但是当整理和分析该数据时,它可能暴露的范围远远超出了与之相关的个人,甚至超过了Facebook所喜欢的对象。收集的数据与其他来源的数据结合在一起,可以揭示有关个人习惯,位置,兴趣以及其他个人信息和偏好的信息,从而提高了用户的可追溯性和分析能力。这又增加了认证问题,电子标识失败和身份盗用的风险。
  • 恶意攻击。 物联网为黑客提供了更多的利用漏洞,并带来了重大的安全风险。根据所讨论的数据和设备的性质,此类风险可能采取多种形式。在电子医疗的背景下,在互连开放的环境中收集和快速交换敏感的个人信息,不仅增加了患者机密性的风险,而且具有危害生命的惊人潜力。例如,对心脏起搏器或配置为根据患者病情进行药物治疗的药物分配器进行远程编程。在此类设备上发生系统故障或更严重的恶意攻击可能会带来可怕的后果。在能源方面,黑客可以将智能电表作为目标,从而造成严重的停电,并且就家庭安全而言,只需很少的想象力即可预见系统故障或恶意攻击的潜在影响。这种对安全和隐私的威胁相差很大,并且所面临的挑战范围很广,这意味着对政策和/或法规采取千篇一律的方法是行不通的。
  • 重新利用数据。在物联网中,除数据主体最初预期和指定的用途外,数据可能用于其他用途的风险变得更大。甚至在数据收集开始之前就可以考虑重新利用数据。例如,监管机构,保险公司和广告代理商等可能会寻求访问他人收集的数据。需要进行控制以确保仅以数据主体同意的方式使用此类数据。虽然一个人可能对自己的冰箱知道每周吃多少比萨饼感到高兴,但如果他知道该信息正在传递给他的健康保险提供者,他可能会感到不舒服。
  • 用户锁定。与现有技术一样,物联网增加了消费者可能陷入特定物联网服务提供商的风险,从而阻碍了他们保持对数据的控制权以及从一家提供商迁移到另一家提供商的权利。
  • 适用法律。 对于位于许多辖区的物联网设备,系统,用户和服务提供商,物联网的全球性意味着可能适用各种国家法律,每种法律都提供不同级别的保护。这可能引起冲突,执法困难和消费者之间混乱的问题。

未来的监管格局

展望未来,问题是法律和政策制定者应采取什么方法来解决这些问题?

为了回应欧盟委员会的公众咨询,许多行业人士对这一领域的公共干预的合法性和适当性提出质疑,尽管该领域自1999年以来已经走了很长一段路,但仍处于起步阶段。这些利益相关者认为,现有的法律框架,包括数据隐私,竞争,安全和环境法规,足以保护最终用户’利益和现阶段的不当治理可能扼杀投资和创新。相反,大多数受访者认为,出于经济考虑,应在隐私和安全的基本问题上退居二线。他们争辩说,应该制定并执行特定规则以保护最终用户并控制物联网技术和市场的发展。

牢记(1)物联网的国际规模,(2)互用性的最终需求,(3)统一内部市场的重要性以及(4)隐私权和数据保护基本权利的普遍性,欧盟委员会评论说,在成员国层面上,在这方面的法律和方法上不宜有分歧。那当然是显而易见的陈述。

但是,避免在关键司法管辖区中出现法律和法规上的分歧是一个绝望的希望。就像云,数据隐私和许多其他受监管技术一样,监管差异也会发生。事实是,政府只是没有足够快地采取行动来跟上新技术,也没有权力或倾向完全同意新技术的统一法律和法规方法。

欧洲

欧盟的数据保护条例草案(“草案条例”)可能会在2014年夏季通过,它将以某种方式提供必要的统一,至少在欧洲范围内。该法规草案将取代现有的数据保护指令95/46 / EC,不仅对在EU / EEA中建立的组织,而且对收集和处理EU / EEA居民个人数据的其他组织都具有直接影响。 (有关该法规草案提出的更改的更多信息,请参见我们2012年1月的警报 欧洲数据保护的新篇章:Reding专员发布了期待已久的数据保护法规草案。)由于这些发展,我们可能希望看到的一些措施如下:

  • 设计和默认情况下的隐私。 欧盟委员会在其报告中指出,通常在设计过程之初就不会考虑个人的隐私权,数据保护权和担保权,因此,市场在没有监管的情况下也不太可能正确地解决这些问题。法规草案规定:考虑到现有技术和实施成本”,数据控制器必须“在确定处理方式时以及在处理本身时,都应采取适当的技术和组织措施,以使处理过程能够确保保护数据主体的权利”。此外,数据控制器必须“实施机制以确保在默认情况下,仅处理对于处理的每个特定目的都是必需的那些个人数据,并且就数据量和他们的存储时间”。特别是,这些机制必须“确保默认情况下,无限数量的个人无法访问个人数据 ”。
  • 同意。 欧盟委员会在其报告中强调,需要建立机制,以确保不会对个人数据进行不必要的处理,并确保个人了解其处理,其目的,处理者的身份以及如何行使其权利。法规草案将同意定义为“任何免费给予的,具体的,知情的和明确的指示”,可以表示为同意处理的陈述或明确的平权行动形式。默许或默示同意可能是有效的:但是,该法规草案的序言确认,沉默或不活动并不足够。在物联网中的应用程序自主运行或“幕后”的情况下,如何满足这些要求还有待观察。
  • 基于分析的措施。 如上所述,物联网在性能分析和用户可追溯性方面引起了严重的关注。该条例草案规定了在何种情况下进行此类分析,“这完全基于旨在评估某些个人方面的自动化处理,或者尤其是分析或预测自然人的工作表现,经济状况,位置,健康,个人喜好,可靠性或行为”,将被视为合法。这包括数据主体同意的地方,或者在履行合同的背景下,采取了适当的措施来保护数据主体的合法权益。
  • 隐私权政策。 欧盟委员会在其报告中建议应采用可推入或内置在物联网对象中的隐私策略,并采用适当的机制来确保数据隐私。但是,它指出,这里的技术挑战是如何使具有有限处理能力和/或内存的对象能够接收和遵守此类策略。鉴于物联网设备数量众多,还应考虑此类政策的统一性。
  • 执法和制裁。 欧盟委员会还强调,有必要加强和澄清数据保护机构的权力,以确保对适用法律的一致监督和执行。除其他事项外,该法规草案对违反数据隐私义务的行为采取了严厉的制裁措施,包括最高每年全球营业额的5%处以1亿欧元的罚款,以金额较大者为准。该法规草案还将强制性个人数据泄露通知的概念扩展到个人数据处理的所有领域。

欧盟委员会在其报告中承认,因为“物联网是一种特例,更多的是远景,而不是具体的技术,我们知道正确定义所有需求还很复杂”。虽然该法规草案在某种程度上解决了物联网引发的问题,但随着物联网本身的发展,该领域的法律和政策将如何发展尚待观察。

美国

在大西洋的另一端,物联网中的隐私和数据安全也已牢牢地放在议程上。美国的监管机构,尤其是FTC,似乎将重点放在与欧盟同行相同的隐私和安全问题上。就这些担忧在监管环境中的表现方式而言,FTC最有可能依赖其在隐私方面的标准通知和选择框架,并且其立场是缺乏合理的安全措施来保护消费者数据可能是不公平的。或《联邦贸易委员会法》第5条规定的欺骗性行为或惯例。为此,未来的FTC执法最有可能将重点放在涉及物联网的两个主要领域上:(1)在联网设备不面向消费者时提供通知和选择; (2)如何确保作为物联网一部分的设备确保合理的数据安全性。

关于FTC为什么将重点放在这些特定问题上,我们有各种指标:

  • 物联网研讨会。 美国联邦贸易委员会 于2013年11月举行了一次研讨会,探讨了围绕IoT的隐私和安全问题。该研讨会的重点是与消费者(包括家庭自动化,智能家电和连接设备)以及消费者何时增加连接性有关的那些问题。正在移动(包括健康和健身设备,个人设备和汽车)。 美国联邦贸易委员会 将在2014年某个时候发布有关物联网的最佳实践报告。FTC在研讨会上明确提出了以下关键主题:(1)收集,分析和大量使用意外会对消费者隐私造成风险有关消费者的数据; (2)传统的通知和同意框架不足以告知消费者如何使用其个人数据的可能性; (3)互连对象的数据安全风险。 美国联邦贸易委员会 主席拉米雷斯(Ramirez)在研讨会上的开幕词中强调,“随着虚拟世界和物理世界之间的界限消失,即使设备没有用户界面,仍然需要采取某种方式让消费者注意和选择关于他们的信息以及如何使用这些信息。
  • TRENDnet执法行动。 美国联邦贸易委员会 带来了 有史以来的物联网案例 于2013年12月对抗TRENDnet,后者是监控摄像头系统的制造商,其用途广泛,从家庭安全到婴儿监护。该公司的相机的软件配置有问题,导致他们可以在线观看,有时还会被拥有相机Internet地址的任何人收听。结果,黑客访问了将近700个实时摄像机供稿。美国联邦贸易委员会(FTC)的投诉称,该公司未能合理地保护其相机以防未经授权的访问是第5条所述的不公平和欺骗性的行为和作法,因为该公司表示实际上已经采取了合理的安全措施。对于FTC数据安全案例,这种案例是相当标准的。区别在于,正如FTC解释的那样,所涉及的产品属于IoT范畴,因为它是 日常用品 与Internet和其他移动设备的互连。
  • 美国联邦贸易委员会 专员关于物联网的演讲。两名FTC专员最近就物联网的政策和法规含义发表了讲话,这为未来的执法重点和法规框架的轮廓提供了一些感觉:
    • 2014年2月,专员朱莉·布里尔(Julie Brill)发表讲话 物联网:建立信任以最大化消费者利益。 Brill专员将物联网与FTC的另一个主要政策关注点“大数据”联系在一起。她引用了思科的估计,到2015年将有250亿个Internet连接设备,并指出,到本十年末,40%的数据可能来自连接设备。结果,她的主要担心是,消费者甚至可能根本不知道实际上已连接到Internet的设备中的数据可以与现有的数据库结合使用,从而使对消费者的敏感预测变得更加容易,例如涉及他们的性取向,健康状况,宗教信仰和种族。
    • 2013年10月,专员Maureen K. Ohlhausen致辞 物联网和FTC:创新需要干预吗? 虽然专员强调了设备之间的更大互连性可能带来的隐私和数据安全风险,但她的讲话更多地关注物联网的变革潜力和人类利益。为此,她认为FTC的作用是确保企业具有进行实验和创新的自由,以便可以实现这项技术进步的收益。因此,尽管FTC应该使用其传统的欺骗和不公平授权来阻止因连接Internet的设备给消费者带来的伤害,但FTC还应该关注与IoT相关的消费者提示和最佳实践。

最后,美国多个州提出了有关2014年摘要的立法,旨在加强对消费者的隐私保护。在联邦一级,几项法案也正在国会审议中。这些包括 黑匣子隐私保护法 (这将(1)禁止销售装有事件数据记录器的汽车,除非消费者能够控制此类数据的记录,并且(2)要求如此记录的任何数据都应被视为车主的财产)和的 我们看着你行事 (这将在视频服务从观看区域收集视觉或听觉信息之前通知消费者)。

结论

鉴于物联网的迅猛发展,以及有关物联网将继续呈指数级增长的预测,立法者和政策制定者很可能在未来几年内影响物联网的发展。

物联网在其中运行的法规框架是寻求利用机器对机器(M2M)连接功能的技术公司的重要因素。关键问题似乎可能在于监管机构是否可以足够快地工作以跟上技术的能力,以及全球关键市场的法律和政策是否得到协调(至少在关键部分)得到协调,以确保允许以适用法律支持的方式发展物联网,而不受零碎和相互矛盾的法律的束缚。

实施基于M2M的解决方案的企业显然将需要检查其数据隐私策略和数据安全性方法,以预期并应对物联网带来的挑战。

如上所述,思科预测,到2020年,将有500亿台已连接的设备。换句话说,“今天,连接到Internet的事物比世界上有更多的人。在不久的将来,您可以想像的几乎所有东西都会醒来 。” 众多 文章 注意 从汽车到停车收费表再到家用温控器,在不久的将来可以连接的设备的多样性,这似乎使我们似乎处在互联网历史上崭新篇章的开端。