美国联邦贸易委员会(FTC)释放了其备受期待的 报告 物联网(“ IoT”)上的主题-许多公司已将其放在首位。 美国联邦贸易委员会的报告“物联网:隐私&互联世界中的安全”(“报告”),讨论了与物联网相关的收益和风险,并解决了FTC建议针对面向消费者的IoT产品和服务的隐私和数据安全措施[FTC在报告中对IoT的讨论与FTC管辖权一致的产品仅限于出售给消费者或由消费者使用的设备,而不限于在企业对企业环境或更广泛的机器对机器通信中出售的设备]。虽然该报告不具有法律约束力,但它提供了强有力的,有价值的指示,表明FTC在与物联网相关的执法行动中可能采取的立场。

什么是物联网?

根据FTC的说法,IoT是指“彼此之间通过互联网相互连接,通信或传输信息的设备或传感器之类的东西,而不是计算机,智能手机或平板电脑。”

美国联邦贸易委员会确认物联网的好处和风险

该报告承认,连接互联网的设备可带来许多好处,其中许多尚未开发。在健康领域,连接的医疗设备使患者可以更有效地与医生沟通,以管理他们的医疗状况。在家庭中,智能电表使能源提供商能够分析消费者的能源使用情况,识别家用电器的问题,并使消费者更加关注能源。在道路上,汽车上的传感器可以通知驾驶员危险的道路状况,并且可以无线方式进行软件更新。这些应用仅仅是开始。

另一方面,FTC警告说,物联网可能存在各种潜在的安全漏洞,可以利用这些漏洞来伤害消费者。首先,与计算机一样,缺乏安全性可能导致未授权访问和滥用个人信息。在物联网世界中,由于要连接和保护的设备过多,这种风险更加严重。其次,特定设备中的安全漏洞可能会促进对该设备所连接的消费者网络的攻击,或对其他系统造成攻击。第三,联邦贸易委员会(FTC)指出,物联网可能会危害人身安全。例如,报告描述了如何远程入侵连接的医疗设备并更改其设置,从而阻碍其治疗功能的情况。

根据FTC的说法,由于进入物联网市场的公司可能没有处理安全问题的经验,或者正在制造价格低廉的设备,而这些设备可能很难或不可能为安全漏洞应用补丁,因此加剧了这些风险。 。

安全

鉴于这些增加的风险,FTC断言“安全性不足会给物联网中的实际消费者造成最大的伤害。”因此,它建议公司在开发连接设备时将重点放在安全性上。 美国联邦贸易委员会承认,给定设备的合理安全性将取决于许多因素,包括收集到的数据的数量和敏感性以及补救安全漏洞的成本。但是,员工确实提供了鼓励公司开发产品时采用的方法:

  • 首先,通过进行初步的隐私或安全风险评估,考虑如何最大程度地减少收集和保留的数据以及在发布产品之前测试安全措施,将安全性纳入其设备中。
  • 对所有员工进行良好安全培训,并确保在组织内适当的责任级别上解决安全问题。
  • 保留能够维持合理安全性并提供合理监督的服务提供商。
  • 考虑到多个级别的安全措施,对涉及重大风险的系统实施纵深防御方法。
  • 采取合理的访问控制措施,以限制未经授权的人员访问消费者的设备,数据或网络的能力。
  • 在整个生命周期中继续监视产品,并在可能的范围内修补已知漏洞。

总之,收集敏感信息,存在人身安全或安全风险的设备(例如门锁,烤箱或医疗设备),或以允许未经授权访问这些设备的方式连接到其他设备或网络,可能需要提高考虑安全措施。

数据最小化

该报告强调了FTC的观点,即公司应合理限制其收集和保留消费者数据,包括在IoT环境中。美国联邦贸易委员会(FTC)认为,这些称为数据最小化的做法将有助于防范与隐私相关的两种风险:首先,较大的数据存储区为数据窃贼提供了更有吸引力的目标;其次,如果公司收集并保留大量数据,则存在以超出消费者合理预期的方式使用数据的风险。

同时,报告承认担心数据最小化要求可能会限制数据的创新使用。因此,联邦贸易委员会(FTC)提出了一种“灵活”的数据最小化方法,为公司提供了多种选择:他们可以决定根本不收集数据,仅收集提供的产品或服务所需的数据字段,收集不太敏感,或者取消识别他们收集的数据。美国联邦贸易委员会(FTC)还建议,如果这些选择都不起作用,则公司可以征求消费者的同意以收集其他意外数据。

通知和选择

美国联邦贸易委员会承认,在连接的设备(可能没有与消费者进行通信的屏幕)的情况下,通知消费者隐私原则并为他们提供有意义地选择隐私设置的方法可能会更加困难。但是,该报告清楚地表明,FTC认为仅在其网站上提供隐私政策并希望消费者能够找到该政策对于物联网公司来说是不够的。相反,FTC建议公司寻找方法向消费者展示有意义的隐私声明和选择,包括在产品本身的设置或购买中。该报告提出了针对该问题的创造性解决方案,包括:

  • 提供视频教程来指导消费者进行隐私设置。
  • 附加一个QR码,当扫描该QR码时,会将消费者带到一个包含有关隐私惯例信息的网站。
  • 提供一个设置向导,该向导提供有关隐私惯例的信息。
  • 允许用户配置设备(例如家用电器),以便他们通过电子邮件或文本接收信息。
  • 创建用户体验“枢纽”,将其存储在本地数据,并根据先前的行为了解消费者的隐私偏好。

公司可能还想考虑使用多种方法。当然,无论公司决定采用哪种方法,FTC都希望隐私选择清晰明了,并且不会被冗长的文档所掩盖。

立法

最后但并非最不重要的一点是,FTC重申了建议国会制定强有力,灵活和技术中立的立法,以加强委员会现有的数据安全执法工具,并要求公司在出现安全漏洞时通知消费者。

结论

正如FTC所说,“将来,物联网可能会以目前难以理解的方式将虚拟世界和物理世界融合在一起。”因此,公司应考虑FTC和其他监管机构提供的指导,并评估他们可以采取哪些措施来减轻隐私和数据安全性方面的风险。