當“智能硬件”遇到GDPR

王素 黃帥

“全球最嚴厲個人數據保護法案”GDPR在歐盟被強制執行以來，建立在數據采集、傳輸、存儲和運算等數據流基礎上的智能與物聯網產品和服務首當其沖成為“重災區”。在GDPR的槍口下，我國的智能硬件廠商還能在歐盟合規合法地做生意嗎？

T?V萊茵作為首家參照歐盟《通用數據保護條例》（GDPR）推出物聯網（IoT）產品相關評估檢測服務的第三方認證機構，近日正式發布《2018年GDPR業務發展白皮書》（以下簡稱“白皮書”）。本刊記者就以上疑問深度采訪了德國萊茵T?V大中華區電子電氣產品服務技術支持與研發總經理羅黎，他在智能產品和信息安全領域擁有多年實戰經驗。他預計，未來隱私保護有可能成為出口貿易技術壁壘中的一個新增部分，意味著出口企業需要提前針對類似GDPR的技術要求做好充分準備。

隱私安全成歐盟消費者心頭痛

根據白皮書披露的有關數據，在政策支持、技術發展與需求增長的驅動下，我國物聯網（IoT）市場規模預計至2021年可增長至1.5萬億元人民幣。同年，歐盟的IoT市場需求預計將達到2964億元人民幣。這塊巨大的蛋糕將由智能硬件、車載設備、智能可穿戴、智能醫療設備和智慧城市構成。觸發這一巨大市場潛力的首要前提是突破數據與隱私安全的行業瓶頸。

歐盟消費者的態度也印證了以上觀點。一項歐盟境內的調查顯示，在消費者對IOT產品的擔憂中，智能硬件用戶擔心隱私泄露（61%）的比例遠遠超過了擔心黑客攻擊（35%），排在第1位。歐盟國家中，法國（72%）、德國（65%）、英國（63%）、美國（59%）和瑞典（44%）為消費者擔心物聯網會帶來隱私泄露風險占比最高的前5位國家。

“在與我國智能硬件廠商接觸的過程中，我的一個最直觀的感受是，我國企業對個人數據保護的表現參差不齊。目前，對個人隱私和信息安全防護關注度最高的是涉及采集視頻流和音頻流的企業，其次是一些智能家電產品，比如智能電視、智能照明、智能機器人和智能小家電等。”談及我國智能硬件廠商的數據保護現狀，羅黎總結道。但他也表示，我國多數企業內部已經有了數據保護意識。尤其在GDPR法案公布以后，他明顯感到企業把零零散散的各部門所屬數據匯總到整個公司層面進行管理的趨勢，此舉可視為企業對GDPR最積極的反應。

廠商一不小心就會“踩雷”

我國智能硬件廠商往往不是不想合規，而是一不小心就違規。

對照歐盟GDPR數據保護法案的要求，按照收集、傳輸、存儲和處理的數據流走向考慮，廠商的每個環節都有可能存在“不符合項”。羅黎由此指出，代碼層、硬件層、產品服務層和IT評估層，就是容易被踩的“雷區”。

所謂代碼層不符合，即在軟件設計過程中使用了非必要的用戶數據，未對一些數據和過程進行加密或加密不合格，也沒有給客戶知情同意的權利；所謂硬件層不符合，即智能產品在硬件設計中有不合規的傳感器或執行器，有某些不合規的功能模塊。二者共同構成了智能產品的前端，亦是數據收集端，羅黎稱之為“信息防護的最前沿”。

產品服務層和IT評估層則共同構成了智能產品的后端。按照數據流的走向，信息收集后，企業可能需要對數據進行匯總和分析，根據用戶反饋執行推送，做產品服務的提升和升級，這些將涉及產品后端的信息安全。如果產品服務前端的滲透性測試未通過，以及加密或隱私保護不合格，那么服務后端的代碼就有可能存在漏洞，從而增加從后端泄露用戶隱私的風險；而如果廠商的IT環境不合格，泄露風險則會從內部滋生。對于后者，羅黎舉了一個例子。如果企業的產品出口歐盟境內，公司內部的服務器對用戶數據進行統一存儲，那就意味著此服務器以及公司內部的信息安全保護也要達到一定水平，否則將造成大量信息從內部泄漏。

這樣做才能不被GDPR“擒住”

當“智能硬件”遇見GDPR，誰稱王，誰成寇？

為了不被歐盟GDPR“擒住”，羅黎建議我國智能硬件廠商未來發展中從戰略和技術兩個層面調整自身數據安全管理。

在戰略層面，一定規模的企業設置數據安全保護官（DPO）有利于自上而下推動企業的信息安全保護，這亦與GDPR的核心內容不謀而合。

技術層面需要解決企業如何開始“下手”的問題。目前，我國大部分企業都意識并認同了信息安全保護的重要性，但它們面臨的一大問題是整個公司運營層面的各個環節并沒有通盤考慮。對此，企業需要先從信息收集的“第一關口”——硬件產品端的信息安全入手。

“從產品端開始的好處，是可以為企業內部的研發團隊和其他團隊積累經驗。找到突破口后，企業內部通過一兩個項目的實踐總結，從而在公司層面形成一個應對信息安全的清晰認知和合理設置。比如，DPO的設置、整體信息管理的設置，乃至第三方供應商的管理。” 羅黎對此解釋道。

下沉到產品端的軟件設計層面，企業需要劃出一條個人隱私的“設計紅線”：紅線以內的內容要有合適的加密方式，使產品在使用過程中體現用戶權限。羅黎介紹稱，T?V萊茵的服務特點亦是從產品研發端介入，從軟硬件各個層面提高產品信息安全的保護水平，也提高企業的信息安全防護意識。

針對產品后端的信息安全保護，羅黎建議企業向專業的第三方機構咨詢，后者將提供差異性的風險評估與分析，幫助企業找到數據流處理過程中的漏洞和薄弱點，從而進行相應的提高和改善。

需要強調的是，GDPR的火力不僅僅對準智能硬件廠商，軟件商、APP商，以及云平臺服務提供商均需要嚴肅地關注個人隱私和信息安全問題。目前，我國OEM廠商對于信息安全的準備和認知相對品牌商來說更加匱乏，在此希望它們針對GDPR要求，提前進行準備。