加強智能家居系統中個人信息保護與人工智能應用

一、引言

2024年1月，國家市場監督管理總局發布一份智能門鎖抽查報告，抽查了北京、山東等13個省份廠家生產的269個批次的智能門鎖，發現產品不合格率超過18%，智能家居產品的安全隱患問題引起社會各界關注。

智能家居系統依托物聯網、云計算、大數據等信息技術的融合，結合語音、手勢、觸摸等交互方式，實現對家居的遠程控制、自動化執行、語音交互、數據分析、自主學習等多功能服務。近年來，隨著通用人工智能技術的不斷成熟，智能掃地機、智能攝像機等多種類型的智能家居產品呈現出較高的人工智能技術滲透態勢。人工智能技術在智能家居中的廣泛應用，在大大提升家庭自動化、便利性和互動性的同時，也帶來了不容忽視的隱私和個人信息保護問題。

二、智能家居個人信息保護現狀

智能家居已成為個人信息的重要采集場景，持續處理包括身份信息、生物特征、健康狀況等在內的敏感個人信息，通過智能分析獲得用戶的個性、偏好等深層次的信息，為提升智能家居用戶體驗提供數據支撐，在此過程中存在多重安全風險挑戰。

一是因設備安全脆弱性導致的非法竊取或泄露風險。由于物聯網、嵌入式智能家居終端安全漏洞較多，通常與未經保護的家用互聯網相連，網絡攻擊者可以輕易侵入家庭網絡，定位智能家居設備，尋找設備漏洞開展攻擊，不僅可以竊取個人信息，還可以控制智能設備，進行監視、偽造等危險操作。2023年10月，由IMDEA網絡公司、美國東北大學牽頭組成的研究團隊發現，通過UPnP協議等標準的本地網絡協議，攻擊者就能夠訪問如家庭的地理位置信息、智能設備的名稱、唯一設備標識符等數據。

二是不合理的使用或者濫用風險。不同品牌、不同廠商的智能設備互聯互通是消費者的迫切需求，但是由于不同廠商的個人信息保護標準不完全一致，個人信息處理者的責任劃分不明確，導致個人信息共享和交換存在不透明和不規范的問題。例如，2022年，亞馬遜收購智能吸塵器廠商iRobot后，通過Roomba吸塵器等收集的家居地圖數據來分析消費者行為并進行市場營銷，這類數據的潛在商業用途引起了社會廣泛擔憂。

三是特殊人群的個人信息保護問題更為突出。目前，中老年人正日益成為智能家居的重要用戶，65%的準銀發家庭（界定在50-59歲）為單品智能家居用戶，5%為全屋智能家居用戶。智能家居設備在兒童教育、看護方面也發揮著重要功能。針對這些特殊人群的智能設備會放大原本的安全危險，2023年，瑞士巴塞爾大學生物醫學倫理研究所發表的《利用智能家居保健技術護理老年人的倫理問題研究》報告建議針對特殊人群制定更高的合規要求。

四是人工智能算法偏見問題。算法偏見一般產生于算法訓練、參數設置階段，偏見一旦形成將直接損害用戶的利益。此外，當前算法決策過程往往缺乏可解釋性，進一步加劇了算法偏見問題不良影響，在決策關系到人的生命和基本權利時尤為明顯。2019年，《自然》雜志刊登的《數百萬人受到醫療算法中的種族偏見影響》報告指出，美國一種廣泛使用的醫療預測算法在預測病人需要額外的醫療服務時，對黑人病人存在系統性偏見。研究發現，算法使用醫療費用作為健康需求的代理變量，由于收入水平差異，黑人病人的醫療開支通常較低，比起同樣病情的白人病人，黑人病人被算法錯誤地判定為更健康。

三、智能家居人工智能應用現狀

人工智能技術在智能家居系統中發揮著日益重要作用的同時，也暴露出不可忽視的安全問題，主要體現在以下幾個方面。

（一） 人機交互

智能家居系統通過自然語言處理、計算機視覺等技術，提升對非結構化數據的分析、識別能力，實現對用戶的語音、手勢、面部表情等多模態信息的識別和理解，從而提供更加友好和便捷的人機交互方式。例如，蘋果公司的Siri，小米公司的小愛同學、百度公司的小度等允許用戶通過語音命令控制智能設備，通過手勢或面部表情控制智能鏡，甚至可以通過心率或腦電波控制家電設備。

人機交互系統通過頻繁的與用戶互動，持續收集和分析用戶的日常習慣、健康信息等數據，如果未授權訪問或泄露，可能導致隱私侵犯。

（二） 數據分析

智能家居系統通過機器學習、深度學習、數據挖掘等技術，對用戶使用習慣、外部環境因素等進行數據分析和挖掘，提取出有價值的信息和知識，改進智能設備的設置。例如，智能家電可以對家庭環境進行分析，實現智能節能和優化；智能音箱根據聲音特點分辨不同的使用者，進行不同類型的音樂推薦。

在數據分析和處理過程中，如果匿名化處理不充分，容易出現用戶私人習慣和偏好泄露的問題。此外，大多數智能家居系統需要與音樂流媒體、數據分析等外部服務提供商合作，在與第三方共享數據的過程中，如果缺乏嚴格隱私保護措施，用戶的信息可能被不當使用或泄露。2014年，美國知名IT廠商貝爾金在其WeMo智能家居系統誤用了GPG非對稱加密功能，攻擊者利用此漏洞可入侵WeMo系統通信鏈路，竊取用戶信息，甚至將兒童監視器篡改為竊聽器，獲取用戶日常對話、活動習慣等敏感數據。

（三） 智能決策

智能家居系統通過推理規劃、知識圖譜、強化學習等技術，實現不同場景下的智能決策和控制。例如，可以根據用戶的日程安排，自動調節家庭內的溫度、濕度、光照等參數。

智能決策的場景越復雜，對算力要求就越高，大多數家居系統選擇將智能決策功能部署在高算力的云服務器上，在提高系統可靠性的同時，也帶來數據傳輸和存儲的安全風險。2019年，亞馬遜Alexa智能家居系統的某些用戶發現他們的語音命令和對話內容被未經授權的第三方監聽。調查顯示，問題源于亞馬遜的內部審計團隊在處理用戶錄音時未嚴格遵循隱私保護規定，導致錄音泄露。

四、挑戰與應對策略

智能家居系統在提供便利的同時，也面臨著安全保護措施不到位、缺乏法律法規落地細則、用戶個人信息保護意識欠缺等問題，需要從法律、技術、管理多個層面入手，加強智能家居領域的個人信息保護。

（一） 強化個人信息處理全流程的安全保護措施落地

智能家居企業應切實落實《個人信息保護法》的相關要求，在個人信息處理活動的各環節開展全面的合規工作。

1. 個人信息收集合規

個人信息收集的合法基礎是關鍵，智能家居企業應當從產品設計階段即建立個人信息收集的合規機制以及恰當的告知同意機制。主要包括：結合產品特點和使用方式，針對一般個人信息、敏感個人信息設計恰當的告知同意機制，默認關閉收集生物識別信息的功能；遵循最小化原則，僅收集必要的個人信息、以最低合理頻率向云平臺傳輸個人信息；間接收集個人信息時，應要求提供方說明個人信息的來源，并對來源合法性進行確認等。

2. 采取嚴格的身份鑒別和訪問控制措施

智能家居與家庭生活安全的相關性很高，只有經過身份認證和授權的用戶才能訪問用戶個人信息。例如，對所有接入智能家居的應用終端、用戶進行身份鑒別，對于重要的查詢、控制操作采用兩種或以上的方式進行身份鑒別；對于需要通過顯示界面展示的個人信息以實現功能的設備，默認采取去標識化處理，如需展示全部個人信息，進行身份鑒別；采用最小授權機制，對用戶的操作進行訪問控制等。

3. 個人信息傳輸和存儲安全

所有通過智能家居設備傳輸和存儲的個人信息，無論是通過內部網絡還是云服務，都應采用適當的加密措施。例如，使用高標準的加密算法如AES（高級加密標準）和TLS（傳輸層安全協議）等，特別是涉及攝像頭的通信應完全加密。此外，隨著中國智能家居海外市場份額的不斷擴大，數據出境活動也愈加頻繁。各廠商應依據《促進和規范數據跨境流動規定》及相關指南，履行數據出境合規義務。例如，識別并分類重要數據和個人信息，統計出境數據數量，判斷是否適用豁免條件，進行數據出境安全自評估或個人信息保護影響評估等。

（二） 加強人工智能技術在智能家居系統中應用的管理

智能家居產業目前處于不斷創新發展的階段，隨著生成式人工智能等技術的逐步普及，智能家居設備的智能化水平將得到進一步提升，ChatGPT、文心一言等生成式人工智能技術與虛擬語音助手終端加速結合，提供更加智能、準確和個性化的服務。

1. 明確各服務供應商的角色和職責

智能家居企業應進一步明確各方在生成式人工智能管理方面的義務，有效落地《生成式人工智能服務管理暫行辦法》。如果涉及多個服務提供者，需要劃分責任，明確責任主體。例如，智能家居應用供應商如扮演生成式人工智能服務供應商的角色，需依法承擔網絡信息內容生產者責任，履行網絡信息安全義務。同時，智能家居平臺方作為供應商的一環也應當對生成式人工智能產品的預訓練數據、優化訓練數據來源的合法性負責。

2. 加強算法安全管理

《互聯網信息服務算法推薦管理規定》構建了針對算法的綜合治理體系。作為算法推薦服務提供者的智能家居廠商需要落實算法備案要求，建立健全算法機制機理審核、科技倫理審查、用戶注冊、信息發布審核、安全評估監測、安全事件處置等管理制度和技術措施。同時，廠商應當加強用戶模型和標簽化管理，保障信息主體，尤其是老年人、未成年人等特殊主體的權益。

3. 設置信息主體行權機制

智能家居廠商應當設置便捷有效的用戶申訴和公共投訴、舉報入口，明確處理流程和反饋時限，及時受理、處理用戶訴求并反饋處理結果。此外，還可以在智能家居產品中增設用戶反饋機制以持續優化系統性能。

（三） 組織宣傳教育，廣泛動員社會提升隱私保護水平

提升群眾隱私保護意識是一個系統工程，需要社會各界共同努力，形成長效機制，構建更加安全、信任的數字空間。

1. 提升用戶隱私保護意識

教育用戶識別和防范安全威脅至關重要，社會各界應通過各種渠道普及個人信息保護知識。例如，終端設備廠商在產品用戶手冊中加入個人信息保護的基本知識和最佳實踐，平臺廠商提供在線教育資源和講座等。

2. 提升用戶隱私保護能力

平臺廠商可以通社交媒體平臺定期發布安全提示，如何設置強密碼、如何識別網絡釣魚攻擊等。此外，設備的初始設置應引導用戶啟用所有必要的安全功能，如兩步驗證和復雜的訪問密碼。

3. 推動產業協同聯動

鼓勵企業依法通過個人信息保護認證、個人信息保護合規審計等途徑證明和提升個人信息保護合規水平。建立基于標準的智能家居產品第三方認證測評機制，幫助平臺廠商盡早發現產品安全隱私漏洞和風險，樹立社會公信力。通過標識將安全顯性化呈現，定期更新和發布認證審核結果，保持消費者信任，助力智能家居產業鏈健康發展。