left-caret

律师作者

自我鞭策的乌龟会赢得赛跑:妥善管理快速革新的物联网隐私和安全

January 18, 2017

By Paul Hastings Professional

责声明:此文的英文原文最初刊登于彭博BNA普衡律师事务所已获得彭博授权翻译此文,彭博对翻译内容概不负责

由于物联网几乎连接了所有的东西,所以它正在全世界范围内改变着我们生活、互动、经商以及活动的方式。急速膨胀的数据数量和类型以及其共享的方式衍生出了大量的商业机会、法律挑战以及伦理问题。对现今的公司而言,需要有创新的思维和经验丰富的法务人员来协助,才能在错综复杂和不断演进的物联网大背景下开拓新的发展之道

物联网有关数据

物联网一般是指将设备、汽车、建筑物,以及日常物品接入互联网,并可发送、接收、收集数据。从智能家居和建筑,到车联网、医疗设备、个人健身器材、新型支付系统和技术、以及其他有趣的新型产品,这些设备的数量正在爆炸式增长。

  • 美国联邦贸易委员会指出,五年之前全球互联设备的数量就已超过全球人口总数。

  • 截至2015年,全球共有250亿个互联设备。

  • 高德纳咨询公司预测,到2020年时,互连设备的数量将会增长5倍。

    我们被越来越多的智能互联设备包围,囊括了从健身手腕到智能家电的所有物品。它还覆盖了能源输送网络,以及工厂、数据中心和医院中计算机之间的交互。物联网设备和技术将使我们摆脱琐碎的工作,主动代表我们进行沟通,并孜孜不倦地提高我们的健康、财富、安全和保障水平。物联网使新型的商业模式成为可能。每家企业不论新旧都将会掌握空前数量的数据,并有可能因此而提高效率、改善决策制定。毋庸置疑,物联网会轻而易举地改变我们的生活方式。

我们被越来越多的智能互联设备包围,囊括了从健身手腕到智能家电的所有物品。它还覆盖了能源输送网络,以及工厂、数据中心和医院中计算机之间的交互。物联网设备和技术将使我们摆脱琐碎的工作,主动代表我们进行沟通,并孜孜不倦地提高我们的健康、财富、安全和保障水平。物联网使新型的商业模式成为可能。每家企业不论新旧都将会掌握空前数量的数据,并有可能因此而提高效率、改善决策制定。毋庸置疑,物联网会轻而易举地改变我们的生活方式。

但是,随之而来的是一些严重的风险。

平衡隐私、安全(以及伦理)与便利

物联网有关的法律和实务方面的挑战很少涉及其自身的设备和配件,而更多地涉及授权收集我们的数据以及成为我们的代理人后,而带来的意想不到的后果。物联网的风险体现在各个方面,比如:

汽车:允许自动驾驶的汽车选择最便捷的路径来送我们上班,可能会是一件美妙的事。直到有一天,它把我们带入一个危险的街区,或者软件在我们尚未做好准备控制方向盘时出现了故障,抑或是第三人侵入汽车控制技术来控制我们的汽车。那么,无人驾驶汽车早晚会引发重大交通事故,促使法院来决定是由所有人、制造商、还是软件开发者来承担责任。从道德的角度来看,究竟是谁设计了汽车的软件代码,在选择“撞向一辆载有一对老夫妇的汽车”还是“撞向行走在路边的小孩”中做出伤害最小化的“苏菲的选择”?

家庭:当你抵达家门,车库已经为你打开,同时光度和热度都已调节到你所偏好的状态。这样的好处是便捷和节能。但若是处理不当,同样的技术可以将你的进出行踪实时地告知窃贼,并有助于他们跟踪你的习惯,以及预测你何时不在家。

建筑物:通过检测人们何时在办公室,以及周围的光照和天气状况,智能建筑可以通过控制照明和温度来节能,同时加强物理安全监控。然而,没有适当的保护措施,监控系统可能会捕捉到隐私、个人图像。亲密关系的员工可能会发现自己的隐私被侵犯,同时,大楼业主可能会发现他们拥有太多的个人信息。

城市规划:当今的地方政府常常会关注和倾听市民的意见,这使政府能提供更多使市民受益的服务,比如预防犯罪,交通管制,但也有可能让人想起“1984”(注:《1984》是英国作家乔治•欧威尔(George Orwell)创作的一部小说。此处用于比喻政府实行秘密监视的极权主义或独裁状态)。

医疗设备:基于互联网的葡萄糖控制器和心脏起搏器已帮助病人更好地检测和管理身体状况。美国食品和药品管理局为此建立了网络安全评估标准。但是,那些可以在保护系统中发现漏洞的黑客们,能够使这些设备变成致命武器,例如,使病人心脏停止跳动,或提供过量的胰岛素。

这些不只是假设或潜在的威胁。3月17号,美国联邦调查局向消费者发出了警报,提醒他们注意汽车内部的电脑技术的网络安全风险。2015年7月,美国汽车公司克莱斯勒召回140万辆汽车,因为安全研究者证明他们可以通过物联网操纵一辆在高速公路上行驶的吉普车。同样,美国密歇根大学的网络安全研究人员们能够侵入智能家居的自动化系统,进而可以打开被测试的家居系统的大门。此外,上个月从家庭路由器到网络摄像头等一大批通过物联网连接的智能设备被劫持,导致了规模最大的网络分布式拒绝服务攻击,同时也使一些大规模的网站瘫痪,包括推特和其他社交媒体。大部分联网设备常常得不到保护或很少受到保护。一个大规模的关键性漏洞,意图利用如此大规模的、极具破坏性的计算能力来对抗我们或者国外的政府,将会越来越会扰乱我们的商业秩序或以其他方式扰乱我们的生活。

物联网风险分类的一个三点框架

尽管许多人纠结或关注机器自主学习和物联网所引发的伦理问题,发明者、企业家和立法者需要一个共同的概念来合理地讨论和管理物联网风险。从我们与客户合作的各种经验表明,物联网带来的最突出的隐私和安全风险(以及相关的分析和机器自主学习优化) 可以大致归类为以下三种:

级别一:直接行动或反应。物联网代替人类完成任务,比如在你离开房间时关灯,或者吸尘器通过自动传感设备感知地毯或房间的边界从而进行清扫。

级别二:委托决策和机器自主学习。你告诉你的汽车:“送我回家”。它需要基于实时的交通信息、你熟悉的路径和偏好、以及对路况、位置、交通规则进行解析,进而运行一系列复杂的操作。

级别三:与第三方的信息共享和设备之间的交互。与第三方收集和共享的数据会告知父母孩子何时会到家,或者在你出差时提醒你在该地区有你最喜欢的酒店。同样地,数据可以在设备与设备之间共享有助于更好的自主决策,以及对设备、车辆和行人的追踪。

物联网发明者会继续发问:“哪里会出错呢?”

便捷、可怕还是酷炫

针对你的创新,还有其它需要问的问题,比如:“消费者会有什么反应?”“监管机构会有什么反应?”。在消费者认为何为便捷与何为“可怕”或何为“侵犯隐私”之间有条分界线。简单来说,这条分界线常常是他们对于这种便利和隐私的交换是否充分知情。监管机构也将关注你对物联网隐私和安全等问题的管理和处置。

当然,你需要知道有关你的产品的监管机制是什么。例如,你可能会惊异地发现应该归类于运动式可穿戴设备的产品其实属于医疗设备,因此而受到更加严格的管制。

我们也许不能十分准确地预测消费者和监管机构的反应,但可以通过以下做法来达到减轻风险的最佳效果。

如何准备:综合性策略的价值

了解技术的法律和咨询公司已经帮助客户从先前的技术革新浪潮中逐步过渡到物联网时代。我们可以从电子商务、移动支付以及其他数字服务所面临的棘手难题中汲取经验。围绕物联网的网络安全和个人隐私问题与那些研究社交媒体或者点播收视习惯产生的数据,从而可以了解你的政治、性别和产品爱好所面临的问题是一样的。共同的问题在于:获取之前不可获得的数据和信息可以预示市场和产品的发展,然而,特别是在不当使用的情况下,也可能成为一个雷区受到消费者和监管机构的强烈抵制。

尽管有相似的地方,但是物联网产品仍有许多不同之处需要更加综合化的策略进行处理。

由于物联网创新涉及众多的法律领域,公司因此需要接触多个法律部门:专利保护、知识产权、隐私和网络安全、合规监管、诉讼、金融、生态协定等等。考虑到紧张的产品开发周期,公司需要在同一时间解决所有的这些法律问题。

物联网迫切需要咨询专家、法律学科以及专业知识(例如汽车、医疗设备、消费类电子制造)的整合。例如,除了依靠于凭直觉判断数据是否滥用的律师,一个理想的团队还应包括切实了解如何收集、操作和对照数据的科学家。除了时刻准备在因产品缺陷引起的死亡或数据外泄而引发的官司中为公司辩护,团队还应寻求那些可以在产品投放之前审核实施情况以及检测产品缺陷的产品安全和网络安全专家。此外,有关机器自主学习和衍生数据应用的伦理问题,你会请谁来处理呢?

如何打造竞争优势:针对“下一代技术”的五个“下一代理念”

由于众多公司想要在该领域建立竞争优势(或至少保持同步),因此在2016年和2017年里我们看到许多公司针对隐私和安全开始进行规划并启用新的方法。这使未来的物联网使用、增长以及蓬勃变成可能。具体而言,公司将不得不随着其技术和应用的发展,更新隐私通告或政策、第三方的信息共享权利和合同保护,以及其他关键性措施将以下五个新理念纳入其中,从而充分享受物联网的优势。

  1. 个人信息引入“光环数据”概念以替代数据元素

世界各地的大多数法律把“个人信息”定义为敏感的个人信息的数据元素(例如社会保障、信用卡、银行账户、借记卡卡号),而不是由物联网、检测技术以及分析推论产生并使用的信息。然而,许多公司开始期待隐私定义的新篇章,并已经开始识别和管理“光环数据”(光环数据是指随着我们移动、互动和做出决策时而产生数据)。

  1. 物联网决策范畴内的注意事项和选择模式

    行业内正发展出新的通知和选择模式。它可用来阐释物联网应用和技术可预见的行动、决策以及信息分享的范围。

  2. 许可机构的联合网络平台

    新的许可方式允许代理商为信誉良好的经销商、服务商以及平台上搭建网络联合平台,从而根据用户的体验和反应做出相应决定和自我优化。

  3. 新型隐私影响评估以及从设计入手保护隐私的方法

    鉴于不断监测、意想不到的后果、物联网信息使用的可能性以及广大的支持物联网的第三方,旧式传统的隐私影响评估以及从设计入手保护隐私的方法将不得不进行大幅调整,来适用于物联网。

  4. 更好的网络安全警戒

提高全体使用者的网络安全防护性能至关重要,因为物联网隐私安全往往取决于最薄弱的使用者的防护能力。

最后的思考:怎样避免被终点线绊倒而前功尽弃

无论是大型企业或是最小规模初创公司的创新者都面临压力力求更快地采取行动。在物联网时代,产品生命周期只会不断缩短。采取行动过慢,会令你错失机会;行动太快,可能会产生空前的灾难。

总而言之,采用综合性的策略非常关键,因为律师事务所可能不精通技术,而咨询公司可能不了解法律风险。一张万无一失的物联网路线图,最好将其设计成一场通向市场的马拉松,而不是简单的短跑比赛。

Click here for a PDF of the full text