物联网智能家居隐私挑战与治理框架

物联网使能智能家居系统的隐私

摘要

数字生态系统正经历着变革时期，这得益于物联网（IoT）等技术的进步以及成本更低的硬件传感器的广泛普及。在本章节中，我们将介绍物联网在不同行业领域中的当前新兴趋势，并探讨阻碍物联网在智能家居上下文中充分发挥潜力的关键隐私挑战。现有大多数关于物联网智能家居平台的研究文献主要关注更智能的互联设备所提供的功能，但并未从消费者的角度出发解决相关顾虑。因此，关键问题在于：与物联网相关的隐私问题有哪些，特别是从“智能家居设备”消费者的视角来看？现有的隐私管理补救措施有哪些？本章节提出一个框架，以协助智能家居用户和物联网设备制造商做出知情的隐私管理决策。本研究的成果旨在帮助关注物联网赋能智能系统隐私问题的从业者和研究人员。

关键词： 物联网, 智能传感器, 数据治理, 隐私, 框架

引言

在过去的几年中，我们观察到针对医疗保健、智能家居、制造业和农业生态系统等产业和生态系统的物联网应用（IoT applications）日益受到关注。目前预计，全球已安装约160亿个物联网设备，产生海量数据。根据弗罗斯特与沙利文（Frost and Sullivan）的预测报告，互联设备的数量预计将在2024年超过600亿台。来自不同传感器的收集的数据正被越来越多的组织用于获取数据驱动的商业洞察。

物联网的发展得益于硬件传感器成本降低、IPv6、无线覆盖、智能手机以及中央处理器处理能力等技术的进步[3]。尽管全球范围内物联网的应用较为广泛，但采用该技术的解决方案成熟度参差不齐。在本章节中，我们重点介绍构成物联网的各个组成部分、物联网的发展历程以及与隐私相关的问题。我们特别关注物联网在智能家居上下文中的应用。

物联网生态系统建立在多种底层技术的基础之上，例如感知（传感器和执行器）、连接性（移动）、分析和计算。一个典型的物联网生态系统包含以下阶段[4]。

• 设备配备了电子设备、软件、执行器和传感器。它们可以是电池供电、电力驱动或使用RFID收发器。设备从环境中收集原始数据。每个设备都有一个唯一可识别地址，并具有不同的计算能力和复杂性。

• 从设备收集的数据由应用程序处理。

• 利用无线网络、Zigbee、近场通信、蓝牙、蜂窝网络（ 2G/3G/4G/5G）和低功耗广域网等多种连接技术传输数据。

• 应用程序从不同的设备实时收集数据，以在计算平台上进行存储、处理和分析。

通过强大分析对汇总数据进行处理，从而获得洞察，以支持涉及流程和人员的明智商业决策。

“物联网”这一术语由麻省理工学院（MIT）自动识别中心（Auto‐Id）的凯文·阿什顿于1998–1999年正式提出。凯文提出，互联网连接的RFID技术可用于供应链中，在无需人工干预的情况下跟踪物品[5]。2005年，由于物联网在突尼斯举行的信息社会世界峰会（WSIS）上获得正式认可，这一理念进一步得到推动[6]。

然而，物联网应用的概念可追溯至1982年，当时卡内基梅隆大学开发了最早的物联网应用尝试之一。这台互联网连接的可乐机能够报告所含饮料及其是否冷藏[7]（表1）。

Year	发现
1747	电（闪电）
1819	实用电磁学
1831	法拉第：电磁感应
1873	麦克斯韦：电磁理论
1887	赫兹：无线电波
1895	马可尼：无线电报
1907	无线电的首次公开使用
1911	首个移动发射器（齐柏林飞艇）
1915	首次无线语音传输
1927	首台车载收音机
1928	首次电视广播
1933	首部移动电话（德国，车载）
1950年代	UNIVAC(通用自动计算机) IA大型计算机
1958	首部手持移动电话
1961	云计算先驱（约翰·麦卡锡）
1969	互联网先驱（阿帕网）
1973	第一代蜂窝移动通信（NTT，日本）
1981	首个无线物联网连接（可乐机，GSM）
1982	国际互联网
1988/89	万维网
1990	第二代蜂窝移动通信（GSM）
1991	蓝牙
1994	无线网络（澳大利亚联邦科学与工业研究组织，电气与电子工程师协会）
1997	3G蜂窝移动（通用移动通信系统）
1998	4G蜂窝移动（长期演进技术）
1999	物联网术语提出
2005	联合国提及物联网
2008	5G蜂窝移动
2008	云计算术语提出
2012	思科推出雾计算
2020	行业预计全球将有200亿个物联网设备

表1. 物联网演进（改编自[3, 8, 9]）。

行业	用例
智慧城市	智能垃圾桶通过智能传感器和路线优化提供智能废物监控技术[10].
交通	西班牙铁路运营商RENFE使用西门子高速列车并监控列车开发异常模式并将其发送回去进行检查，以防止故障发生轨道[11]
农业	森米奥斯使用传感器和机器视觉技术来跟踪害虫种群果园、葡萄园和其他农业环境[12]
金融领域	前进保险公司使用快照来确定汽车驾驶员的保险费[13]。
医疗保健	阿比立非麦克赛特（含传感器的阿立哌唑片）内置有可摄入传感器记录药物已被服用的药片[14]。
政府	美国市政当局已为整个城镇的居民和商业用水表实施智能仪表监控。该项目包括在66,000台设备上安装水表传感器，这些设备过去需要人工读取和记录[15]。
公用事业	美国石油和天然气公司正在利用物联网优化油田生产。在此物联网示例中，该公司正在使用传感器来测量石油开采速率。温度、井压等21,000口井的数据[15]。
环境	自主帆船和水上飞行器已经正在海洋中巡逻并执行任务先进的传感器仪器，收集有关北极冰层变化的数据[16]。

表2. 物联网应用

尽管不同行业领域对物联网应用的兴趣日益增长，但在采用过程中仍存在挑战。关键问题包括：与物联网相关的隐私问题有哪些，特别是从“智能家居设备”消费者的角度来看？现有的隐私管理补救方法有哪些？本章节旨在解决上述问题。本章节其余部分结构如下：第2节介绍物联网的各种隐私问题，然后在第3节提出一种从消费者视角应对物联网问题的新框架。接着在第4节对该框架进行初步验证，最后在第5节得出结论。

2. 物联网隐私文献综述

克拉克将隐私定义为个人对维护一个免受其他人员和组织干扰的私人空间的关注[17]。隐私问题的一个内在方面是敏感数据（如个人可识别信息（PII））向非预期接收者的泄露。个人可识别信息（PII）包括头衔、名字、姓氏、出生日期、地址和电话号码等详细信息，属于敏感个人信息（SPI）。此外，财务和健康信息以及物联网用户的地理位置也被视为敏感信息。

物联网设备可能会收集包括敏感数据在内的数据，并将这些数据存储以用于后续商业用途。该系统涉及多个利益相关者，包括个人身份信息被收集的客户、开发传感器和其他网络组件的制造商，以及创建物联网移动应用或利用数据获取商业优势的第三方。根据麦肯锡全球报告 2015 [18], ， 消费者对采用基于物联网的系统持谨慎态度，尤其是由于缺乏隐私保护以及数据面临风险。

经济合作与发展组织报告[19]称，隐私事件在数量和复杂性方面都在增加。多篇学术论文也表达了类似的担忧，认为缺乏隐私保护，包括未经授权的监控或窃听[20] ，是个人面临的主要问题之一。

一些研究人员或从业者将隐私与安全混淆。虽然安全涉及控制谁可以访问信息的管理，但隐私主要关注对可以收集哪些数据、谁可以访问哪些信息、何时可以访问特定数据以及数据应保留多长时间的细粒度控制。

保护用户隐私涉及技术、人为和法律方面。其他相关方面也可以考虑。

2.1 智能家居中隐私泄露的潜在场景

智能家居领域包含联网设备，如电视机、恒温器、冰箱、烤箱、家庭安全系统、自主导航吸尘器、清洁和维护设备。此外，摄像头、运动传感器和光传感器也会收集数据。这些数据大多包含私密和/或敏感信息，例如位置、地址、图片和网络访问信息。根据不同的用例，这些数据可能被设备制造商、移动应用程序所有者、第三方供应商或公众访问。涉及数据收集的场景有多种：

• 使用运动传感器、摄像头和GPS追踪器对个人活动进行未经授权的监控。

• 对客户行为的监控。

• 通过可穿戴设备或植入式设备（如阿比立非麦克赛特和蓝牙血氧仪）向公众公开共享健康数据[18]。

• 在未经明确同意的情况下向第三方共享数据（例如，财务、健康、个人身份信息、支付卡信息和地球物理数据）[21]。

• 用户的搜索查询显示其偏好特征（图1）。

在智能家居[22]的上下文中，关于隐私问题的研究贡献非常少。尽管一些研究通过对物联网终端用户消费者进行调查和访谈，探讨了影响隐私的因素，包括数据处理和信息风险[23], ，但没有提出可行的解决方案来解决这些问题。

2.2 物联网时代的隐私法律方面

政府组织从法律方面对物联网安全、隐私和互操作性表现出极大关注。这与那些主张监管机构与物联网设备制造商之间进一步开展合作与对话以制定适当方法解决相关问题的研究相一致[24]。从监管角度来看，一些最重要的立法要求包括医疗保健领域的健康保险可携性和责任法案、供应链管理中的马萨诸塞州风险、加利福尼亚州参议院第327号法案、2017年物联网网络安全改进法案以及通用数据保护条例（GDPR）。

数据隐私要求复杂，并且在不同司法管辖区之间，关于数据的定义以及相关法律/法规存在差异。在欧洲，通用数据保护条例（GDPR）于2018年5月25日生效。GDPR是由欧盟议会、理事会和欧盟委员会批准的一项新法规，旨在在这个新技术进步时代保护欧盟公民和居民的个人数据权利。根据GDPR，组织必须

• 在处理个人数据之前，必须获得明确且积极的同意。这包括金融、经济和健康数据以及在线信息。

• 在发生数据泄露后72小时内通知监管机构和个人。

• 方便客户和员工行使删除数据的权利。

• 赋予客户可移植权，以及增强的访问权和被遗忘权。

• 维护处理活动记录。

不合规实例可能招致高达全球收入2%至4%或2000万欧元[25]的处罚，具体金额取决于侵权情况。通用数据保护条例适用于任何公司，无论其地理位置如何，只要该公司向欧洲公民提供商品和服务并处理其数据，包括物联网生态系统生成的数据。

在美国，加利福尼亚州参议院最近提出了第 327[26] 号法案，允许加利福尼亚州对未在其互联网连接的物联网设备中建立足够安全防护措施的公司提起执法投诉。

设备[27]。它赋予国家权利，使物联网设备制造商对消费者的数据安全承担更多责任。2017[28]年物联网网络安全改进法案要求：（i）物联网设备是可打补丁的，（ii）设备不包含已知漏洞，（iii）设备依赖标准协议，（iv）设备不包含硬编码密码，以及（v）物联网时代的隐私技术方面。

目前，存在不同的隐私增强技术（PETs）来保护隐私。通过访问限制进行预防是保护客户隐私的有效方法。在[29],中，作者提出了使用访问控制列表（ACL）和数据分类模型的概念，根据数据的敏感性对其进行分类，并为每个类别分配标签值。在[30],中，作者提出了使用基于认证机构（CA）的加密来确认传感器真实性的想法。一些作者认为这种方法会增加开销，因此不能作为可行的解决方案。相反，他们建议在数据传输中采用基于混沌的加密方案和消息认证码（MAC）。在最近的一项研究中，来自IT服务公司塔塔咨询服务公司的作者建议，物联网利益相关者可以采用预防性隐私（3P）框架[31] ，以在最终用户中建立信任和信心。

设计保护隐私（PbD）被定义为另一种流行的方法，可将隐私“内建”到信息系统和业务流程的设计中，确保在涉及个人信息的所有举措的开发和实施之前及整个过程中都考虑到隐私[32]。安·卡沃基安博士于20世纪90年代在加拿大首次提出该理念。PbD 是保护物联网环境中个人隐私[31, 33] 关注的重要推荐方法之一。然而，尽管美国联邦贸易委员会（FTC）和欧盟委员会认为 PbD 是有效的[34], ，但并非所有制造商在开发物联网设备和应用程序时都会考虑 PbD。

2.3 物联网时代的隐私的人员方面

根据思科2017年进行的一项调查，“人为因素”（如组织、文化和领导力）在物联网实施成功中占到了75%的比例，高于技术方面[35]。物联网数字生态系统涉及多个利益相关者，例如最终用户、产品供应商、互联网服务提供商、云存储功能以及零售商。如前所述，物联网对消费者的价值的一个重要方面是：聚合来自多个源系统的收集的数据，生成新的知识，并做出基于事实的选择。通过数据利用来增加价值的最佳解释是阿科夫提出的著名的DIKW层次结构[36]。DIKW是一个四层层次结构，包含数据、信息、知识和智慧，每一层都在前一层的基础上增加某些特性。表3展示了物联网上下文中的DIKW层次结构。

层次结构	层级	描述
Data	最基础的层级事实。从物品中收集，用于存储和处理。
信息	计算平台为摄取的数据添加上下文（谁、什么、何地、何时）。
知识	该层回答了数据如何被使用的问题。分析应用于计算平台
智慧	评估对数据使用时机和原因的理解

表3. 物联网上下文中的 DIKW。

3. 以消费者为中心的方法

尽管物联网组织意识到需要采用隐私增强技术并融入设计保护隐私理念，但在如何实施方面却缺乏明确的指导。虽然已有基于设计保护隐私的框架[34], ，但尚未开发出建立审计机制或控制方法系统的具体解决方案（表4）。

物联网服务或产品的生命周期如图2所示。

图3 总结了消费者在最低层级上可采取的保护其隐私的措施。这为进一步的发展提供了一个基础，形成一种物联网隐私工具或框架，可解决消费者在表5中汇总的[31, 40–45]方面的担忧。

4. 提出的框架

如前文所述，现有框架主要适用于设备制造商，并未涉及终端设备消费者。在本章中，我们旨在通过采用四阶段数据治理驱动的4I框架（识别、隔离、检查和改进）来回答表5中提到的问题。4I框架的识别阶段（图4）包含七个关键维度，即风险、合规、政策、流程、人员、数据资产和技术（表6）。

消费者问题	风险因素
谁可以访问这些数据？第三方是否能够访问这些数据？可以从这些数据中推断出什么信息？	未经许可的数据使用 同意，例如垃圾邮件
我的数据会被分享到国外吗？	数据主权限制
如果我的数据遭到泄露，我将如何获知？	数据检测和通知 泄露
此设备是否存在已知的泄露或漏洞？	过时的固件
当我停止使用该产品或服务时会发生什么？	取消授权
可以通过数据追踪我的位置吗？	物理地址的披露
如果我的个人身份信息被泄露，我该怎么办？	密码更新
如何更正我的数据？	过时的信息
我可以获取我的数据副本或访问我的数据吗？	可移植性
我能请你删除物联网收集的我的数字足迹吗服务？	非对齐数据擦除

表5. 消费者在物联网中的关键问题。

识别阶段或阶段指的是关键风险、要求和上下文。隔离阶段指的是利用技术及非技术性风险补救技术防止疏漏的预防措施。检查阶段包含基本工具包，如成熟度模型、审计机制、软件代理，用于从风险和价值视角持续监控、报告和评估物联网数据治理成熟度。最后阶段侧重于持续改进。

4.1 将4I框架应用于隐私上下文

为说明所提出的4I框架在物联网家居环境中的工作方式，本节讨论了一个涉及智能冰箱的用例。目前，当消费者直接从供应商或服务提供商处购买物联网设备时，在开始使用产品、服务或应用之前，他们可能对同意隐私政策（PP）和条款与条件（T&C）的理解非常有限。然而，为提供服务而收集的数据存在多种风险。

例如，智能冰箱可以跟踪我们的食物偏好，并从在线商店搜索和订购食品[31]。根据搜索查询，可以推断出冰箱所有者的各种饮食行为特征。如果这些数据被发送给第三方商家，他们可能会利用这些信息进行不希望的定向广告宣传。如果未获得消费者的明确同意，这可能导致潜在隐私泄露，违反监管法规（图5）。

4I框架的识别阶段用于识别消费者数据在数据供应链中的数据处理者之间共享时可能带来的风险。例如，该阶段会审查《通用数据保护条例》等法律，以了解智能家居用户的数据保护权利[57] ，并确定与隐私和安全泄露相关的风险。与数据保留、与供应商的服务级别协议以及数据管理相关的策略则在框架的绝缘阶段实施。例如，可在用户家庭路由器上安装一个名为checkmyprivacyrules（ CPMRs）的代理，以确保基于搜索查询的隐私政策和《通用数据保护条例》等法律不被违反（图6）。

维度	描述
Risk	风险维度包括影响物联网终端用户和设备的因素制造商。它包含缺乏同意、数据泄露、法律处罚等属性，服务级别协议违规，以及缺乏可升级性、互操作性和安全[20, 41, 48, 49]
合规	包括法律要求（例如，用户同意）、控制措施和操作基线符合规定。存在若干法规，例如萨班斯‐奥克斯利法案、通用数据保护条例、垃圾邮件法案、澳大利亚APP隐私法、与物联网相关的《健康保险可携性和责任法案》和《儿童在线隐私保护法案》[50]。
标政准策和, 原则	此维度涵盖数据从产生到删除的整个生命周期，包括其中的各项内容例如数据共享、数据的可接受使用、数据分类和存储规则。A定义明确且执行有力的治理，提供有利于各方运作的结构通过确保物联网利益相关者遵守公认的伦理准则，保护所有相关方的利益标准[44, 51]
数据资产	描述数据的益处以及数据[52, 53]的显著特征。
流程	定义了各种接口和功能如何交付一个可运行的解决方案[54]。
人员	物联网生态系统中的不同利益相关者及其责任，例如消费者，监察员、政策制定者、物联网设备制造商、物联网云服务提供商、互联网服务提供商和物联网服务运营商。人员维度还包括领导力组织结构[55, 56]
技术	该维度包括硬件基础设施、平台和软件代理通过监控和工作流通知潜在的合规违规[34, 53]。

表6. 4I框架识别阶段的关键维度。

图7 显示了一个屏幕，智能冰箱用户可以在其中设置谁可以访问数据。根据上述设置，智能冰箱可以在以下情况下将数据发送到云
a. 设备已安装最新的固件更新。这可以通过路由器中安装的代理定期从供应商网站获取的固件更新版本进行验证
b. 数据包中的目标地址与外部主机IP地址匹配
c. 同意 设置为“是”
d. 已启用反向代理。这将确保即使互联网服务提供商或企业获得了IP地址，该地址也不准确。

列表1 显示了代理的伪代码。

检查阶段包括定期进行审计审查，以确保流程、系统和数据流的合规性。Inspect阶段可包括自动化数据质量检查和数据访问日志监控。在Improve阶段，通过持续改进来确保持续适应不断变化的数据隐私要求和环境。例如，改进代理以确保软件不仅更新到当前版本，而且使用令牌化技术[59]保护数据，这可能是4I框架最后阶段的结果。

5. 结论

物联网的业务增长潜力毋庸置疑。物联网的进步为健康、能源、交通和智能家居等多样化领域的发展开辟了新的前景。在本章节中，我们对物联网技术及其实际应用案例进行了概述。接着，我们从消费者的角度讨论了物联网中的隐私问题，并回顾了相关工作以及存在的研究空白。随后，我们提出并概述了一个以数据治理驱动的4I框架。最后，我们提供了伪代码，并展示了该4I框架在智能家居冰箱场景中应对隐私问题的适用性。这涉及利用经过时间检验的数据治理原则来制定策略、规则和配置。未来，我们计划在数字生态系统的整体背景下进一步测试并改进4I框架。

CheckMyPrivacyRules (Di)
Di -> 设备_
Rij -> 规则 j 对于设备 Di
开始对于域 D 中的每个 Di
对于每条规则 Rij 如果子字符串(Pi)- = Rij。
传输数据； Else 向用户发送短信/邮件 停止轮询 Di
Endif
结束如果
Di 是“智能家居”中所有智能物联网设备的集合，
Di ⊂ D
Rij 是设备Di离家前应用的规则集j
网络Pi 是 Di 发送给路由器的数据包。

列表1. CPM的伪代码。