基于物聯網的誠信體系建設與隱私保護制度研究

林美玉 ，韓海庭 ，吳 暉

(1.中國信息通信研究院，北京100191；2.哥本哈根大學，Copenhagen 1958 FC；3.北京大學，北京100871)

0 引言

十九大報告以來，加快推進社會誠信體系建設成為一項重要的國家戰略，政務誠信、個人誠信和電子商務領域的誠信體系建設及融合步入快車道。社會誠信體系建設最早可以追溯到2001 年，中共中央印發《公民道德建設實施綱要》，將“明禮誠信”作為社會主義公民基礎道德規范之一；2003 年十六屆三中全會提出“建立健全社會信用體系，形成以道德為支撐、產權為基礎、法律為保障的社會信用制度”[1]；2011 年十七屆六中全會再次強調“把誠信建設擺在突出位置”。

社會誠信體系建設是全面深化信用服務、國家意志參與社會信用建設的重要手段和主要內容。長期以來我國構建了以人民銀行個人征信中心、全國工商聯基礎信用信息數據庫為主體的國有信用服務系統。 隨著全國社會誠信體系建設的推進，各地政府和中央派出機構紛紛成立政府新征信系統，如交通、教育、通信、工商、稅務、公安、海關、司法、水電、市政等紛紛做出信息整合和信用評估等工作，逐漸形成了專門化、區域化的信用平臺。 以央行為核心的金融信用系統和以各級政府建立的政府信用系統成為社會誠信體系建設的主體和框架，吸引了更多市場化的服務機構開展征信相關服務。

1 大數據征信與物聯網數據的契合性

在傳統征信的基礎上，大數據征信利用大數據技術與現代計算技術逐步發展起來。 傳統征信受限于金融、政府機構提供的信用信息，而大數據征信利用豐富的互聯網渠道，將數據收集擴展到多種非經濟金融場景，如社交網絡、消費平臺等，這些傳統征信所無法涉及的多域多維的海量數據能夠豐富信用主體的信用畫像，充分反映主體的消費習慣、履約能力，且較傳統征信具有更好的動態實時性。

大數據征信的命脈是數據，保證廣泛的數據來源是建立大數據征信體系的基礎，而物聯網的快速發展為大數據征信提供了嶄新的可能。 據行業預測，到2020 年將有超過300 億的傳感器設備投入使用[2]，人在現實社會和網絡空間的一切行為都會留下記錄，如智能家居、智能汽車等環境留下了越來越多能夠識別特定個人及其特征的關鍵數據。 可應用于大數據征信的物聯網數據有如下四種。

1.1 設備屬性信息

物聯網設備一般具有某些規格屬性信息，如設備型號、類別、等級等，或設備部署環境、技術參數等出廠或安裝設置的固有信息。 這些數據可以直接表征持有人的購買偏好、消費特點等，可以利用到信貸中，為信用主體的償貸能力或身份特質做相應的補充。 此外，這些固定的靜態屬性信息可以作為異常檢測的基準數據，通過某些攻擊者對數據的惡意更改與損壞可以識別潛在的偽造、欺詐風險。

1.2 設備身份信息

能夠表征設備身份的信息對物聯網設備的身份認證非常重要，如通信模組的IEMI 號碼、安卓ID、SIM 卡、MAC 地址等，這些數據可以與持有人建立對應關系，常作為區分不同信用數據主體和對象的基礎。 設備身份的認證可以為信用主體的數據收集起到保護作用，設備持有人對是否提供個人信息具有選擇權，通過對數據收集設備的認證，后續可以進行數據收集限制，根據法律規范征信信息采集的范圍，保護用戶易被侵犯的敏感信息[3]。

1.3 設備狀態信息

物聯網設備狀態信息反映了設備運行中的設備狀態，多為動態信息，如位置信息、網絡報文或流量特征等。 設備狀態數據可以識別物聯網設備的安全狀態，確保設備的正常運轉；也可以成為設備持有人的主觀意愿的反映，如欺詐傾向。 與設備身份信息一致，狀態信息也具有識別特定個人的作用，包含手機號、身份信息等敏感信息，設備狀態信息的流動性易使設備持有人遭受信息泄露等風險，需要進行妥善保護。

1.4 設備采集信息

物聯網設備的采集信息是物聯網上層應用服務所需要的主要數據。 以傳感器為代表的感知設備、以RFID 為代表的識別設備、以及GPS 等定位追蹤設備，可以獲取源源不斷的動態數據，如持有人的生活環境、消費場景、行為習慣。與傳統征信只能對具有信用記錄的人群進行信用評估不同，利用物聯網采集的信息與是否擁有信用記錄無關，很大程度上避免了數據缺失，補全了無信用記錄人群的信用信息。此外，這些物聯網設備實時、動態地從信用主體的周圍環境獲取數據，持續的數據收集能力增強了數據間的時間關聯，充分保持了數據時效性。

2 基于物聯網數據的泛信用體系

通過對上述信息進行搜集，可以對物聯網產品服務進行改進，也可對其他業務提供數據支持，在關鍵業務決策、服務認證、狀態監測等場景中應用廣泛，如反欺詐、人臉識別等。基于物聯網數據驅動的業務決策和產品設計，在信用社會中同樣發揮著不容小覷的作用，與大數據征信的結合使得其已經超越了商品或服務本身，儼然形成了四種新的基于物聯網數據的泛信用體系。

2.1 設備身份信息-小額貸款反欺詐新手段

小額貸款的目標人群大多都不被傳統金融機構覆蓋，缺乏央行信用記錄，容易出現多頭借貸、共債等風險行為。 小額貸款借貸人往往具有很有限的還款能力，在多家平臺產生的借款必然導致借款人違約的概率大幅上升[4]。 因此注重對借貸人的還款意愿、還款能力進行評估，判斷偽造身份的第三方欺詐，減少多頭借貸、共債是小額貸款的風控重點。

物聯網設備的身份信息、狀態信息為解決小額貸款欺詐識別，助力判別身份欺詐、偽造提供了新手段。 小額貸款可以通過識別單一基站來源數據，同一物聯網設備IP 數據等身份數據判定是否存在欺詐行為，進而進行輔助信貸決策。 一種識別欺詐賬戶的方式[5]是通過接收多個新賬戶的身份相關字段，如設備IP 地址、MAC 地址、網絡流量等，與多個歷史賬戶應用相關聯的身份相關字段相連接，從而形成圖形模式，執行統計分析與已知的或正常的圖形模式進行比較，檢測新賬戶圖形模式中出現的差異或異常，以確定新賬戶存在欺詐的可能性。

常用的異常檢測算法也都可以結合物聯網身份數據進行借貸人的身份審核，豐富、實時的物聯網數據與算法相結合從而形成一種新體系，較傳統方法可更快更準確地識別欺詐行為，為小額貸款提供更有效的風控手段。

2.2 穿戴式設備-個性化風險定價新方案

近年來我國保險行業逐步發展，保險業在提高資金風險保障，化解科技創新風險等方面具有重要作用。 在保險業激烈的市場大環境下，傳統的風險識別方案逐漸無法滿足需求，保險業對風險識別、精準定價提出了更高的要求。 保險需要注重個人、企業的差異化，針對不同個體所面臨的不同風險進行研究和個性化定價，同時需要降低成本。 不同環境下的物聯網設備為個性化風險定價提供了新的方案。

個人用戶的健康險可以通過隨身攜帶的傳感器設備采集運動及健康信息(睡眠、血壓、心跳等)，綜合考慮被保險人健康狀況、生活環境、運動習慣，對用戶身體狀況進行安全評估，進而推行個性化保險方案，激勵用戶適當的運動來降低投保費用。 車險也逐漸向個性化定價轉型，目前車險產品更多地簡單依賴駕駛時間或里程計費等指標，但通過手機車聯網可以使用更貼合用戶的實際數據來進行風險定價。 例如國內領先的互聯網車險平臺OK 車險，利用車聯網中提取的三個維度的變量來進行個性化定價[6]：駕駛行為習慣的穩定程度、出行路徑的過往事故發生情況、行駛路況的熟悉程度。此外，物聯網數據還可以結合人工智能等技術搭建適合保險場景的風險模型， 幫助保險行業自動化定價、降低賠付成本，形成智能化的保險新體系。

2.3 行程(健康)卡-社會管理新工具

行程卡是將ID、標識、位置信息、接觸信息和醫療數據等信息融合，判斷流動人員傳播流行病風險[7]，助力醫學隔離人群的重要手段。 國家衛生健康委辦公廳在 2018 年推行了《關于加快推進電子健康卡普及應用工作的意見》[8]， 但此時的電子健康卡僅限于不同部門之間的共享和查詢。 隨著COVID-19 的全球爆發以及各地區復工復產的需求，行程(健康)卡成為全球戰疫的重要支撐工具。

目前行程(健康)卡的數據來源主要包含以下三種：(1)醫學機構數據庫中的健康信息；(2)基于通信大數據的流動人員位置信息；(3)基于藍牙密接技術的流動人員接觸信息。 其中醫學數據庫中的健康信息較為傳統，更新時效慢，且主要關注已經發生的病例或疫情，并不適合突發性全球衛生事件的防控；而基于通信大數據的位置信息和基于藍牙密接技術的接觸信息就成為應對突發危機和精細化防控的關鍵，通過對流動人員出入的國家和地區、接觸的人群或個人精準的識別來判斷目標用戶是否需要進行醫學隔離等防控措施。

在海外疫情呈快速擴散態勢之際，中國信息通信研究院聯合中國電信、中國移動、中國聯通推出基于基站連接的通信大數據行程卡[9]，只需要用戶授權便可多途徑(短信、微信、支付寶等)便捷查詢過去14 天內在國內停留超過4 小時的城市或到訪的海外國家。 行程卡2.0 版本還將增加藍牙近距離接觸提醒功能，可精準地識別每一次接觸是否存在病毒攜帶者、是否需要醫學隔離。

行程(健康)卡已經成為中國戰疫的致勝法寶，對精準防控、節能增效、防范疫情輸入、推動復工復產起到了重大作用。 行程(健康)卡不僅僅是一項物聯網服務，更代表了一系列新型的社會治理手段，為人員流動、跨地區管理、醫療資源分配等多方面提供了有效的技術支持。

2.4 生物識別-認證服務新途徑

認證技術是確認信用主體身份的技術手段。 認證技術需要對信用主體的兩種身份進行確認：網絡數字身份和物理身份。 網絡數字身份利用計算機網絡中與該用戶相關的信息集合成特定的數據，同時需要與現實世界的物理身份進行對應，確保信用主體的數字身份和物理身份保持一致。 認證服務是征信技術中重要的基礎技術。

傳統認證通過身份證、電話號碼等固定信息對用戶身份進行區分，信息的簡單性難免會導致層出不窮的身份偽造攻擊。 物聯網的發展為認證服務提供了嶄新的方式，各種光學、聲學、生物傳感器分布廣泛且使用方式日趨簡化，可以布置在各種場景，如門禁、樓宇、乘車、購物支付，利用人體固有的生理特性(如指紋、面貌)和行為特征(如筆跡、聲音、步態等)來進行生物認證。

3 應用物聯網數據開展泛信用服務的風險

物聯網數據的廣泛性為信用服務提供了豐富的信息來源，讓信用機構能夠充分了解人們生活的各種方面，但與此同時也讓生活中的個體“無所遁形”，信用主體的合法權益保護難度也隨著信息收集的隱蔽化和全面化而不斷提高。

3.1 身份泄露與偽造

物聯網移動終端的個人信息保護是物聯網征信首先要解決的問題。 2019 年“3·15”晚會曝光了一款黑科技產品——“探針盒子”，當個人的手機無線局域網處于打開狀態時，會向周圍發出尋找無線網絡的信號，“探針盒子”發現這個信號后，就能迅速識別出用戶設備的MAC 地址。 部分商家依靠該產品在附近居民毫不知情的情況下收集用戶的設備信息，與其他渠道已關聯手機號碼、個人標簽的設備信息進行關聯，借此對附近居民進行精準營銷。

設備自身狀態與屬性也可能會被攻擊者惡意更改與損壞，如物聯網設備的IMEI 碼面臨篡改、偽造風險，操作系統安全風險以及SIM 卡復制產生的盜號問題等也會危害信用主體的個人信息保護。 除此之外，郭陳陽[10]研究認為手機位置信息也是一種隱私信息，近年來移動手機的操作系統平臺和軟件開發公司對手機位置的收集獲取也愈加肆無忌憚，需要對此進行妥善保護。 與手機位置信息類似的還有車聯網中車輛軌跡數據，高澤民[11]研究了車聯網中車輛軌跡數據，認為車輛軌跡是一種敏感信息，與駕駛員有強關聯，一旦泄露會影響人的正常生活。

3.2 過度監控

音箱Alexa 是亞馬遜的一款智能產品，它可以對其他設備發出命令，在收到“Alexa，打開燈”的命令后，軟件會向燈泡制造商的服務器詢問燈泡的當前狀態，在確認開關為關閉狀態后，Alexa 會開啟開關來打開指示燈。 亞馬遜在某些情況下要求燈泡制造商調整控制代碼，讓燈泡必須隨時向智能音箱報告其狀態。 但實際上亞馬遜一旦獲取到這些看似微不足道的設備狀態信息，便可以利用此做很多事情，例如可以推論出用戶一些隱私信息，比如用戶什么時候回家，用戶是否有熬夜習慣等。

諸如此類的以“必要信息收集”為借口的過度采集行為數見不鮮，如視頻軟件訪問通訊錄、移動播放器攜帶定位模塊等。 智能音箱收集用戶語音指令等信息這本無可厚非，但是強行與其他設備交互，并獲取其信息，主動探測周邊環境，這是一種偷盜行為，是過度監控的表現。

3.3 未盡充分告知義務

消費者享有知情權和選擇權，這是法律規定由接受商品或服務一方享有并因提供商品或服務另一方的告知義務而產生的相對權[12]。 正常情況下，消費者有權要求經營者提供商品的產地、生產者、用途、使用方法等服務的有關情況。 但現在許多物聯網終端都會將隱私侵害操作通過服務條款合法化，并將其設置為“默認操作”，造成用戶在不知情的前提下盲目同意合作條款，并引發實質性侵害。

2019 年一則有關于APP 隱私偷窺且未盡告知義務的報道引起了大眾的警惕與探討[13]。 報道中的媒體人員對一些社交APP 進行測試，在移動終端關閉了訪問聯系人、定位、錄音、照片等權限的情況下，社交APP 仍能對新注冊用戶進行符合其近期聊天記錄內容的廣告推薦，甚至在其他跨平臺的電商軟件上也可以看到相關廣告推薦。 這些用戶不易察覺的信息比如聊天記錄、搜索記錄等均可以在用戶不知情的情況下被相關軟件獲取利用，軟件內的關閉設置也被積極隱蔽，導致用戶不知曉相關條款且無法關閉軟件設置，知情權和選擇權遭到嚴重損害。

3.4 缺乏數據傳遞規范

傳統征信數據匯集于銀行、政府機構，數據的來源與去向穩定可控，數據擁有方具有較強的掌控力。 物聯網的數據流轉具備特殊性，物聯網終端分布廣泛，來源領域不同，每個終端都具備信息采集能力；其次多數物聯網所采集的信息并不是在終端進行計算和決策，需要傳輸到中心平臺，甚至合作伙伴方進行處理。物聯網數據的收集、流轉、保存均存在一定程度的分散性，同時又數量巨大，在數據掌控方面無法做到面面俱到。

傳統征信數據擁有方一般擁有較強的社會公信力，且具有數據使用權限，不需要將數據進行多方流轉。 但物聯網數據擁有方多為數據收集云平臺，不具備征信業務能力，需要將數據傳輸給他方進行數據利用。 當征信需求方傳遞數據時，確定其是否擁有數據獲取權限也是需要解決的問題。 例如在向保險公司索賠時或者雇主決定是否雇傭時，可否使用這些物聯網收集到的信息？ 數據流動如何設置合理的規范使傳遞更安全？ 這些問題導致物聯網數據應用于征信服務存在許多潛在的應用風險。

4 物聯網數據信用隱私保護制度初探

上述幾種物聯網數據開展泛信用服務的風險在不同程度上都對用戶的個人隱私進行了侵犯。 如何保護用戶隱私，建立有效的信用數據隱私保護制度是當前需要迫切解決的問題。 本文嘗試對此進行初步探討，從兩個角度對物聯網數據信用隱私保護體系的建設提出建議。

4.1 區分不同主體

物聯網數據在流動中會涉及多個不同的主體，各參與主體所扮演的角色有所不同，獲取到的數據使用權限、面臨的數據隱私侵犯風險、所需的數據保護手段均有所差距。 因此建設物聯網數據信用隱私保護體系，第一步即需要理清數據流動和使用過程中的參與主體。

歐盟的《一般數據保護條例》[14]將數據流動的參與主體分為信息控制者和信息處理者。 信息控制者指能夠決定個人數據處理目的和采用方式的單獨個體或者群體，包括個人、公司、法律實體。 信息處理者是指代表數據控制者進行處理個人數據的個體或群體。 我國在2019 年1 月發布的《個人信息安全規范（修訂草案）》中也有相應描述，但僅有“個人信息控制者”的概念，并未區分控制者和處理者。我國的《網絡安全法》則明確了公民個人信息保護中的三個角色：作為個人信息使用方的網絡運營者、作為個人信息被保護方的公民個人、監管機構。

物聯網中，信息處理參與主體是多元化的，包括設備生產商、應用程序開發商、應用程序下載平臺、第三方主體[15]。 設備的生產商不僅向用戶直接銷售產品，并且開發設備的運行系統或事先在物品上安裝功能軟件，以此收集與設備相關的信息。 設備生產商決定了收集信息的目的和工具，因而是“信息控制者”。應用程序開發商為用戶開發應用程序，并在智能手機上運行程序，決定了在智能設備上處理個人信息的目的和方法，是“信息控制者”。每一款廣泛適用的智能設備都有其各自的應用程序下載平臺，付費下載軟件時要求用戶提供名稱、住址和財務信息，這些具有可識別性的信息可能與設備唯一識別符相結合，使得應用程序下載平臺成為“信息控制者”。其他參與處理的第三方包括廣告商、通信服務供應商等，與其他主體相比，可能發揮兩種作用：一是為應用程序的擁有方執行操作，并非為其自身的目的處理資料，只是作為“信息使用者”；另一作用就是在應用程序中收集信息，以提供額外的范圍更廣的分析服務。 如果第三方為其自身的目的而對個人資料進行處理，那么他們就是“信息控制者”。

4.2 區分不同數據類型與隱私場景

數據流轉的參與主體需要進行區分，流動中的數據本身也扮演著不同的角色，并非所有的數據都是需要進行妥善保護的隱私數據，也并非所有被聲稱需要保護的“隱私”都是合理的隱私。

物聯網信用數據可以分為幾種不同的類型：身份、基礎數據、增值數據、個人敏感信息、隱私數據。 身份是指由政府、平臺、生產廠商等賦予個人、設備的統一身份信息，如身份證、平臺賬號、設備號等。 基礎數據是指數據呈現的事實或觀察的結果，用于表示客觀數據的未經加工的原始素材，包括但不限于行為記錄(交易、日志等)、服務傳遞數據、賬號行為人相關數據等。 增值數據是指對原始素材進行歸納、總結、分析等得到的可用來輔助決策的特定數據，例如征信報告、用戶畫像等。個人敏感信息是指一旦被泄露、濫用時可能危害個人信息財產安全，使得個人利益受損的信息。 隱私數據是指數據主體不愿被他人知曉的數據，隱私的期待有兩種：一是主觀期望，某人認為某事是隱私的；二是客觀的群體期望，被社會普遍認可。 只有當事人處于某一空間時主觀上期望，同時這種期望又被大眾普遍認為是合理的，這種隱私數據才可被稱為合理隱私數據。

對于物聯網數據信用隱私保護，應該在對數據進行分類分級的基礎上，結合數據去標識化、數據脫敏技術對數據進行處理。 需要注意的是，在當下數據體量呈現爆發式增長的萬物互聯時代，這些技術手段的處理能力是有限的，從海量數據中找出真正面臨隱私侵犯危險，確定數據的保護范圍是數據保護技術的首要前提。 以數據去標識化技術為例，在第一個步驟確定去標識化對象與安全目標時[16]，便可將保護范圍限定為上文所提到的三種關鍵數據：身份、個人敏感信息、隱私數據。 身份數據可能包含個人敏感信息，如身份證號碼，這些數據的重標識風險和數據可用性通常較高，可采用屏蔽、隨機等數據變換方法。 個人敏感信息的判別標準較為模糊，會根據實際情況改變，其數據價值也會伴隨業務場景發生變化，具有很強的場景性，因此可根據場景需求隨時變更安全策略。 而對于隱私數據而言，其需要保護的程度與被侵犯的風險都比其他數據類型高，需要輔以數據加密、訪問控制等技術確保其安全。

4.3 小結

上述兩種區分方式具有一致的目的，本質上都是對物聯網信用數據的采集、存儲、流動與使用過程進行更進一步的細化與規范，避免傳統管理準則下模糊不清的隱私侵犯界定標準，從而確定數據權屬，劃定責任邊界，建立起合理的頂層規劃和數據應用安全框架。

但與此同時，上述兩個角度也具備不同的特點與適用情況。“區分不同主體”從數據市場參與者的角度出發，可隨時結合數據生產流通的實際場景進行改動與調整，例如根據數據作為生產資料或作為實體類產品兩種交易形態對數據主體進行更為詳細的劃分。 同一主體的角色在不同場景下也會在生產市場、運營市場和交易市場包含的各種角色中進行轉變，需要根據主體角色的變化選擇合適的隱私保護策略，例如當作為信息收集者時須遵循“最小必要收集”原則，當作為信息控制者時需要對數據進行分區及生命周期管理等。 “區分不同數據類型與隱私場景”從數據本身出發，體現出數據隨著加工、挖掘程度的加深造成的關于隱私的不同性質。與上述區分主體的角度類似，同一數據在不同場景下可能扮演不同的角色，例如電話號碼在日常生活中只是個人的基本信息，需要進行通訊的人員均可以獲取；但在特殊時期如疫情期間來自疫情風險地區的號碼持有者可能會遭受歧視。

傳統方法武斷地以產權制度和信息保護來阻斷數據流動和使用是不科學且不實際的，當從新角度來看待隱私保護時，同樣也不能利用單一且固定的方法來劃分主體與數據，在實際應用中要結合兩者，根據情景對隱私侵犯界定標準進行妥善的調整，結合現實社會活動的實際數據應用需求和利益相關者的保護預期，來指導具體的業務實踐，實現動態、持續、可迭代的數據安全管理。

5 結論

誠信體系建設和物聯網作為重要國家戰略逐步推進，泛信用體系的構建占有重要地位。 物聯網數據與大數據征信技術的契合造就了物聯網數據支撐社會治理現代化的廣闊前景，不僅催生了小額貸款反欺詐、個性化風險定價、社會管理、認證服務等物聯網泛信用體系，更為Society5.0 社會的管理架構和治理體系建設提供了思路。 但物聯網信息收集的隱蔽化和全面化會對個體隱私保護和財產利益造成不同程度的影響，需要建立數據信用隱私保護制度，區分不同的數據流動參與主體、不同數據類型與應用場景，對合理的用戶隱私加以妥善保護。