個(gè)人信息安全誰來守護(hù)

——智能家居市場質(zhì)量觀察系列報(bào)道之三

□ 本報(bào)記者 徐建華

當(dāng)你和朋友剛討論完新出的衣服款式，下一秒打開手機(jī)里的智能音箱App，就看到相關(guān)產(chǎn)品資訊推送；原本用來照顧老人或孩子的智能攝像頭，卻成為陌生人窺探家里隱私的“窗口”……這些看似不可思議、近似電影情節(jié)的案例正在變?yōu)楝F(xiàn)實(shí)。隨著設(shè)備聯(lián)網(wǎng)愈加普遍，智能家居產(chǎn)品為消費(fèi)者帶來舒適便捷的同時(shí)，也對(duì)消費(fèi)者數(shù)據(jù)安全和隱私保護(hù)構(gòu)成威脅。廠商和個(gè)人如何保護(hù)數(shù)據(jù)安全，成為行業(yè)發(fā)展的焦點(diǎn)問題之一。

智能家居產(chǎn)品的信息安全的確是個(gè)問題。因?yàn)橹悄芗揖赢a(chǎn)品的功能基礎(chǔ)是互聯(lián)網(wǎng)、物聯(lián)網(wǎng)，依托的是大數(shù)據(jù)、云計(jì)算等技術(shù)，在這個(gè)過程中不可避免地會(huì)產(chǎn)生信息泄露的問題，用戶的身份證、姓名、手機(jī)號(hào)、家庭地址、銀行卡號(hào)等個(gè)人信息都有可能在使用智能家居產(chǎn)品中遭到泄露。資深產(chǎn)業(yè)經(jīng)濟(jì)觀察家梁振鵬接受《中國質(zhì)量報(bào)》記者采訪時(shí)表達(dá)了這樣的看法。

信息安全存隱患

近些年，智能門鎖、智能攝像頭、智能家電等智能家居產(chǎn)品加快走進(jìn)千家萬戶，在推動(dòng)市場規(guī)模不斷擴(kuò)大的同時(shí)，也使得信息安全問題浮出水面。

TüV萊茵大中華區(qū)工業(yè)服務(wù)與信息安全總經(jīng)理趙斌告訴記者，在信息安全方面，智能家居產(chǎn)品通常會(huì)出現(xiàn)4種問題：個(gè)人隱私的泄露，近幾年消費(fèi)者主要關(guān)注攝像頭和收音設(shè)備這類比較明顯容易出現(xiàn)個(gè)人隱私泄露問題的產(chǎn)品；產(chǎn)品被操縱造成安全問題；財(cái)產(chǎn)損失，如安全門鎖出問題，發(fā)生入戶盜竊；產(chǎn)品不能正常使用。

實(shí)際上，目前已有多款智能家居App因違規(guī)收集個(gè)人信息被通報(bào)或下架。這些智能家居App的數(shù)據(jù)隱私政策明確，設(shè)備將收集包括且不限于用戶個(gè)人基礎(chǔ)信息和生物識(shí)別信息，如語音、人臉、指紋、聲紋、虹膜等；同時(shí)，還會(huì)記錄某些不屬于個(gè)人信息的信息，包括用戶的操作行為記錄，如點(diǎn)擊、頁面跳轉(zhuǎn)、瀏覽時(shí)間等。除此之外，不同品類的智能家居產(chǎn)品還有各種特定的數(shù)據(jù)收集內(nèi)容，如掃地機(jī)器人可能會(huì)收集用戶的家庭地圖、房間場景、用戶圖像等。

“保護(hù)智能家居產(chǎn)品用戶的信息安全首先要立法，從法律層面嚴(yán)厲打擊信息泄露。現(xiàn)在已經(jīng)有一些相關(guān)法律，還需要不斷地完善法律的各種規(guī)定和漏洞。對(duì)廠商有意無意或由于技術(shù)故障導(dǎo)致用戶信息泄露的行為，要進(jìn)行嚴(yán)厲的法律懲處和打擊。這樣，才可能讓用戶的信息安全得到保障，僅靠廠商自覺很難做到保障用戶信息安全。”梁振鵬說。

標(biāo)準(zhǔn)規(guī)范信息安全保護(hù)

針對(duì)用戶信息安全保護(hù)，在全球政策法規(guī)方面，歐洲正在逐步推進(jìn)相應(yīng)的立法實(shí)施。GDPR（通用數(shù)據(jù)保護(hù)條例）自2018年5月強(qiáng)制執(zhí)行以來，僅2023年，歐盟就對(duì)違反GDPR法規(guī)的相關(guān)企業(yè)開具了約20億歐元罰款。從國內(nèi)來看，近年來，在國家陸續(xù)出臺(tái)的網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等眾多基礎(chǔ)性法律框架下，國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)持續(xù)細(xì)化。

目前，我國已經(jīng)制定的相關(guān)國家標(biāo)準(zhǔn)主要有：GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，專注于個(gè)人信息的保護(hù)，確保個(gè)人數(shù)據(jù)的安全；GB/T 41387-2022《信息安全技術(shù) 智能家居通用安全規(guī)范》，規(guī)定了智能家居安全通用技術(shù)要求和對(duì)應(yīng)測試評(píng)價(jià)方法，為智能家居企業(yè)產(chǎn)品安全性提升提供實(shí)質(zhì)性指導(dǎo)；GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》，涉及數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)出境安全評(píng)估、數(shù)據(jù)處理者的責(zé)任、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)安全事件處理等方面；GB/T 40979-2021《智能家用電器個(gè)人信息保護(hù)要求和測評(píng)方法》，規(guī)定了生產(chǎn)企業(yè)應(yīng)當(dāng)針對(duì)智能家用電器采集、傳輸、存儲(chǔ)等過程中可能存在的個(gè)人信息泄露風(fēng)險(xiǎn)進(jìn)行評(píng)估，且企業(yè)需要按標(biāo)準(zhǔn)規(guī)定的信息保護(hù)測試內(nèi)容和方法進(jìn)行產(chǎn)品測試；GB/T 41789-2022《智能家用電器的通用安全技術(shù)要求》，針對(duì)固件和操作系統(tǒng)安全、應(yīng)用安全、通信安全等信息安全作出規(guī)范化要求。

“從檢測認(rèn)證機(jī)構(gòu)的角度，TüV萊茵主要提供兩個(gè)方面的服務(wù)，一是對(duì)企業(yè)的網(wǎng)絡(luò)安全管理體系進(jìn)行認(rèn)證，二是對(duì)產(chǎn)品進(jìn)行評(píng)估。”趙斌建議，企業(yè)應(yīng)建立規(guī)范的安全開發(fā)管理流程，從對(duì)開發(fā)人員進(jìn)行安全培訓(xùn)、編寫安全設(shè)計(jì)文檔、使用安全編碼技術(shù)、應(yīng)用安全工具、安全測試、安全審核、對(duì)安全相關(guān)的資產(chǎn)文檔和信息存檔、安全部署以及對(duì)第三方的軟件管理等方面，管控產(chǎn)品全生命周期的安全性。

“通過標(biāo)準(zhǔn)規(guī)范護(hù)航智能家居產(chǎn)品信息安全，應(yīng)從設(shè)計(jì)階段、生產(chǎn)階段、銷售和使用階段全面進(jìn)行規(guī)范，如設(shè)計(jì)階段就要求考慮信息安全，包括數(shù)據(jù)加密、訪問控制等技術(shù)措施，以及隱私政策的明示和用戶同意機(jī)制?！敝袊鴺?biāo)準(zhǔn)化協(xié)會(huì)家居建材質(zhì)量專委會(huì)副主任委員周妍玥認(rèn)為，應(yīng)該通過用戶教育、安全更新、第三方審核以及法律監(jiān)管等多種措施，有效提升智能家居產(chǎn)品的信息安全水平，保障用戶的個(gè)人信息和數(shù)據(jù)安全。

《中國質(zhì)量報(bào)》