物聯網條件下的信息安全風險防范及立法建議

張琴 王峰 王芳

摘 ? 要：隨著信息技術的發展，物聯網在我國得到了廣泛的應用。物聯網給人們帶來巨大便利的同時，也對信息安全造成了巨大的風險。基于對國內外相關立法的比較，文章提出了物聯網時代信息安全保護的立法原則、立法體系與結構、立法內容等構想。同時，提出了強化政府的監管作用、逐步統一規范和標準、加大物聯網條件下的密碼保護力度、提升用戶自身安全意識等建議。

關鍵詞：物聯網;信息安全;風險防范;立法;建議

中圖分類號： D923 ? ? ? ? ?文獻標識碼：A

Abstract： With the development of information technology， the Internet of Things has been widely used in China. The Internet of Things brings great convenience to people， but at the same time， it poses a huge risk to information security. Based on the comparison of relevant domestic and foreign legislations， this paper proposes the legislative principles， legislative system and structure， and legislative content of information security protection in the Internet of Things era. At the same time， it proposes to strengthen the government's regulatory role，gradually standardize norms and standards， increase password protection under the conditions of Internet of Things， enhance users' own security awareness.

Key words： internet of things; information security; risk prevention; legislation; suggestion

1 引言

伴隨著計算機技術的迅猛進步，物聯網在世界各地得到了快速發展。物聯網已成為一種逐漸普及的生活方式，人們借助它暢享高科技帶來的便利。例如，足不出戶，就能遠程辦公;離家千里之外，可以遠程操作智能家電;企業運用物聯網運籌帷幄;無人駕駛汽車實現遠程控制等，物聯網技術給人類帶來了福音，但其帶來的風險人們尚估計不足。如黑客盜取個人隱私，影響企業正常生產經營，干擾汽車駕駛釀成慘禍，對人體穿戴設備遠程攻擊，干擾心臟起搏器等器械，甚至是危害生命。研究人員需要對物聯網帶來的風險慎重評估，運用技術和法律的手段控制物聯網風險，本文將重點討論法律手段尤其是立法手段。

2 物聯網簡述

2.1概念

美國人Auto-ID在1999年提出物聯網的概念后，國際電信聯盟于2005年正式提出物聯網的概念，即按照約定協議，通過射頻識別（RFID）、紅外感應器、全球定位系統、激光掃描器等傳感設備，把任何物品與互聯網連接，進行信息交換和通信，以實現智能化的識別、定位、跟蹤、監控和管理[1]。

2.2 物聯網發展概況

物聯網概念一經提出，就引起了國際社會的高度重視。許多發達國家和地區紛紛出臺了物聯網的發展規劃，將物聯網作為重要的戰略目標，以提高其核心競爭力。例如美國的“智慧地球”計劃、歐盟的“十四點行動”計劃、日本的“U-Japan”計劃、新加坡的“下一代I-Hub”計劃等。我國政府于2009年提出了“感知中國”，希望通過借助高科技發展，積極參與物聯網框架設計、標準制定，從而掌握物聯網時代的話語權。近年來，我國的物聯網體系不斷完善，創新成果不斷涌現，行業應用突飛猛進，產業集群優勢突顯。具體表現在物聯網技術被運用到管理、制造、研發等領域，推動傳統產業轉型升級。在消費領域，可穿戴設備、智能家居、安防系統、智能醫療、移動支付、物流管理等消費市場高速增長;在智慧城市領域，物聯網技術在城市管理、公共事業、消防、交通、食品安全監管等領域突飛猛進。據預測，到2035年，我國的物聯網終端將達到數千億個。

2.3 物聯網與互聯網的區別

從發展歷程看，互聯網是基礎，物聯網是對互聯網的繼承和發展。物聯網與傳統互聯網的區別在于： 一是交互主體多樣化。互聯網是通過網絡實現人與人之間的交流，而物聯網則是借助網絡實現人與物、物與物之間的互動。互聯網實現了人類社會和數字世界的溝通，物聯網則在互聯網的基礎上使人類社會、數字世界和客觀世界之間實現順利交互。物聯網不僅使人與人之間的信息模式呈現出新的樣態，更因物質客體獲得了主動表達的機能，而使人類與物理世界的關系獲得新進展，推動了人類社會與物質世界的共生共在[2]。二是對信息的處理方式。互聯網的信息都是人工輸入的，帶有一定的主觀性、事后性。而物聯網則是借助物聯網體系形成對實體世界的鏡像反映，更客觀，內容實時，可預警。三是對世界的影響。物聯網能超越互聯網。互聯網將人們引入虛擬世界，但是虛擬世界解決不了安全、能源、環境、健康問題等實體世界的問題，而物聯網則可以解決。作為人類社會螺旋型發展的再次回歸，物聯網追求的是人與實體世界的和諧、共存、共融、共發展，它會使科學技術、市場和生活方式發生變革[3]。

3 物聯網條件下的信息安全風險

3.1物聯網條件下的信息安全風險的內容和特點

風險是產生損失結果的可能性[4]。德國社會學家烏爾里希·貝克在《風險社會》中首次用“風險社會”這一概念來描述西方高度發達的現代社會，引起人們的強烈共鳴。人類在享受著科學技術帶來的物質生活水平大幅度提升的同時，不知不覺地進入了風險四伏的社會，面臨環境污染、金融危機、轉基因、恐怖襲擊等。在信息社會中，物聯網環境下的信息安全風險不可小視。

信息安全風險是指隨著信息技術、計算機技術的發展，因信息安全問題導致組織或個人的權利受損失結果的可能性。從物聯網的架構看，它通過感知層、網絡層、應用層來實現其功能，這三個層次存在的風險為：感知層的安全風險主要是不法分子竊取身份信息和密碼，對RFID系統、移動智能終端、無線傳感網絡構成安全威脅。網絡層的安全威脅主要是異構網絡跨網連接多個節點進行驗證的過程中易遭遇中間人的攻擊、異步攻擊、DoS攻擊。應用層的安全威脅則是應用層的數據及大量用戶的隱私信息面臨外部竊取等安全問題[5]。

具體來看，信息安全風險的主要內容有三個方面。

一是侵犯基礎設施和重要領域安全。基礎設施和重要領域的物聯網設施一旦存在漏洞或遭受攻擊，會對國家安全產生不利影響。近年來發生在烏克蘭、委內瑞拉等國的停電事件，說明以物聯網、工業互聯網為支撐技術的關鍵基礎信息系統已經成為影響國家安全的重要因素。

二是侵犯個人隱私。物聯網的射頻識別系統（RFID 系統）由讀寫器、電子標簽、天線和計算機系統組成。其中，電子標簽具有信息存儲容量較大、數據處理效率高的優點，人們可以用一個設備進行上班、購物、看病、上學、停車、吃飯等活動。但是，信息的過分集中有可能導致個人隱私一旦泄露則一覽無余。而且，電子標簽中的隱私信息可能被侵入者非法讀取，進而通過 RFID 技術對個人實施監控，甚至亂改、刪除或拷貝信息，擾亂正常秩序。

三是入侵計算機系統。借助RFID系統，黑客可以更方便地入侵計算機信息系統。例如，黑客在獲得電子標簽后，可能擅自植入惡意代碼，從而導致購物系統、服務系統陷入癱瘓，造成財產損失甚至人身攻擊。

另外，智能化是物聯網的重要目的，人工智能必定會在物聯網中扮演重要角色。人工智能賦予物體以意識和行為能力，存在一些安全隱患，如人工智能之物被植入惡意程序后對人實施的侵犯、人工智能自發對人實施的侵犯等[6]。

與傳統的互聯網安全風險相比，物聯網條件下的信息安全風險并無本質上的差別，但其特征在于由于物聯網特殊的交互性，信息入侵方式更便捷，因而會帶來更大的威脅性。

3.2 物聯網條件下的信息安全風險的現狀及危害

隨著物聯網的發展，信息安全的風險正不斷加大。主要表現在四個方面。

一是對國家和社會安全造成的風險。2019 年委內瑞拉停電事件、物聯網僵尸網絡和勒索軟件大規模攻擊事件、波音系統被爆出嚴重漏洞事件均表明物聯網安全形勢依然嚴峻，安全風險的源頭均指向了脆弱的物聯網終端[7]。

二是對公民健康乃至生命的危害。近年來，物聯網技術在醫療中得到逐步應用，給人們帶來方便的同時也出現了不少問題。例如，從2000年以來，美國共有2500部醫療外科手術機器人投入正式使用。從2007 年始，美國食品藥品監督管理局收到了200 多件關于病人接受該機器人手術時遭受切割傷、燒傷及感染等報告，有89 件報告顯示導致病人死亡[8]。據統計數據顯示，由于惡意軟件侵襲，全美有多達300臺用來分析高危妊娠孕婦的設備運行速度放緩。美國前副總統迪克·切尼的植入式心臟除顫器也因為害怕黑客入侵，禁用了無線連接功能[9]。另外，在物聯網交通領域，無人駕駛得到快速發展，但其帶來的交通事故也時有發生。只要物聯網被恐怖分子控制，人們所擔憂的物聯網“殺人”事件就不再是空穴來風。

三是對公民隱私權的侵害。在物聯網條件下，公民的隱私信息在電子標簽中高度集成，又極易被破解泄露。例如：快遞工作人員泄露或黑客攻破快遞包裝面單上的電子標簽、二維碼，公民的姓名、電話、地址等信息極易被倒賣謀利。

四是對公民或組織的財產權的侵害。例如，在物聯網安保中，只要黑客攻破安防系統，就可能長驅直入，造成財產損失;隨著智能門鎖的普及推廣，網絡犯罪分子極易成為現實世界中的小偷，他們擁有高級工具和軟件，如果物聯網安防系統缺乏妥善的保護，那么家庭安全岌岌可危;又如，2004年有人開發出一種名為“rf垃圾”的程序，該程序可以輕松改寫商品標簽上的產品代碼數據。這樣，剃須刀就變成了奶酪，25美元的DVD也可以變成30美分的口香糖。但是，自動結賬系統很難發現其中的問題[10]。這將嚴重影響正常的銷售秩序，侵犯銷售者的財產權。

4 物聯網時代的信息安全立法現狀

4.1國外立法

為應對物聯網帶來的信息安全問題，發達國家和地區已開始在物聯網領域立法。歐盟2009年5月制定的《射頻識別技術（ RFID） 應用中隱私和數據保護原則的建議》為歐盟各國 RFID 應用中的信息保護提供了框架，包括隱私和數據保護影響評估、零售商使用RFID的要求、信息和透明度要求等內容。隨后，歐盟發布了RFID 應用隱私與數據保護影響評估框架，并且與歐洲網絡和安全委員會、歐洲個人信息和隱私數據保護組織等簽訂了《RFID 隱私數據保護協議》。與歐盟相比，美國的立法步伐相對慢一些，但至少已有十幾個州制定了物聯網領域的規定。2017年8月，美國國會通過了民主黨、共和黨兩黨議員聯合提交的《2017物聯網網絡安全改進法》法案，該法案的目的是要求向美國政府出售的物聯網設備必須滿足某些安全標準。這一法案的通過意味著美國已經進入物聯網國家立法階段。

4.2 我國立法

我國在上個世紀末開始研究物聯網的核心傳感網技術，是物聯網發展較為迅速的國家之一。目前，我國的物聯網研發水平處于世界前列。但是，在物聯網安全方面的立法卻相對滯后。目前，我國只初步制定了涉及互聯網安全、計算機病毒、信息安全等方面的法律。隨著近幾年的發展，國家和地方相關部門也出臺了一系列的政策措施，主要集中在物聯網產業培育、技術標準方面，雖然對信息安全有所涉及，但其條款過于概括，缺少具體的規定。2013年2月5日發布的《國務院關于推進物聯網有序健康發展的指導意見》提出了抓緊推動完善信息安全與隱私保護等方面的法律法規。2013年3月4日發布的《國家重大科技基礎設施建設中長期規劃（2012-2030年）》提出了把網絡信息安全作為建設未來網絡試驗設施的主要內容之一。工信部在2017年1月發布了物聯網產業“十三五”的發展目標，其中包括提升安全保障能力等具體任務。但是，關于物聯網關鍵核心RFID 技術使用方面，我國尚缺乏強制性的安全標準和法律規范，這將給物聯網信息安全帶來嚴重威脅。因此，我國應盡快出臺一部“物聯網信息安全保護法”。

5 防范物聯網信息安全風險的立法設想

5.1 立法原則

首先是人類對物聯網的絕對控制原則。在物聯網時代，基礎設施系統和智能設備對網絡高度依賴，一旦它們被不法分子攻擊，后果將不堪設想。在物聯網對人類構成威脅時，人類可以停止甚至銷毀物聯網，以保證人類對物聯網的絕對控制。甚至必要時銷毀物聯網的能力。然后是應體現技術和法律保護相結合的原則，一方面要通過明確物聯網企業的準入門檻、電子標簽和讀寫器使用規范、數據加密規范、物聯網設備強制認證制度等途徑明確物聯網的技術標準。另一方面應借助法律明確個人對電子標簽中的信息查詢、修改、知情、刪除、銷毀的權利，明確非法使用RFID 技術應承擔的法律后果。

5.2 立法體系與結構

相比較于目前零散的法律規定，我國需要建立物聯網信息保護法律體系。該體系可以由《中華人民共和國憲法》《中華人民共和國網絡安全法》《中華人民共和國刑法》《中華人民共和國民法》以及物聯網信息安全保護方面的法律和相關行政法規、地方法規、規章和其它規范性文件構成。其中，《中華人民共和國憲法》居于最高地位，物聯網信息安全保護法律是重要單行法。目前，該單行法尚未被提上立法日程，研究人員認為可以對該法結構作出相應的設計，包括物聯網信息安全保護的立法宗旨、物聯網信息安全的概念、保護方法，物聯網企業采集信息的途徑和渠道、物聯網信息安全保障措施、利用RFID技術威脅用戶安全行為的認定、法律責任等。在立法時需注意，對作為科技發展產物的物聯網的立法，必須關注信息技術的發展，研究技術發展帶來的新問題。同時，需要明確界定用以合法攔截物聯網數據的各項技術手段，從而保護個人隱私。 其它相關立法則應及時跟進，例如在《中華人民共和國刑法》《中華人民共和國民法》適時增加有關物聯網信息安全保護的條款，及時出臺相關司法解釋。與此相關的立法也應及時跟進。

5.3 立法內容

從內容上看，首先要對物聯網條件下的信息做出界定。其內涵是指基于RFID 技術的運用而涉及的數據總和，包括已經依法公開的信息和身份、財產、健康、個人活動等隱私信息。物聯網信息安全保護法律至少應包括五個方面：知情權法規、禁止法規、IT 安全法規、利用法規、任務驅動法規[11]。知情權法規應規定，客戶有權了解在接受物聯網商品或者服務過程中自己的哪些數據被收集，并保留這些數據被侵犯后的救濟權利。其目的是讓客戶知道使用了RFID 方案。禁止立法應明確規定任何物聯網企業不得對拒絕使用 RFID的特定人群搜集信息。IT 安全法規是保護 RFID不被非法讀取的安全技術標準，具體包括物聯網信息安全標準、密碼保護標準。利用法規需規定允許使用RFID的條件與規則。任務驅動法規規定的是應用 RFID 時遇到的挑戰和問題，從而為技術團隊提供支持。此外，還應明確有關部門對物聯網信息安全的監管職責、侵犯物聯網信息安全的法律責任。也有學者建議在應用中從保護私人數據角度來規定法律的內容，包括監測產品、監控動物、監控人、收集數據并加以分析[12]。

5.4 相關建議

（1）強化政府的監管作用

基于物聯網對國家安全的重要意義，必須強化政府的監管作用。我國可以借鑒一些國外的經驗。日本于2019年1月通過了一項法律修正案，允許政府工作人員入侵物聯網設備[13]。修正案允許日本國家信息和通信技術研究所通過弱口令對物聯網設備進行掃描以發現脆弱的設備，并可以將這些信息作為威脅情報共享給電信運營商。同時，日本從2019年2月20日起啟動 NOTICE 項目，開始對互聯網上的物聯網設備進行調查，識別易受攻擊的設備，并將這些設備的信息提供給電信運營商。然后，電信運營商定位設備對應的用戶，并警告用戶[14]。

（2）逐步統一規范和標準

物聯網設備產業的發展是一個不斷完善的過程。由于早期物聯網大多采用異構的技術體系，專注于某個單一領域，因此存在著行業之間、地區之間、部門之間相互割裂的情況。隨著技術的發展，物聯網設備間需要實現互操作，其關鍵在于采用統一的標準。但由于各智能設備的安全水平存在較大的差異，設備間彼此聯通存在著鴻溝。目前，阿里、京東、海爾等平臺廠商都已發布了智能平臺和連接標準，但設備聯網場景化的使用需求在全國范圍內尚未實現。這就需要從規范化建設出發，協作共贏，實現安全產品的互通，解決兼容性問題[15]。意識到標準化對物聯網產業發展及安全的重要性，工信部已經開始制定《關于全面推進移動物聯網（NB-IoT）建設發展的通知》等規范，為未來設備互聯明確了技術和商業化方向。

（3）加大物聯網條件下的密碼保護力度

由于RFID技術對密碼的高度依賴，密碼對于物聯網信息安全的重要性不言而喻。密碼一旦被破譯、篡改，將對公民的人身、財產安全帶來損失。這種情況下，受害方可以要求追究侵權人的法律責任。這里的法律責任分民事責任、行政責任和刑事責任。民事責任適用于較輕微的密碼侵權行為，其主要形式有賠禮道歉、賠償損失等。對于違反行政法律法規、尚未觸犯刑法的行為，一般追究行政責任，比較常見的是采取罰款、沒收非法所得、行政拘留等行政處罰。刑事責任是最嚴厲的一類責任，我國目前已規定的侵犯公民信息的刑罰主要是有期徒刑（最高刑期為七年）和罰金。研究人員認為應加強懲罰力度，建議對竊取、泄漏、傳播密碼造成嚴重后果者應按刑法嚴厲制裁，對情節特別嚴重的信息密碼犯罪提高刑期，從而威懾犯罪分子。

此外，政府機關、網絡服務商、銀行、保險公司、醫院等密碼持有人泄漏、盜用、傳播密碼，造成人身財產損失、情節嚴重的，應承擔刑事責任，并追究相關責任人。處罰嚴厲才能保護到位。

（4）借鑒國外的相關經驗

如何應對數據發生泄露，美國建立了數據泄露通知制度，一旦用戶的個人數據信息被盜取或泄露，數據控制者必須及時通知用戶和相關機構。

用戶的信息一旦被機構掌握，用于用戶不知情或不情愿的用途該如何處理。歐盟曾在1995年的數據保護法中規定了“被遺忘權”，公民可在不再需要其個人數據時提出刪除要求。在“歐盟被遺忘權第一案”（西班牙資料保護局和西班牙公民Mr. Costeja Gonzalez訴谷歌公司、谷歌西班牙公司案）中，原告要求被告谷歌公司刪除與自己不再具有相關性的負面信息，以避免公眾通過 Google 搜索引擎搜索到。歐盟法院支持了原告的訴訟請求，認為基于《歐盟基本權利憲章》，資料當事人有權要求相關信息不再列入述檢索結果列表[16]。借鑒這一經驗，我國有必要在立法中規定被遺忘權，同時規定物聯網服務方有控制用戶信息不被濫用的義務。如果出現用戶信息受侵害，則應采取措施避免損害擴大。

（5） 提升物聯網企業和用戶自身安全意識

企業應高度重視物聯網安全，加強人員安全培訓，規范設備的安全管理，增加必要的安全投入，以降低黑客程序、勒索軟件帶來的損失;用戶在購買物聯網產品時需要考慮設備的安全性可能給自己帶來的損失，及時更換登錄密碼，定期更新軟件和系統。調查顯示，人們在暢享物聯網便捷的同時，安全意識往往被拋之腦后。根據Verizon的“2016 數據泄露報告”顯示，涉及到默認口令、弱口令的情形在2260起數據泄露事件中的比例高達63%。許多病毒正是利用了物聯網設備中某些組件的弱密碼入侵智能設備，進而對特定目標實施攻擊，Mirai病毒就是其中的一種。事實上該組件廠商早已發布更新版本，并要求用戶更改默認口令，但是很多用戶并沒執行該操作。一般用戶對于物聯網設備的安全威脅的反應主要有三種情形：1）并不認同安全是智能產品的一個功能并愿意因此負擔額外費用;2）存在僥幸心理，認為安全問題離自己很遠。沒那么巧黑客正好攻擊自己;3）保證安全是產品廠商的事。消費者只管用就行，不需要考慮安全問題。用戶自身安全意識提升，養成良好的設備安全使用習慣可以在很大程度上增加實施攻擊的難度，提高攻擊成本[17]。

6 結束語

物聯網的大幕已經開啟，物聯網時代的信息安全問題已初露端倪。順應歷史發展的潮流，只有充分評估風險，及時推進立法，才能使物聯網技術真正造福國家，實現人民對美好生活的向往。

基金項目：

江蘇省社會科學基金項目研究成果“智慧城市治理中的個人信息保護問題研究”（項目編號：19FXD004）。

參考文獻

[1] 段浩.物聯網發展狀況及其安全問題研究[J].通訊世界， 2013（11）：30-31.

[2] 閔春發，汪業周.物聯網的意涵、特質與社會價值探析[J].中國人民大學學報，2011，25（04）：41-46.

[3] 劉海濤.物聯網與感知中國夢[N].科技日報2015-09-23（12）.

[4] C. G. JARDINE，S.E.HRUDEY. Mixed messages in risk communication [J].Risk Analysis，1997（4）.

[5] 張俊玲，趙林.物聯網安全與隱私保護分析[J].電腦迷， 2018（10）：28.

[6] 李欲曉.物聯網安全相關法律問題研究[J].法學論壇，2014（11）：20-22.

[7] 張星，張克雷，桑鴻慶，張浩然，魏佩儒，周鴻屹.2019物聯網安全年報[J].信息安全與通信保密，2020（01）：45-62.

[8] 肖尤丹.機器人需要“守法”嗎？ [N].人民日報，2014 -07 -21（20）.

[9] 歐洲刑警組織.物聯網將在今年年底前學會殺人[EB/OL].http：//itech.ifeng.com/40830199/news.shtml？&back鳳凰網2014-10-08.

[10] 劉云浩.物聯網導論[M].北京：科學出版社，2011：279.

[11] 程翔.淺談物聯網安全和隱私問題[J].科技信息， 2011（16）：256+258.

[12] 陳新平，徐廣印，王振鋒.物聯網環境下的信息安全研究[J].科技管理研究，2013，33（01）：196-199.

[13] Japanese government plans to hack into citizens' Io T devices[EB/OL].https：//www.zdnet.com/article/japanese-government-plans-to-hack-into-citizens-iot-devices/ .

[14] The“NOTICE” Project to Survey Io T Devices and to Alert Users [EB/OL].http：//www.soumu.go.jp/main_sosiki/joho_tsusin/eng/Releases/Telecommunications/19020101.html.

[15] 劉志誠.物聯網網絡信息安全生態體系構建新論[J].網絡空間安全，2018，9（12）：85-89.

[16] 王小萌.物聯網環境下個人數據信息保護研究，華南理工大學碩士論文[D].廣州：華南理工大學， 2016.

[17] 上海社會科學院互聯網研究中心.Geek Pwn（極棒）智能物聯網安全風險報告[J].信息安全與通信保密， 2017（10）：92-109.