王素 黃帥

“全球最嚴(yán)厲個(gè)人數(shù)據(jù)保護(hù)法案”GDPR在歐盟被強(qiáng)制執(zhí)行以來(lái)，建立在數(shù)據(jù)采集、傳輸、存儲(chǔ)和運(yùn)算等數(shù)據(jù)流基礎(chǔ)上的智能與物聯(lián)網(wǎng)產(chǎn)品和服務(wù)首當(dāng)其沖成為“重災(zāi)區(qū)”。在GDPR的槍口下，我國(guó)的智能硬件廠商還能在歐盟合規(guī)合法地做生意嗎？

T?V萊茵作為首家參照歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）推出物聯(lián)網(wǎng)（IoT）產(chǎn)品相關(guān)評(píng)估檢測(cè)服務(wù)的第三方認(rèn)證機(jī)構(gòu)，近日正式發(fā)布《2018年GDPR業(yè)務(wù)發(fā)展白皮書》（以下簡(jiǎn)稱“白皮書”）。本刊記者就以上疑問(wèn)深度采訪了德國(guó)萊茵T?V大中華區(qū)電子電氣產(chǎn)品服務(wù)技術(shù)支持與研發(fā)總經(jīng)理羅黎，他在智能產(chǎn)品和信息安全領(lǐng)域擁有多年實(shí)戰(zhàn)經(jīng)驗(yàn)。他預(yù)計(jì)，未來(lái)隱私保護(hù)有可能成為出口貿(mào)易技術(shù)壁壘中的一個(gè)新增部分，意味著出口企業(yè)需要提前針對(duì)類似GDPR的技術(shù)要求做好充分準(zhǔn)備。

隱私安全成歐盟消費(fèi)者心頭痛

根據(jù)白皮書披露的有關(guān)數(shù)據(jù)，在政策支持、技術(shù)發(fā)展與需求增長(zhǎng)的驅(qū)動(dòng)下，我國(guó)物聯(lián)網(wǎng)（IoT）市場(chǎng)規(guī)模預(yù)計(jì)至2021年可增長(zhǎng)至1.5萬(wàn)億元人民幣。同年，歐盟的IoT市場(chǎng)需求預(yù)計(jì)將達(dá)到2964億元人民幣。這塊巨大的蛋糕將由智能硬件、車載設(shè)備、智能可穿戴、智能醫(yī)療設(shè)備和智慧城市構(gòu)成。觸發(fā)這一巨大市場(chǎng)潛力的首要前提是突破數(shù)據(jù)與隱私安全的行業(yè)瓶頸。

歐盟消費(fèi)者的態(tài)度也印證了以上觀點(diǎn)。一項(xiàng)歐盟境內(nèi)的調(diào)查顯示，在消費(fèi)者對(duì)IOT產(chǎn)品的擔(dān)憂中，智能硬件用戶擔(dān)心隱私泄露（61%）的比例遠(yuǎn)遠(yuǎn)超過(guò)了擔(dān)心黑客攻擊（35%），排在第1位。歐盟國(guó)家中，法國(guó)（72%）、德國(guó)（65%）、英國(guó)（63%）、美國(guó)（59%）和瑞典（44%）為消費(fèi)者擔(dān)心物聯(lián)網(wǎng)會(huì)帶來(lái)隱私泄露風(fēng)險(xiǎn)占比最高的前5位國(guó)家。

“在與我國(guó)智能硬件廠商接觸的過(guò)程中，我的一個(gè)最直觀的感受是，我國(guó)企業(yè)對(duì)個(gè)人數(shù)據(jù)保護(hù)的表現(xiàn)參差不齊。目前，對(duì)個(gè)人隱私和信息安全防護(hù)關(guān)注度最高的是涉及采集視頻流和音頻流的企業(yè)，其次是一些智能家電產(chǎn)品，比如智能電視、智能照明、智能機(jī)器人和智能小家電等?！闭劶拔覈?guó)智能硬件廠商的數(shù)據(jù)保護(hù)現(xiàn)狀，羅黎總結(jié)道。但他也表示，我國(guó)多數(shù)企業(yè)內(nèi)部已經(jīng)有了數(shù)據(jù)保護(hù)意識(shí)。尤其在GDPR法案公布以后，他明顯感到企業(yè)把零零散散的各部門所屬數(shù)據(jù)匯總到整個(gè)公司層面進(jìn)行管理的趨勢(shì)，此舉可視為企業(yè)對(duì)GDPR最積極的反應(yīng)。

廠商一不小心就會(huì)“踩雷”

我國(guó)智能硬件廠商往往不是不想合規(guī)，而是一不小心就違規(guī)。

對(duì)照歐盟GDPR數(shù)據(jù)保護(hù)法案的要求，按照收集、傳輸、存儲(chǔ)和處理的數(shù)據(jù)流走向考慮，廠商的每個(gè)環(huán)節(jié)都有可能存在“不符合項(xiàng)”。羅黎由此指出，代碼層、硬件層、產(chǎn)品服務(wù)層和IT評(píng)估層，就是容易被踩的“雷區(qū)”。

所謂代碼層不符合，即在軟件設(shè)計(jì)過(guò)程中使用了非必要的用戶數(shù)據(jù)，未對(duì)一些數(shù)據(jù)和過(guò)程進(jìn)行加密或加密不合格，也沒(méi)有給客戶知情同意的權(quán)利；所謂硬件層不符合，即智能產(chǎn)品在硬件設(shè)計(jì)中有不合規(guī)的傳感器或執(zhí)行器，有某些不合規(guī)的功能模塊。二者共同構(gòu)成了智能產(chǎn)品的前端，亦是數(shù)據(jù)收集端，羅黎稱之為“信息防護(hù)的最前沿”。

產(chǎn)品服務(wù)層和IT評(píng)估層則共同構(gòu)成了智能產(chǎn)品的后端。按照數(shù)據(jù)流的走向，信息收集后，企業(yè)可能需要對(duì)數(shù)據(jù)進(jìn)行匯總和分析，根據(jù)用戶反饋執(zhí)行推送，做產(chǎn)品服務(wù)的提升和升級(jí)，這些將涉及產(chǎn)品后端的信息安全。如果產(chǎn)品服務(wù)前端的滲透性測(cè)試未通過(guò)，以及加密或隱私保護(hù)不合格，那么服務(wù)后端的代碼就有可能存在漏洞，從而增加從后端泄露用戶隱私的風(fēng)險(xiǎn)；而如果廠商的IT環(huán)境不合格，泄露風(fēng)險(xiǎn)則會(huì)從內(nèi)部滋生。對(duì)于后者，羅黎舉了一個(gè)例子。如果企業(yè)的產(chǎn)品出口歐盟境內(nèi)，公司內(nèi)部的服務(wù)器對(duì)用戶數(shù)據(jù)進(jìn)行統(tǒng)一存儲(chǔ)，那就意味著此服務(wù)器以及公司內(nèi)部的信息安全保護(hù)也要達(dá)到一定水平，否則將造成大量信息從內(nèi)部泄漏。

這樣做才能不被GDPR“擒住”

當(dāng)“智能硬件”遇見(jiàn)GDPR，誰(shuí)稱王，誰(shuí)成寇？

為了不被歐盟GDPR“擒住”，羅黎建議我國(guó)智能硬件廠商未來(lái)發(fā)展中從戰(zhàn)略和技術(shù)兩個(gè)層面調(diào)整自身數(shù)據(jù)安全管理。

在戰(zhàn)略層面，一定規(guī)模的企業(yè)設(shè)置數(shù)據(jù)安全保護(hù)官（DPO）有利于自上而下推動(dòng)企業(yè)的信息安全保護(hù)，這亦與GDPR的核心內(nèi)容不謀而合。

技術(shù)層面需要解決企業(yè)如何開(kāi)始“下手”的問(wèn)題。目前，我國(guó)大部分企業(yè)都意識(shí)并認(rèn)同了信息安全保護(hù)的重要性，但它們面臨的一大問(wèn)題是整個(gè)公司運(yùn)營(yíng)層面的各個(gè)環(huán)節(jié)并沒(méi)有通盤考慮。對(duì)此，企業(yè)需要先從信息收集的“第一關(guān)口”——硬件產(chǎn)品端的信息安全入手。

“從產(chǎn)品端開(kāi)始的好處，是可以為企業(yè)內(nèi)部的研發(fā)團(tuán)隊(duì)和其他團(tuán)隊(duì)積累經(jīng)驗(yàn)。找到突破口后，企業(yè)內(nèi)部通過(guò)一兩個(gè)項(xiàng)目的實(shí)踐總結(jié)，從而在公司層面形成一個(gè)應(yīng)對(duì)信息安全的清晰認(rèn)知和合理設(shè)置。比如，DPO的設(shè)置、整體信息管理的設(shè)置，乃至第三方供應(yīng)商的管理?！?羅黎對(duì)此解釋道。

下沉到產(chǎn)品端的軟件設(shè)計(jì)層面，企業(yè)需要?jiǎng)澇鲆粭l個(gè)人隱私的“設(shè)計(jì)紅線”：紅線以內(nèi)的內(nèi)容要有合適的加密方式，使產(chǎn)品在使用過(guò)程中體現(xiàn)用戶權(quán)限。羅黎介紹稱，T?V萊茵的服務(wù)特點(diǎn)亦是從產(chǎn)品研發(fā)端介入，從軟硬件各個(gè)層面提高產(chǎn)品信息安全的保護(hù)水平，也提高企業(yè)的信息安全防護(hù)意識(shí)。

針對(duì)產(chǎn)品后端的信息安全保護(hù)，羅黎建議企業(yè)向?qū)I(yè)的第三方機(jī)構(gòu)咨詢，后者將提供差異性的風(fēng)險(xiǎn)評(píng)估與分析，幫助企業(yè)找到數(shù)據(jù)流處理過(guò)程中的漏洞和薄弱點(diǎn)，從而進(jìn)行相應(yīng)的提高和改善。

需要強(qiáng)調(diào)的是，GDPR的火力不僅僅對(duì)準(zhǔn)智能硬件廠商，軟件商、APP商，以及云平臺(tái)服務(wù)提供商均需要嚴(yán)肅地關(guān)注個(gè)人隱私和信息安全問(wèn)題。目前，我國(guó)OEM廠商對(duì)于信息安全的準(zhǔn)備和認(rèn)知相對(duì)品牌商來(lái)說(shuō)更加匱乏，在此希望它們針對(duì)GDPR要求，提前進(jìn)行準(zhǔn)備。