萬物互聯網中個人數據云傳播的隱私安全

【摘要】萬物互聯網時代的個人數據包括表征個人自然屬性特征的數據和表征個人行為屬性特征的數據。個人數據云傳播過程的每個環節都存在諸多泄露和濫用的安全隱患，主要包括個人數據在萬物互聯終端的泄露隱患，個人數據在萬物互聯云端的泄露隱患，以及個人數據在萬物互聯應用中的濫用隱患。個人數據的云傳播過程中，其擁有者幾乎失去了對其個人數據的控制權，也較難掌握其個人數據的流向。因此，保護個人數據的關鍵方法之一是盡可能地讓個人數據由個人掌控，建立基于邊緣計算的個人數據控制機制;之二是要盡可能地讓個人自身管理其數據的流向，建立云端個人數據開放和使用的監管機制。

【關鍵詞】萬物互聯網? 個人數據? 云傳播? 隱私安全

【中圖分類號】TP393.08? ? ? ? ? ? ? ? ? ? ? ?【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2022.14.008

引言

隱私的基本要素有兩個：一是將某些事物保密的權利和能力;二是控制他人擁有并可以訪問有關自己的信息的權利。[1]但在萬物互聯網時代，圍繞個人的工作、學習、生活、醫療和娛樂場景，可挖掘出豐富多彩的“萬物對個人服務”（Everything-to-Person， E2P），這使得隱私要素的保障機制較難建立起來。萬物互聯網是由物體、數字設備、數字個人、數字企業、數字政府和數據資源等要素，借助數字平臺，通過數字流程相互連接而成的巨復雜網絡生態系統。[2]與物聯網相比，萬物互聯網的連接對象更為廣泛，能與人和社會環境進行強烈的交互，[3]而物聯網僅連接事物（傳感器和設備）。特別是，萬物對個人服務（E2P）一般都致力于分析“你到底是誰，你在干什么，你在想什么，你需要什么”，采集和處理大規模個人數據是其發展的基石。而“可識別性”是個人數據的本質特征，凡是單獨可以識別出特定自然人的數據（直接識別）或者與其他數據結合后能夠識別出自然人的數據（間接識別），都是個人數據。[4]這使得人們較難實現“不被注意”和“匿名”。如用戶借助各類穿戴服務平臺，將自己的穿戴設備與智能手機綁定后，可在穿戴設備與智能手機中同步這些個人身份數據（頭像、昵稱、性別、出生日期、身高、體重），個人運動數據（設備位置、運動軌跡、運動類型、運動時長、部數、距離、熱量、爬高、最大攝氧量、運動心率），個人健康數據（睡眠、心率），以及個人的設備和網絡數據（設備標識、設備設置、IP地址和網絡類型）。再如，陪護機器人應用于養老院或社區服務站環境，具有生理信號監測、語音交互、遠程醫療、智能聊天、自主避障漫游等功能，能夠通過語音和觸屏進行交互;配合相關監測設備，機器人具有血壓、心跳、血氧等生理信號檢測與監控功能，可無線連接社區網絡并傳輸到社區醫療中心，緊急情況下可及時報警或通知親人。[5]以患者為中心的健康數據共享平臺可以聚合來自多個個人數字設備數據源的數據。[6]無線身體傳感器網絡已經可以連續地監測和記錄人體特定部位的重要生理數據。

特別是，隨著萬物互聯網與人工智能技術的融合發展，個性化算法和機器學習的應用已取得巨大進步，能為用戶提供豐富多彩的智能新媒體服務，但也引起了人們對隱私、技術透明性和人為控制的強烈關注。[7]一是健康類應用程序可能帶來的個人隱私傷害，[8]醫療大數據中的個人隱私問題，[9]人類基因數據共享可能帶來的隱私風險。[10]二是在萬物互聯網的智慧城市應用場景中，房屋、汽車、公共場所和其他社會系統正在被不斷地相互連接，人們的位置和活動數據被收集和利用。[11]這些數字應用有望顯著改善醫療保健、運輸服務、公用事業和環境健康。不過，這些效率和服務改進的代價是增加了隱私漏洞和風險。[12]三是數字設備（機器）之間通訊和數據交換帶來的個人數據安全問題被廣泛關注。[13]智能手機是使用最廣泛的電子設備，具有整合和連接萬物的功能。但當前的智能手機管理用戶敏感數據的能力明顯不足，用戶的數據常常被過度收集。[14]數據過度收集，意味著智能手機應用在許可范圍內收集用戶數據的能力超過了其原始功能，正在迅速成為萬物互聯網時代最嚴重的潛在安全隱患之一。[15]

但現有成果暫未開展萬物互聯網時代的個人數據安全和隱私問題的系統性研究。本文擬探討和回答三個問題。一是萬物互聯網時代個人數據的內容和結構如何？二是個人數據在萬物互聯網中是如何傳播的，將對個人的隱私安全帶來哪些威脅？三是我們應該如何防范萬物互聯網環境下個人數據的泄露和濫用風險？為此，本文的第一部分將建構萬物互聯網環境下的個人數據內容結構;第二部分將探討個人數據在萬物互聯網中的云傳播機制;第三部分擬分析個人數據在云傳播過程中的隱私安全隱患;第四部分擬探討萬物互聯網時代個人數據的隱私保護機制。

萬物互聯時代個人數據的內涵和結構

萬物互聯網的本質是“連接一切”，在此過程中也在向“采集人的一切數據”方向發展。在萬物互聯網環境下，個人數據的內涵和結構正在被不斷擴展。個人數據涵蓋原始的機器數據和元數據，以及關于抽象性的個性特征表征數據。[16]根據安全級別，將個人數據劃分為一般個人數據和敏感個人數據。[17]但關于個人數據到底包括哪些內容，眾說紛紜，特別是萬物互聯網環境下，個人數據具有什么樣的結構還未定論。這是進一步分析個人數據的安全和隱私問題的重要前提。

從信息科學視角看，個人數據可被定義為描述自然人的屬性、運動狀態及其變化方式的數據。個人數據本身是客觀存在的，隨著技術的進步，越來越多的個人數據被數字化的采集和存儲。在一定程度上，個人數據的聚集能形成一個完整意義的“數字個人”。我們討論的個人數據常常是指數字化的個人特征和行為，也即個人數據的本質是“數字個人”的數據。“數字個人”的數據主要由表征個人自然屬性特征的數據和表征個人行為屬性特征的數據構成。但人類還不可能感知和采集所有的自然人數據。

表征個人自然屬性特征的數據。自然人屬性數據主要用于描述“這個自然人到底是誰”，主要包括自然屬性數據、精神屬性數據、社會屬性數據。自然屬性主要描述物質世界中的“人”;精神屬性主要描述精神世界中的“人”;社會屬性主要描述現實社會中的“人”。

1.自然屬性數據。自然屬性數據主要用戶描述人的生理特征、肉體特征和健康狀況的數據。在傳統社會環境下，人的自然屬性特征基本屬于隱私范疇，較少被數字化采集，但在基于人工智能的萬物互聯時代，人類的生理特征和肉體特征越來越多地被數據化。當前已經或正在被數字化的個人數據包括：人臉數據、人體數據和指紋數據。從普遍意義上而言，構成“生理人”的全部人體器官都有被數字化的趨勢。人臉識別技術和人體識別技術的發展使得人類能夠感知和采集越來越多的人臉數據和人體數據。

現有的人臉識別系統主要用于對人臉的屬性判別，能識別的人臉數據主要包括人臉框、人臉的關鍵點信息，人臉的姿態估計、人臉的自然屬性（性別、年齡、種族、微笑、顏值，是否帶墨鏡，是否帶眼鏡，人臉是否遮擋，是否有胡子），以及人臉的情緒（驚訝、高興、悲傷、生氣、平靜）等屬性的分析。[18]

現有的人體識別系統主要開展人體關鍵點檢測，能夠準確地估計出圖片或視頻中的人體14個主要關鍵點，包括：左右手肘、左右手腕、左右肩膀、頭、脖子、左右腳踝、左右膝蓋和左右臀等;能夠在多個場景形式下，對站立、坐姿、運動多個姿態進行估計，從而實現對動作姿態的檢測識別。[19]

健康狀況數據主要是由各類醫療健康體穿戴設備產生的數據。醫療健康體穿戴設備一般都內置用于測量人體健康狀況的傳感器，能自動采集人體的血壓、脈搏、心率、體溫和激素量等重要數據。目前，智能手環、智能手表、智能血壓計、智能眼鏡、智能運動鞋都具有這方面的功能。如“心潮減壓”應用運用PPG是利用光電容積描記（PPG）技術[20]進行人體運動心率的監測，能監測出心率、呼吸和心率變異性（HRV）等重要參數的值，能達到96%以上的監測準確率。

2.精神屬性數據。人的情緒、心理狀況和思想觀念在一定程度上是最難監測的，但隨著物聯網和人工智能技術的發展，一些新媒體應用平臺正在嘗試科學監測個人的心理和情緒數據。例如，據“心潮科技”（www.psy-1.com/）官方介紹，“心潮減壓”是一款基于生物反饋和情緒計算的心理健康平臺，試圖通過手機攝像頭對面部毛細血管的細微顏色變化進行捕捉與分析，實現瞬時心率與內隱呼吸的監測，在此基礎上幫助用戶抵抗緊張、焦慮、憤怒、抑郁、低落、疲憊、失眠、注意力不集中、效率低下等心理問題;其能開展科學的情緒分析：在情緒計算的基礎上，分析用戶的壓力協調系數、情緒狀態等;其能為用戶提供貼心的心理調節服務：音樂、冥想、腦波、催眠、認知療法、腹式呼吸、物理減壓、視覺放松。在此過程中，“心潮減壓”需要在云端多維度記錄和優化用戶數據，才能為用戶輸出最智能的心理調節方案。

3.社會屬性特征數據。借助各類數字應用平臺，個人的社會屬性特征正在被大規模地數字化采集、存儲和分享。個人的社會屬性主要包括個人的現實身份數據、現實關系數據、在線身份數據和在線關系數據。具體而言，現實身份數據是指可界定和表征現實社會環境中“此人是誰”，數字化的形式主要體現為國家人口登記和戶籍管理系統中記錄的身份數據，其數據項主要包括姓名、性別、身份證件號碼、工作單位、戶籍地址等。[21]現實關系數據是指可界定和表征現實社會中此人與他人之間的社會關系的數據，主要包括同事關系、朋友關系、親戚關系、同學關系，其數字化的形式主要有手機通訊錄（根據手機通訊錄的分類管理功能，清晰地知曉他們與此人的社會關系）、通話記錄（根據通話記錄，可以獲知哪些人是此人緊密聯系、頻繁聯系的人士，也可獲知此人在什么時間段跟某個人進行了密切的聯系）和短消息記錄（可分析出此人與其他人之間的具體溝通內容）。現實關系數據可集中彰顯一個人所擁有的社會資本和社會資源的狀況，在一定程度上是非常重要的個人隱私;在線身份數據主要是指可界定和表征虛擬社會中個人身份的數據，數字化的形式主要包括各類新媒體應用平臺中的登錄賬戶和密碼、在線支付的登錄賬戶和密碼、在線銀行的登錄賬戶和密碼，以及在線身份綁定的設備信息（設備標識符、機型）、網絡信息（IP地址、MAC地址）等;在線關系數據主要是指可界定和表征虛擬社會中此用戶與其他用戶之間的各類關系，主要包括好友關系、社群關系（同在一個微信群）、協作關系（共同參與一個在線活動，如團購活動等）、傳播關系（轉發、評論或點贊了某用戶發布的信息內容），數字化的數據形式主要有各類數字平臺中的好友關系數據、社群成員數據等。

表征個人行為屬性特征的數據。表征個人行為屬性的數據主要包括兩個方面，一是現實社會行為的數字化記錄;二是個人作為網絡用戶的在線社會行為數據。當然，隨著萬物互聯網的發展，現實空間和虛擬空間正在相互融合，個人的現實行為和在線行為的界限逐步模糊，越來越難以區分。

在線社會行為數據包括個人在各類在線數字應用平臺中的行為數據。萬物互聯時代，智能新媒體應用模式主要包括人工智能+信息獲取應用模式、人工智能+電子商務應用模式、人工智能+交流互動應用模式、智能生活與娛樂應用模式和智慧城市與智能政務應用模式，相應地個人的在線社會行為數據類型包括個人的信息獲取行為數據、商務行為數據、交流互動行為數據、生活與娛樂行為數據、政務數據。

其中，信息獲取行為數據主要包括個人的在線搜索行為記錄，各類在線新聞服務平臺中的瀏覽、評論、點贊、頂踩、投票數據;在智慧課堂、慕課等在線學習平臺中的在線學習行為數據，主要包括在線收看課程視頻的數據，在線聽課狀態數據，在線測驗、在線作業和在線討論的數據;在問答應用、維客應用中的提問記錄和回答問題的記錄;商務行為數據主要包括在C2C（Customer to Customer）電子商務、B2C（Business to Customer）電子商務、移動定位商務和Ο2Ο（Online to Offline）電子商務平臺中的消費行為數據，包括購物記錄、支付記錄、物流記錄和評價數據，涵蓋了人們衣食住行領域的行為數據，詳細記錄了個人每天、每月、每年的社會行為軌跡，什么時間在什么地點打了什么車，去了哪兒辦了什么事情。

智能生活與娛樂行為數據主要包括智能家居記錄的生活起居數據、智能攝像頭記錄的家庭生活場景數據、智能音箱記錄的家庭對話記錄，以及各類游戲應用平臺中記錄的數據。家庭是構成社會的最小單位，也是個人生活的“隱私空間”，家庭的數字化和智能化（智能家居）將產生大量的個人數據。如海爾智慧家庭智能體系下分為五大板塊：食聯生態、衣聯生態、全屋用水、全屋空氣、全屋安防。[22]在此過程中，用戶的飲食起居數據和身體數據被大量數字化采集。

個人的政務數據主要是指各類政務應用平臺中記錄的生育登記數據、婚姻登記數據、社會保障數據、不動產登記數據、納稅登記數據、征信數據等。

萬物互聯時代個人數據的云傳播機制

個人數據在萬物互聯網中能形成一種云傳播機制。所謂云傳播是對人們通過“云”進行信息傳播活動的社會總過程的總體描述。[23]其中，“云”是可遠程訪問、可擴展和可測量的信息技術資源，是云傳播的技術生態環境。個人數據的云傳播的本質是傳收主體借助“云”，通過遠程訪問可擴展和可測量的信息技術資源完成個人數據的傳播活動。[24]萬物互聯網中，個人數據的云傳播系統涉及的要素主要包括云端、應用端、邊緣端、終端，個人數據的云傳播現象可能發生在云端與云端之間，也可能發生在云端與終端之間、云端與應用端、終端對終端、應用端與應用端之間。因此，個人數據的基本類型包括“云端對云端”（Cloud to Cloud， C2C），“云端對終端”（Cloud to Terminal， C2T），“云端對應用”（Cloud to Application， C2A），“應用對應用”（Application to Application， A2A），“終端對終端”（Terminal to Terminal， T2T）的云傳播。[25]

一是個人數據的C2C云傳播。C2C是不同云服務平臺之間相互調用“資源”的傳播現象，能實現云之間的連接。C2C需要“一對一”、“一對多”和“多對多”的云間通信協議和互操作標準來支持。[26]在實踐中，個人數據的C2C云傳播模式主要表現為個人數據在基礎設施服務（IaaS）、平臺服務（PaaS）、軟件服務（SaaS）、網絡服務（NaaS）、數據服務（DaaS）和人工智能服務（AaaS）等云服務之間的相互調用現象。

二是個人數據的C2T云傳播。C2T主要表現為終端設備與云端之間的個人數據同步機制。目前，智能手機能實時存儲用戶當前的個人數據。但用戶的智能手機不可能無限量地永久存儲不斷產生的所有數據。因此，多數智能終端設備提供商，如小米、OPPO等都為用戶提供了云存儲服務，用戶只要開通了小米“賬戶”（i.mi.com）或OPPO“賬戶”（cloud.oppo.com），就可以將自己保存在智能手機等終端里的數據實時同步到云端。如用戶開啟了OPPO的云服務功能，就可以將相冊、聯系人、便簽、日歷、瀏覽器書簽與收藏、短信、通話記錄、系統設置、已安裝應用列表、錄音等個人數據同步至云端備份。[27]

三是個人數據的C2A云傳播。C2A主要表現為應用程序與依托云平臺之間的個人數據存儲機制。在實際應用中，已有海量的應用程序基于第三方的云平臺建構而成，這些應用程序采集和處理的個人數據全部存儲在其依托的云平臺之上;同時應用程序也可以使用云平臺自身積累的基礎個人數據。例如，第三方游戲開發者只要注冊騰訊服務平臺的開發者賬戶，創建其網絡游戲應用，就可分享騰訊海量用戶及關系鏈。第三方開發者在微信開放平臺上，申請獲得“AppID”后，就可創建其移動應用，通過接入“微信分享和收藏功能”的應用程序接口（WXMediaMessage）進行二次開發，能實現讓用戶從第三方應用系統分享文字、圖片、音樂、視頻、網頁、小程序至微信好友會話、朋友圈或添加到微信收藏[28];通過接入微信“OAuth2.0”授權登錄系統，可獲取微信用戶的基本開放信息，能實現讓用戶直接使用微信賬戶登錄其應用系統。[29]例如，只有4個人的小程序團隊，從策劃到原型設計、前后端開發，只用了一星期就發布“垃圾分類工具”小程序，能讓用戶實現“拍圖識別垃圾”，小程序上線僅20余天，訪問量已經超過了10萬，用戶量超過了5萬。[30]

四是個人數據的A2A云傳播。在萬物互聯網的體系結構中，從各類終端感知和采集的個人數據最終主要匯集在各大應用平臺。個人數據的A2A云傳播主要是指各類應用平臺之間的個人數據開放、共享和使用。當前，各類應用平臺在盡可能全面地收集和存儲個人的自然屬性數據、精神屬性數據和社會屬性數據。如谷歌、百度等搜索引擎平臺能采集和匯集用戶的信息獲取行為數據;臉書、微信等社交平臺能記錄和匯集用戶的交流互動數據;淘寶等電子商務平臺能匯集用戶的購物記錄、支付記錄等商務行為數據，YouTube、優酷、抖音等應用能記錄和匯集用戶的生活與娛樂行為數據。具體而言，臉書公司旗下的Instagram和Messenger社交應用平臺會收集用戶在使用該產品時提供的內容、通信和其他信息，人際網絡和關系網絡數據，使用行為數據（使用的功能;執行的操作），用戶終端設備數據（設備屬性、設備操作、身份識別信息、Cookie數據），以及來自合作伙伴收集的用戶數據（包括用戶訪問的網站、所做的購買、觀看的廣告以及如何使用其服務有關的信息）。[31]為了進一步挖掘和釋放海量個人數據的價值，這些平臺常常建立開放平臺，面向第三方應用開發者開放部分個人數據的使用權限。例如，當用戶選擇下載和使用接入臉書開放平臺的第三方應用時，該應用就能訪問和使用用戶的部分個人數據;臉書也會將用戶個人數據分享給使用臉書數據分析服務的企業用戶、廣告主、臉書平臺的供應商等第三方合作伙伴。[32]

五是個人數據的T2T云傳播。個人數據的T2T云傳播主要是指個人數據在智能手機、穿戴設備、傳感器等各類萬物互聯網終端之間的同步或互操作機制。如用戶一般通過調用位置、藍牙、通訊錄、短信、麥克風和通話記錄等權限來管理穿戴設備。如用戶通過智能手機的“無線投屏”功能，能實現通過智能電視或筆記本電腦等“大屏”欣賞智能手機中存儲的照片或視頻。

萬物互聯時代個人數據云傳播的安全隱患分析

如前所述，在萬物互聯網中，智能終端平臺、云服務平臺和應用平臺控制著個人數據的采集、存儲、共享和開放過程。智能終端是感知和采集個人數據的基本工具;云服務平臺是個人數據的存儲和管理平臺;應用平臺是個人數據加工、處理、再生和使用平臺。如，用戶首先登陸某社交平臺提交了個人數據，社交平臺開放接口給第三方企業，如第三方游戲、音樂等應用提供商，從而用戶個人數據流向各個第三方企業，第三方企業的廣告商將獲得用戶數據，并向用戶推送廣告。上述過程中，個人數據的擁有者幾乎失去了對其個人數據的控制權，個人數據傳播的每個環節都存在諸多泄露和濫用的安全隱患，主要包括個人數據在萬物互聯終端的泄露隱患，個人數據在萬物互聯云端的泄露隱患，個人數據在萬物互聯應用中的濫用隱患。

個人數據在萬物互聯終端的泄露隱患。萬物互聯網絡的終端設備處于萬物互聯網絡的感知層，既包括各類計算機、服務器和智能手機等具有豐富資源的互聯網和移動互聯網終端，也包括僅具有限資源的監控攝像機、傳感器（或無線傳感器網絡節點）、射頻卡（RFID）等物聯網終端。互聯網和移動互聯網終端也有明顯的安全隱患。但相對來說，萬物互聯環境下，僅具有有限資源（計算資源和存儲資源）的事物將成為個人數據泄露的更大風險源，物聯網設備可能具有非物聯網設備中不存在的漏洞。[33]一是這些僅具有有限資源的事物，難以部署較為高級的安全保障機制（如復雜的加密算法）[34]，不僅可以被所有者連接，還可能被攻擊者攔截。[35]在這種情況下，這些事物極易被入侵者進行“重新編程”，以便讓它將數據發送到入侵者的數據庫服務器。[36]攻擊者可獲得對計算設備的訪問和控制，可能會操縱或提取數據、控制或中斷服務。[37]二是這些事物一般都存在于開放的、不可信的、不受監控的物理環境中，如交通控制攝像頭、環境傳感器等都是暴露在外面的，這種情況下，事物本身可能被人為損毀。[38]如人們常常看到“共享單車”被隨意丟棄到路邊，并沒有放置到指定的停放位置。三是物聯網終端設備的所有者一般主要依靠無線網絡對其進行遠程控制，一旦信號受到干擾，將會“失聯”或“失控”。

在萬物互聯時代，與個人緊密相關的家庭數據被全面采集，如海爾的智能家居系統中，智能用水、智能空調和智慧安防服務，能借助智能終端實現對家庭中水、電、氣的遠程控制;其他一些智能家居產品，如“Belkin”和“WeMo”能使得用戶遠程控制電燈，開關門窗和百葉窗等設施。[39]個人數據在終端與終端之間，終端與云端之間傳遞的過程中，也常常受到攻擊。例如，目前在市場上的許多傳感器都可以跟蹤患者的重要信息，然后將數據直接傳送到云端（網絡）或某移動設備，這樣醫療保健專業人員可以實時觀察患者的健康狀況并提供適當的治療。但在此傳送過程中，攻擊者可以進行攔截、捕獲和修改個人數據。[40]

個人數據在萬物互聯云端的泄露隱患。個人數據經過終端設備中傳感器等系統的采集，再經過復雜的網絡傳送，最終會集中存放到物聯網服務提供商的服務器或專業云服務提供商的服務器中。雖然，云端的安全基礎設施一般較為完備，但云平臺泄露個人數據的事件也常有發生。一是云平臺被攻擊導致個人數據泄露。例如，用于評估健康狀況（如睡眠障礙、異常心律等）的可穿戴設備服務提供商“Fitbit”的數據庫在2018年1月遭到黑客入侵，超過2500萬用戶的個人隱私被暴露無遺;2018年1月，專注于自行車運動的美國健身追蹤軟件“Strava”意外泄露美國軍方機密，包括遍布世界各地的美國軍事基地以及間諜前哨的位置及人員配置信息。[41]二是云平臺將個人數據向第三方開放，也易導致個人數據泄露。例如“CloudPets”是一家生產智能玩具的企業，其借助智能終端收集了用戶的大量個人數據，又在沒有采取任何安全措施的情況下將個人數據外包給了另外一家公司，最終導致了超過200萬名兒童的語音信息，以及超過80萬電子郵件的賬號和密碼遭泄露。[42]

個人數據在萬物互聯應用中的濫用隱患。依據上述分析，各類感應器獲得的個人數據，能詳細描述用戶的私人生活。目前，基于這些海量的個人數據，已經涌現出了各式各樣的智能新媒體應用，正在進一步共享、使用和挖掘這些個人數據。智能新媒體應用根據這些個人數據，可以全面了解一個人的健康狀況和財務狀況，可以挖掘用戶的行為習慣;還可以檢測和揭示人們例行程序的變化以及異常行為的顯示。[43]如臉書會根據從用戶和第三方收集的數據，用戶在其平臺中的互動情況，以及與用戶建立聯系的其他用戶、地點和事物，來分析和建立用戶的關系網絡、偏好、興趣和活動，以此為用戶定制其在“Facebook”和“Instagram”中的使用體驗。一旦用戶的身份被盜用，侵入者可能會控制與個人身份關聯的各類終端設備，將對個人帶來難以預測的嚴重后果。具體而言，個人數據在萬物互聯應用中的濫用隱患主要有三個方面。

一是應用平臺濫用其采集的個人數據。超級應用平臺能聚集海量個人數據。特別是在萬物互聯網時代，超級應用平臺也常常違背承諾，未能嚴格按照個人用戶的許可和授權使用其獲取的個人數據，濫用個人數據的事件時有發生，已經對個人數據的安全產生直接威脅。盡管多數應用平臺聲稱其不會在未經用戶同意的情況下，將平臺收集的個人數據用于商業目的。例如，基于面部識別的身份認證服務平臺（Facefirst）能為用戶提供面部表情服務（通過使客戶能夠使用其面部身份為商品或服務付款來縮短排隊時間）、年齡和身份證明服務（告知客戶每次進入場館或購買有年齡限制的產品時都顯示其ID）和店內取貨服務（通過將面部識別添加為身份驗證的主要形式或次要形式來防止身份欺詐），能實現在信息亭、自動取款機、在線應用程序中更快、更安全的交易。[44]但這一過程極其復雜，用戶個人本身難以知曉應用平臺將如何使用其采集的個人數據。目前，基于大數據分析的商業廣告推送模式被證明是最有效的方式，也在實踐中被大量使用，如臉書允許十幾家公司在未經同意的情況下廣泛訪問其22億用戶的個人數據，包括私人信息、姓名和朋友的聯系信息。[45]

二是應用平臺向第三方開放的個人數據被濫用。在萬物互聯網中，應用平臺服務商借助開放平臺向第三方開放個人數據已經成為應用平臺保持發展優勢和盈利的重要模式。應用平臺服務商能為第三方提供豐富的接口，任何注冊、申請并通過審核的第三方開發者都能通過開放平臺實現自身產品或服務的相關功能，而在此過程中，第三方也能在用戶授權基礎上獲得用戶的部分個人數據，比如獲得公開信息（昵稱、性別、頭像、國家、省份、城市等）、地理位置、尋找共同使用該應用的好友等，而這些個人數據將如何被第三方使用甚至繼續流動，除了明示的規范要求，平臺服務商并沒有實施有力的監管措施。一方面，開放平臺將許多應用連接在了一起，任何一級的傳播都可能導致用戶個人數據泄露;另一方面，開放平臺為平臺服務商聚合了更多的用戶個人數據，從而形成幾大平臺寡頭數據壟斷、割據的格局，任何一個平臺寡頭的個人數據被竊取或泄露，都將帶來巨大的災難。目前，大型平臺如臉書、微信等聚集了大量用戶數據，而用戶根本不知道他們的數據被平臺開放給了誰、被用來做什么，這種極其不平等的數據權力地位造成了結構性風險。如劍橋大學的一位講師創造了一個名為“這就是你的數字生活”的應用，該應用表面上能為用戶提供個性預測，也能為心理學家提供研究工具：該應用要求用戶使用其臉書帳戶登錄;作為登錄過程的一部分，它要求訪問用戶的臉書個人資料、位置，他們在該服務上喜歡的東西，尤其是他們朋友的數據;這款應用未經用戶許可，將用戶數據發送給了劍橋分析公司，該公司利用這些資料構建了一個強大的軟件程序，來預測和影響選民的投票。[46]

三是個人數據流向非法的“黑色”交易市場。無論從何種途徑泄露的個人數據，最終都會匯集到非法的“黑色”交易市場，可能會對個人的隱私安全形成極大的威脅。目前，非法的“黑色”交易市場主要包括“暗網”平臺和“社工庫”平臺。當前，致力于保護身份信息使其免遭破壞的人員和組織的“4iQ”平臺，在2018年發現了12499條真實的違規行為，在地下社區平臺上散布了149億條原始身份記錄;平臺團隊在對數據進行標準化和清理之后，發現其中36億條身份記錄是新的和真實的。[47]

萬物互聯時代個人數據的隱私保護機制

在萬物互聯網時代，個人數據被各類設備提供商、平臺提供商和應用服務商大規模地進行存儲、共享、開放和使用，存在較大的泄露隱患和濫用隱患。但用戶自身卻失去了對其個人數據的控制權，難以自主控制其傳播過程：哪些個人數據可以被收集，誰可以共享和開放其個人數據，誰可以使用其個人數據。在一定程度上，這將嚴重威脅個人的隱私安全。

另外，已經擁有部分個人數據的主體可能將這些數據再次共享或開放給第三方，第三方將如何利用這些個人數據，個人數據的擁有者更加難以知曉。因此，我們認為在萬物互聯網時代，個人數據的隱私保護機制需要兩方面著手。一方面，要盡可能地讓個人數據的控制權由個人掌控，需要建立基于邊緣計算的個人數據控制機制;另一方面，要盡可能地讓個人自身管理其數據的流向，建立云端個人數據開放和使用的監管機制。

基于邊緣計算的個人數據的所有者控制機制。基于云計算的萬物互聯架構，將萬事萬物生成的海量數據上傳到云端，形成了若干超級的數據平臺。云計算中心一般都具有強大的安全基礎設施和可靠的安全防護機制。但這種模式能讓各類數字平臺完全掌握個人數據，使得用戶失去了其個人數據的控制權。因此，如何將控制權還給用戶是建立隱私保護機制的關鍵。邊緣計算是建立隱私保護機制的重要方法之一。邊緣計算是指在網絡邊緣執行計算的一種新型計算模型：邊緣計算中邊緣的下行數據表示云服務，上行數據表示萬物互聯服務;邊緣計算的邊緣是指從數據源到云計算中心路徑之間的任意計算和網絡資源。[48]這種情況下，終端數字設備不僅負責與云端的雙向數據傳輸，還可以完成部分緊急的計算任務。

未來，“數字個人”的邊緣計算或霧計算架構是萬物互聯時代個人數據保護的有效機制。“數字個人”的霧計算主要包括設備層、霧層和云層：設備層是由包括傳感器和智能設備在內的多種設備組成，負責感知物理對象并將個人數據發送到上層進行處理和存儲;霧層位于網絡邊緣，包含路由器、網關、接入點和基站等霧節點，負責執行諸如調度，存儲和管理分布式計算之類的任務;云層負責數據的永久存儲和廣泛的計算分析。[49]在這種架構中，無須將全部個人數據實時上傳至云端，這在一定程度上能讓用戶自主掌控自己的個人數據，在源頭上減少個人數據泄露和濫用的風險。

建立云端個人數據開放和使用的監管機制。盡管我們倡導將個人數據盡可能地在本地或邊緣端存儲，但在實際中各類數字平臺在經個人用戶許可或未經個人用戶許可的情況下，都會爭相采集、存儲和使用大規模的個人數據。若完全禁止數字平臺將個人數據上傳到云端，也會使得數字平臺難以為用戶提供更好的個性化、智能化的服務。因此，最關鍵的是建構云端個人數據開放和使用的監管機制。這個監管機制主要包括個人、第三方和政府三個層面。

首先，需要建立面向個人的數據開放和使用的授權和透明機制。在實際應用中，個人用戶較難掌握其個人數據被采集、共享、開放和使用的真實情況。因此，我們必須建立面向個人的數據開放和使用的授權和透明機制，其具體內容包括兩個方面。一方面，數字平臺采集個人數據的授權機制：數字平臺只能根據用戶使用其服務的實際需求，逐項獲得單一數據項的授權，不能強制用戶一次性整體授權。另一方面，個人數據開放和使用的透明機制：數字平臺在用戶授權之前，清楚告知用戶其數字平臺內部如何使用個人數據，向外部開放了哪些數據，哪些第三方平臺獲得了這些數據;這些第三方平臺使用這些數據干了什么。如我們可開發一個個人數據存儲的框架，使用戶能夠完全透明地控制其數據的利用。[50]

其次，需要建立云端個人數據開放和使用的第三方監管機制。云端個人數據開放和使用過程最終會形成巨復雜的生態，專業的第三方機構能夠跟蹤和識別“個人數據開放給了誰，被用來做什么”，對各類數據平臺存儲、開放和使用個人數據的真實情況進行監督。根據《歐洲通用數據保護條例（GDPR）》等隱私保護法，第三方專業機構可以可驗證數字平臺的技術設計是否符合條例的具體規定。[51]

最后，需要建立云端個人數據開放和使用的政府監管機制。除了個人和第三方專業機構的監督，云端個人數據開放和使用還需要建立政府監管機制，確保各類數字平臺提供商按照隱私保護法進行運營管理。政府公共部門可以采納第三方專業機構的評估和檢驗結果，對違規開放和使用個人數據的行為依法進行懲治。

（本文系國家自然科學基金面上項目和華中科技大學學術前沿青年團隊資助項目的研究成果，項目編號分別為：71974060，2018QYTD09）

注釋

[1]Maras， M.-H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99-104.

[2]李衛東：《萬物互聯網的內涵、要素和構成》，《人民論壇·學術前沿》，2020年第6期，第40～45頁。

[3]Martino， B. D. et al.， Internet of Everything： Algorithms， Methodologies， Technologies and Perspectives （Internet of Things）， 2017， pp. 1-3.

[4]程嘯：《論大數據時代的個人數據權利》，《中國社會科學》，2018年第3期。

[5]《智能機器人三大關鍵技術詳解》，搜狐網，2019年5月29日，http：//www.sohu.com/a/118294423_468626。

[6]Dhruva， S. et al.， "Aggregating Multiple Real-World Data Sources Using a Patient-Centered Health-Data-Sharing Platform"， NPJ Digital Medicine， 2020， 3， https：//doi.org/10.1038/s41746-020-0265-z.

[7]Sundar， S.， "Rise of Machine Agency： A Framework for Studying the Psychology of Human–AI Interaction （HAII）"， Journal of Computer-Mediated Communication， 2020， 25， pp. 74–88.

[8]Levine， D. M.， "Design and Testing of a Mobile Health Application Rating Tool"， NPJ Digital Medicine， 2020， 3， https：//doi.org/10.1038/s41746-020-0268-9.

[9]W. Nicholson Price II; I. Glenn Cohen， "Privacy in the Age of Medical Big Data"， Nature Medicine， 2019， 25， pp. 37–43.

[10]Bonomi， L.; Huang， Y. X.; Ohno-Machado， L.， "Privacy Challenges and Research Opportunities for Genomic Data Sharing"， Nature Genetics， 2020， 52， pp. 646–654.

[11]Elmaghraby， A. S.; Losavio， M.， "Cyber Security Challenges in Smart Cities： Safety， Security and Privacy"， Journal of Advanced Research， 2014， 5， 4， pp. 491–497.

[12]Habibzadeh， H. et al.， A Survey on Cybersecurity， Data Privacy， and Policy Issues in Cyber-Physical System Deployments in Smart Cities， Sustainable Cities and Society， 2019， p. 101660， https：//doi.org/10.1016/j.scs.

[13]Maras， M. -H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99–104.

[14][15][17]Li， Y. B.; Dai， W. Y.; Ming， Z. et al.， "Privacy Protection for Preventing Data Over-Collection in Smart City"， IEEE Transactions on Computers， 2016， 65（5）， pp. 1339–1350.

[16]Wiese， J.; Das， S.; Hong， J. I. et al.， "Evolving the Ecosystem of Personal Behavioral Data"， Human–Computer Interaction， 2017， 32（5–6）， pp. 447–510.

[18][19]NeuHub京東人工智能開放平臺，https：//aidoc.jd.com。

[20]光電容積描記（PPG）技術是一種紅外無損檢測技術，它利用光電傳感器，能檢測經過人體血液和組織吸收后的反射光強度的不同，描記出血管容積在心動周期內的變化，從得到的脈搏波形中計算出心率。

[21]李衛東：《政府信息資源傳播》，北京：科學出版社，2015年。

[22]海爾智慧家庭官網：《海爾U–home智慧家庭整體解決方案》，https：//www.haier.com/smarthome/。

[23][24]李衛東：《云傳播時代：人類傳播與治理的云端化、平臺化、泛在化、社交化和智慧化變革》，北京：科學出版社，2018。

[25]李衛東：《云傳播的發展趨勢與時代機遇》，《新聞與寫作》，2020年第6期，第5～13頁。

[26]Aazam， M.; Huh， E.–N.， "Inter-Cloud Architecture and Media Cloud Storage Design Considerations"， 2014 IEEE International Conference on Cloud Computing， 2014， 6， pp. 982–985.

[27]《OPPO賬戶隱私申明》，https：//muc.oppomobile.com/document/privacyPolicy/privacy_policy_zh-CN.html。

[28]微信官網：《微信分享及收藏功能》，https：//developers.weixin.qq.com/doc/oplatform/Mobile_App/Access_Guide/Android.html。

[29]微信官網：《微信登錄功能》，https：//developers.weixin.qq.com/doc/oplatform/Mobile_App/WeChat_Login/Development_Guide.html。

[30]維新派：《是誰，在“死磕”垃圾分類？》，2019年7月1日，https：//mp.weixin.qq.com/s？__biz=MjM5NjM4MDAxMg==&mid=2655082108&idx=1&sn=4d094bf6452ace26831709fd65e50dc2&scene=21#wechat_redirect。

[31][32]Facebook， "Data Usage Policy"， https：//www.facebook.com/policy.php.

[33]"Managing Risk for the Internet of Things： Executive Summary （A Report of the CSIS Strategic technologies Program）"， Feb.17， 2016， https：//www.csis.org/analysis/managing-risk-internet-things.

[34]Iqbal， M. A.; Olaleye， O. G. and Bayoumi， M. A.， "A Review on Internet of Things （IoT）： Security and Privacy Requirements and the Solution Approaches"， Global Journal of Computer Science and Technology： E Network， Web & Security， 2016， 16（7）.

[35]Mahmoud， R. et al.， "Internet of Things （IoT） Security： Current Status， Challenges and Prospective Measures"， The 10th International Conference for Internet Technology and Secured Transactions （ICITST–2015）， pp. 336–341.

[36]Kumar， J. S.; Patel， D. R.， "A Survey on Internet of Things： Security and Privacy Issues"， International Journal of Computer Applications （0975 –8887）， 2014， 90（11）， pp. 20–27.

[37]"Managing Risk for the Internet of Things： Executive Summary （A Report of the CSIS Strategic technologies Program）"， Feb.17， 2016， https：//www.csis.org/analysis/managing-risk-internet-things.

[38]Iqbal， M. A.; Olaleye， O. G. and Bayoumi， M. A.， "A Review on Internet of Things （IoT）： Security and Privacy Requirements and the Solution Approaches"， Global Journal of Computer Science and Technology： E Network， Web & Security， 2016， 16（7）.

[39]Maras， M.-H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99–104.

[40]Dang， L. M.， "A Survey on Internet of Things and Cloud Computing for Healthcare"， Electronics， 2019， 8， 768， pp. 1–49

[41]《全球200多處機密區域遭泄露，美英俄法荷被一款手表坑了》，觀察網，2018年7月11日，https：//www.guancha.cn/internation/2018_07_11_463658_2.shtml。

[42]《高科技人販子？智能玩具或有漏洞，當心兒童隱私泄露，甚至被拐賣》，網易，http：//dy.163.com/v2/article/detail/DOMM2SMS0526TKGE.html。

[43]Maras， M.-H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99–104.

[44]Facefirst， https：//www.facefirst.com/solutions/surveillance-face-recognition/.

[45]Youn， S.， "Facebook Gave Netflix， Spotify， Amazon Access to User Messages， Friends' Data： Report"， https：//abcnews.go.com/Technology/facebook-gave-netflix-spotify-amazon-access-user-messages/story？id=59907238（2018）.

[46]Sherr， I.， "The World's Biggest Social Network Is at the Center of an International Scandal Involving Voter Data， the 2016 US Presidential Election and Brexit"，? Apr.18， 2018 https：//www.cnet.com/news/facebook-cambridge-analytica-data-mining-and-trump-what-you-need-to-know.

[47]4iQ， 4iQ Identity Breach Report 2019 "Identities in the Wild： The Long Tail of Small Breaches"， https：//4iq.com/2019-identity-breach-report/.

[48]施巍松等：《邊緣計算：萬物互聯時代新型計算模型》，《計算機研究與發展》，2017年第5期。

[49]Dang， L. M. et al.， "A Survey on Internet of Things and Cloud Computing for Healthcare"， Electronics， 2019， 8（7）， 768， https：//doi.org/10.3390/electronics8070768.

[50]Vescovi， M.; Perentis， C. et al.， My Data Store： Toward User Awareness and Control on Personal Data， Proceedings of the 2014 ACM International Joint Conference on Pervasive and Ubiquitous Computing： Adjunct Publication， pp. 179–182.

[51]Antignac， T.; Scandariato， R. and Schneider， G.， "A Privacy–Aware Conceptual Model for Handling Personal Data"， International Symposium on Leveraging Applications of Formal Methods， 2016， Vol.9952， pp. 942–957.

責 編/張 曉