个人信息安全谁来守护——智能家居市场质量观察系列报道之三当你和朋友刚讨论完新出的衣服款式,下一秒打开手机里的智能音箱App,就看到相关产品资讯推送;原本用来照顾老人或孩子的智能摄像头,却成为陌生人窥探家里隐私的“窗口”……这些看似不可思议、近似电影情节的案例正在变为现实。随着设备联网愈加普遍,智能家居产品为消费者带来舒适便捷的同时,也对消费者数据安全和隐私保护构成威胁。厂商和个人如何保护数据安全,成为行业发展的焦点问题之一。
智能家居产品的信息安全的确是个问题。因为智能家居产品的功能基础是互联网、物联网,依托的是大数据、云计算等技术,在这个过程中不可避免地会产生信息泄露的问题,用户的身份证、姓名、手机号、家庭地址、号等个人信息都有可能在使用智能家居产品中遭到泄露。资深产业经济观察家梁振鹏接受《中国质量报》记者采访时表达了这样的看法。
近些年,智能门锁、智能摄像头、智能家电等智能家居产品加快走进千家万户,在推动市场规模不断扩大的同时,也使得信息安全问题浮出水面。
TüV莱茵大中华区工业服务与信息安全总经理赵斌告诉记者,在信息安全方面,智能家居产品通常会出现4种问题:个人隐私的泄露,近几年消费者主要关注摄像头和收音设备这类比较明显容易出现个人隐私泄露问题的产品;产品被操纵造成安全问题;财产损失,如安全门锁出问题,发生入户盗窃;产品不能正常使用。
实际上,目前已有多款智能家居App因违规收集个人信息被通报或下架。这些智能家居App的数据隐私政策明确,设备将收集包括且不限于用户个人基础信息和生物识别信息,如语音、人脸、指纹、声纹、虹膜等;同时,还会记录某些不属于个人信息的信息,包括用户的操作行为记录,如点击、页面跳转、浏览时间等。除此之外,不同品类的智能家居产品还有各种特定的数据收集内容,如扫地机器人可能会收集用户的家庭地图、房间场景、用户图像等。
“保护智能家居产品用户的信息安全首先要立法,从法律层面严厉打击信息泄露。现在已经有一些相关法律,还需要不断地完善法律的各种规定和漏洞。对厂商有意无意或由于技术故障导致用户信息泄露的行为6t体育app官网入口,要进行严厉的法律惩处和打击。这样,才可能让用户的信息安全得到保障,仅靠厂商自觉很难做到保障用户信息安全。”梁振鹏说。
针对用户信息安全保护,在全球政策法规方面,欧洲正在逐步推进相应的立法实施。GDPR(通用数据保护条例)自2018年5月强制执行以来,仅2023年,欧盟就对违反GDPR法规的相关企业开具了约20亿欧元罚款。从国内来看,近年来,在国家陆续出台的网络安全法、数据安全法、个人信息保等众多基础性法律框架下,国家标准、行业标准持续细化。
目前,我国已经制定的相关国家标准主要有:GB/T 35273-2020《信息安全技术 个人信息安全规范》,专注于个人信息的保护,确保个人数据的安全;GB/T 41387-2022《信息安全技术 智能家居通用安全规范》,规定了智能家居安全通用技术要求和对应测试评价方法,为智能家居企业产品安全性提升提供实质性指导;GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》,涉及数据存储、数据出境安全评估、数据处理者的责任、数据转移、数据安全事件处理等方面;GB/T 40979-2021《智能家用电器个人信息保护要求和测评方法》,规定了生产企业应当针对智能家用电器采集、传输、存储等过程中可能存在的个人信息泄露风险进行评估,且企业需要按标准规定的信息保护测试内容和方法进行产品测试;GB/T 41789-2022《智能家用电器的通用安全技术要求》,针对固件和操作系统安全、应用安全、通信安全等信息安全作出规范化要求。
“从检测认证机构的角度,TüV莱茵主要提供两个方面的服务,一是对企业的网络安全管理体系进行认证,二是对产品进行评估。”赵斌建议,企业应建立规范的安全开发管理流程,从对开发人员进行安全培训、编写安全设计文档、使用安全编码技术、应用安全工具、安全测试、安全审核、对安全相关的资产文档和信息存档、安全部署以及对第三方的软件管理等方面,管控产品全生命周期的安全性。
“通过标准规范护航智能家居产品信息安全,应从设计阶段、生产阶段、销售和使用阶段全面进行规范,如设计阶段就要求考虑信息安全,包括数据加密、访问控制等技术措施,以及隐私政策的明示和用户同意机制。”中国标准化协会家居建材质量专委会副主任委员周妍玥认为,应该通过用户教育、安全更新、第三方审核以及法律监管等多种措施,有效提升智能家居产品的信息安全水平,保障用户的个人信息和数据安全。