边缘计算社区 · 2022年08月29日 · 北京市

王捷:边缘计算--物联网场景下的七大数据合规挑战

内容来源:2022年8月6日,由边缘计算社区主办的全球边缘计算大会·深圳站圆满落幕。会上,垦丁(广州)律师事务所执行主任王捷受邀发表了主题为《边缘计算--物联网场景下的七大数据合规挑战》的精彩演讲。

分享嘉宾:垦丁(广州)律师事务所执行主任  王捷

整理编辑:厦大志愿者互助小组

出品:边缘计算社区

王捷:非常荣幸,今天能在全球边缘计算大会跟大家分享与法律相关的内容,我很庆幸能在职业初期在大型互联网平台工作,而目前我所执业律所也是一家完全专注于网络法服务的律所,这让我在整个职业过程中一直关注互联网这一块的内容。

image.png

今天为大家分享边缘计算&物联网与个人信息跟隐私数据保护方面的话题,主要是三大部分。

image.png

1、 边缘计算与物联网之隐私问题

大家可能会觉得法律是一个比较晦涩的东西,我认为所有法律条文都是写给普通人看的,都是为每个自然人服务的,关键是怎样在技术应用过程当中去识别出具体的法律关系以及拆分出究竟有哪些风险,我们首先来看一下边缘计算跟物联网这一块究竟有哪些隐私相关的问题。

image.png

首先,大家知道边缘计算最大的应用场景之一是物联网,很多智能家居、智能移动设备都是应用边缘计算的技术。我们知道云服务器通常在数据中心会远离很多终端客户,但是边缘服务器是比较靠近终端设备,目的就是为了确保高带宽和低延迟,这里会发生一个事情,终端设备通常会与这些边缘服务器进行通信从而获得快速的响应,往往隐私相关的问题就在这里发生了,那会发生哪些跟隐私相关的问题呢?

我们需要区分两个概念,隐私和个人信息是不一样的,隐私更多是强调我们每个自然人主体生活的安宁权,私人生活不受打扰。个人信息在法律层面更多是关注我的哪些个人信息字段被收集了,我作为个人信息主体的权益能不能得到有效的保障?当运营者把我的信息收走之后怎样处理、使用和存储我的信息?运营者是如何向第三方共享、对外提供的?我的个人信息能否得到更好的保障?

边缘计算领域有三大需要注意的隐私问题。

image.png

首先是数据隐私问题,数据在终端设备跟边缘服务器之间传输,相对于数据中心而言,边缘服务器其实比较难控制,并未被赋予很多严格的要求,很容易造成隐私泄露的问题。

第二,是位置隐私问题,指的是边缘服务器用户的位置隐私,边缘侧通常会连接到地理上最接近边缘服务器,为了就是完成卸载任务等等,很容易被他人推理出用户所在地理信息,而地理位置信息属于敏感的个人信息,用户行为信息很容易被泄露。

第三,是身份隐私问题,因为当我们和边缘服务器连接的时候,用户会提交他的个人信息,这些信息最终会跟用户的身份相关,比方说我使用终端设备的时候,我通过支付方式把钱付出去了,与我相关的个人信息例如我的实名认证信息会被记录,则容易导致个人信息泄露的问题发生。

边缘计算可以极大赋能物联网,法律人眼里又是怎样理解物联网呢?

image.png

物联网,是万物互联,我们通过拆分概念来进一步理解它,我把物联网的定义拆分为五个关键点:连接载体、连接媒介、连接对象、连接行为、连接的目的,把他们连起来就很容易理解,物联网,即通过各种信息设备,利用互联网,将各种物理对象进行链接,并进行自动信息交换,从而实现对不同物体进行定位、跟踪、监控和管理。而隐私和数据问题往往会发生在连接和交互的行为,通过连接行为很多的信息被进行了交互,提供和共享。

image.png

上面这张图是国家标准指南《信息安全技术网络安全等级保护基本》要求中的附录截图,把法律人眼中物联网呈现出来,主要分三层,感知层、网络传输层、应用层,每层都可能会发生数据安全问题。

感知层,我们去接触物理设备,会有一个交互动作,在交互动作中我们可能会被搜集了个人信息,而当设备去收集用户的个人信息时候,需要获得用户的同意,不能随意和无端地被收集。但是在例如智能家居等物联网场景当中很难有交互界面去获得用户同意,那怎么办呢?这个是需要探讨与解决的问题。

网络传输层,会进行传感数据的储存、查询、分析、访问等动作,与数据安全、网络安全等内容相关。

最后是应用层,通过感知层采集数据进行智能处理、挖掘、分析、加工、利用后,这些数据会变成“石油”,很有价值,那在加工处理过程当中要遵守哪些规则呢?这个也是法律所关注的问题。我们国家出台了很多标准指南,会在网络传输层、应用层以及感知层等级保护里面有很详细的要求。

2、 物联网场景下的七大数据合规挑战

image.png

今天主要围绕数据的问题进行展开,在物联网场景中,主要总结了几大值得关注的合规问题。

image.png

首先,是主体同意的问题。这个点比较容易理解,比如说我们向一个人索要东西,我需要尊重你的意志先看你是否允许我们去收集能不能收集?第二,你要知道我是谁,我们国家法律写得很清楚,向用户收集个人信息集的时候要有隐私协议,必须要写明,你是谁,即哪个公司是个人信息处理者,如果很多个个人信息处理者,在隐私协议当中需要明确各自的身份。

很多企业很“聪明”地通过进行一揽子授权的同意的方式来收集信息,但法律也很聪明,也明确对如何获得有效的同意进行了明确要求,例如,不能默示同意,需要主动勾选同意,并且要求用户给的同意是明确的、知情的,而且是自愿的,不能被强迫,不能因为不同意某个附加功能就影响其他基本功能的使用。

还有一点特别需要注意,很多时候我们产品更新迭代很快,功能也会发生变化,此时,个人信息收集的场景和处理的方式也会发生变化,这个时候需要重新获得用户的同意。为什么要强调同意的问题?因为国家很关注每个数据主体的权利,我们作为数据主体,有访问、查看、删除、修改、获得副本等用户权利,当我不想被设备收集信息的时候,我可以撤回我的同意,我也可以要求运营者对我的信息进行删除甚至销毁,这个过程非常重视个人权益的行使。

image.png

第二个很大问题经常出现过度收集的情况,所谓过度收集是指不管三七二十一只要是个个人信息我就收集,很多跟功能实现目的没有关系的信息也收,比方说,一个英语学习的APP要收你的地理位置大家觉得合理吗?是不是合理要看你有没有相关的场景,如果说英语学习APP的主要功能是学习英语并不需要收集我的地理位置信息,但是如果我给它创设一个场景,比如说这是一款英语服务类的APP,帮助你去搜索在你家庭或者公司附近一些英语学习机构或者帮你匹配一些老师,那基于这个理由收你的个人地理位置,从场景的角度而言存在一定的合理性。所以,在收个人信息的时候,需注意个人信息的收集需要与实现产品和服务功能是密切相关的,并且有一个必然的关系,而且这个关联关系要很直接,才能够满足我们国家最小必要跟实现目的的基本原则。

另一点,收集信息的时候是高频采集还是低频?间隔多少时间可以再去收集?法律是有很明确规定,要求在采集个人信息的时候频率应该是最低频率,但是最低频率怎样定义呢,确实这个是讨论的点。我们认为,尽量降低反复通过弹窗提示索要用户同意的频率,应该间隔一定的时间段。关于最少数量,是指采集足够去实现这个产品功能目的的个人信息就可以了,不要过多采集,因为过多采集回来的信息可能是冗余信息,不一定有很大价值或用处,反而还给自己挖坑,信息不是采集的越多就越好的。

当我们收信息的时候,法律上分一般个人信息和敏感个人信息,如果是涉及到敏感个人信息,比方说有感知设备收集到人脸识别信息,指纹信息,在法律上面很明确肯定是敏感个人信息,法律要求说在收集敏感个人信息的时候是要单独同意,什么叫单独同意?单独同意跟捆绑同意是区分开来的,比方说一款产品突然要收了我的人脸信息,根据现有一些合规要求你要弹一个窗,单独去拿我的授权去用,比方说是使用支付宝支付的时候有人脸支付验证的功能,会发现单独弹窗提示你,而不是直接在你进入这个产品的时候通过一个隐私政策一揽子去获得这个同意。

感知层面很难去获得用户的同意,那怎么办呢?弹窗或者单独页面的告示。以米家为例,在页面上有一个明确要求用户进行主动勾选的隐私政策的界面,有文案告诉你为什么收集,收了什么信息;还会在触发每个权限的时候进行说明,例如,我现在要开启相机的权限,清晰告诉你为什么需要开启相机权限,因为是为了让你可以实现扫码,所以要调用相机的权限。那如果我不想授权了怎么办呢?它也给了一个很清晰的路径告诉你可以在哪里把授权取消掉,还很贴心说我是怎样保证你的数据安全,你点击下拉菜单会看到公司已经采取的数据安全技术措施是什么,通过这样的做法,作为用户,在使用这个设备或者使用产品的时候也会更加安心。

image.png

说到数据的处理离不开去讨论数据本地化跟跨境传输的内容。

本地化是我们国家明确规定的其中一个内容。首先,先就我国个人信息保护相关的法律进行一个简单的介绍,个人信息保护相关的法律,是我们整个国家法律立法速度最快的一个领域,大家可以明显感知到国家网络安全法,国家安全法,个人信息保护法,数据安全法都是这几年紧密出台的法律,每个法配套很多的指南,我自己曾经做过个人信息和数据安全合规的法律汇编,长达2000多页纸,我们经常开玩笑说做法律人很辛苦做数据合规的律师更辛苦,因为经常会掉一屋子的头发(若需要相关的法律汇编文件可以联系我索取,文末有我微信)。

image.png

我们国家明确要求了三种应当把个人信息只存在中国大陆境内的情况,比如说国家机关处理个人信息,关键信息基础应用运营者,如果你不是国家机关也不是CIIO的话,但是你达到某个规定的数量,也需要在境内进行存储。我们需要判断是否落入必须进行本地化存储的主体范围、判断是不是的确有向境外提供的必要,如果有,还需要进一步判断是否做了个人信息保护影响评估、是否通过了国家安全评估。

现在我们有好几种本地化解决的方案,我从法律的层面给大家介绍一下,第一个是实时数据本地化,比如说我两个端口,我在收集的时候我一部分存在国内,同时我有一个境外端口,这个数据是实时存在境外的服务器上面,这个是可以吗?第二个是延迟的数据本地化,即数据先存在境外,过一段时间同步到境内,也实现境内存储要求,那这可以吗?这两种方式其实都各有问题。第一种做法相对于水龙头开了总闸但没有分闸其实并没有对这些信息进行分类,没有办法区分是否是必须要在境内存储的主体类型与情况。延迟本地化存储也存在监管层面的问题,变成了先出去再回来,国家立法的目的所要保护主体权益并没有达到,对于涉及到例如水利、能源、资源等民生利益的重要数据,需要先判断能否出去,再决定是否让这些数据出去,而非先出去了再通过回传的方式实现本地化存储。

而区分监管数据本地化是相对而言比较合规的做法,即在数据出去的时候设计一个开关,对监管要求进行本地化存储的数据,先去判断这些信息是不是属于我们刚才提及的情况,如果是,则按照法律的要求来进行评估与处理,如果不是,则可以通过其他数据出境的合规路径进行出境,在数据出境的时候也要遵守关于数据出境的相关法律要求。数据出境是最近在法律圈讨论非常火热的要点,我最近写了一个数据出境合规100问,把各类数据出境需要考虑到的相关问题进行汇总,大家有兴趣关注出海互联网法律观察的公众号获取。

image.png

数据出境的时候重点想提两点,第一怎样理解出境的问题,这个“境”不仅是跨越物理边界的过程,更是一个跨越司法管辖区域的事情。比如说,如果信息从境内传输到香港,是否属于出境?由于香港属于一个独立的司法管辖区域,因此出境到香港的情况也属于数据出境。再举一个例子,如果说海外员工去访问境内的服务器算是出境吗?其实也是算的。跨国集团内部的传输,公司内部的传输行为算是出境吗?其实也是算的。关于这一点法律规定非常详细,今天时间有限先不展开了。

image.png

数据安全评估办法将于今年9月1日实施了,给很多企业法务或者外部顾问带来很多工作,首先要判断落不落入需要做安全评估的范围,其次需要关注如果开展评估,应该什么时候开展,如何申报,提交哪些材料等等。

image.png

我们很重要的一个目标是为了保护个人信息和隐私安全,所以做数据保护影响评估也是非常重要的一点。什么情况下需要做数据影响评估呢?我们个人信息保护法最高的法律规定很清楚,比如说处理敏感信息,自动化决策信息,用了算法机制,比方说我委托了一个另外第三方去分析加工处理的信息,还有一个经常出现的情况,我们的企业会经常有上下游供应商涉及到很多第三方提供对外公开,对外披露的情况共享的情况,这个时候也是需要进行影响评估的,还有向境外很敏感情况,以及对个人权益有重大影响的个人信息处理活动也是属于的。

image.png

最后一点信息泄露,其实在座都是安全的专家,在这一块是非常的懂的,我在这里想表达的观点,其实整个过程中都可能发生信息泄露的问题,那我们更关注在哪个环节要做合规或者注意法律层面要求是什么?比如说使用环节要有一个单独同意,你能不能做到单独同意?做到程度能不能满足法律最低合规标准?比如说存储跟传输过程中,我们有很多国标明确规定一定要加密一定要脱敏,也有配套国家密码技术应用指南要规定了加密到什么水平才算是行业的水平,还有删除销毁的环节会规定存多少时间,最少时间是多少,什么时候可以存,什么时候要删除,怎样删除,删除到怎样情况,除了删除还不行,还要多做一些销毁的动作,销毁怎么销?很多纸质文件很多档案是不是要焚烧,焚烧过程当中怎样记录过程,有哪些监督人员都规定很详细。

image.png

以智能家居为例复盘一下刚才遇到几个环节。很多智能家居设备的时候我们很难取得用户的同意,在家庭里面有很多小孩子,小孩子信息也是很重要的,国家专门出台了保护未成年人特别是儿童的个人信息的相关法律,例如,怎样确定这个人是孩子的监护人也是一个问题,还有隐蔽收集个人信息情况,被泄露被攻击的风险,例如在家庭里面安装的摄像头会收集到孩子面部的信息,一旦设备有问题,对应的敏感个人信息就可能会泄露了,这个也是很大的风险。

3、 如何做好物联网数据合规

image.png

最后跟大家分享一下怎样做好物联网数据合规,这个话题很大,我们平时给客户去培训时候会很详细地展开谈,但是今天时间关系,我总结三个点,主要是三个步骤,一个是创建合规性清单,第二是预估跟分析风险,第三是全面测试以及搭建管理体系。创建合规性清单,帮助公司更好梳理内部的信息情况,不会给公司增加很多负担,反而为了让你业务跑得更快去做的动作,比方说我们刚才提到分重要数据跟个人信息一旦落入影响军事安全、水利、文化、社会等等,会认为重要数据,这个时候你的合规要求非常高。

另外是个人信息,分为普通个人信息跟敏感个人信息,个人信息安全规范的法律文件中对附录对此有明确的界定,例如这个表格上面是已经定义下来属于敏感个人信息的信息,当然设备去收这些信息要特别注意;第二块就是做好一个预估跟分析风险,例如,智能汽车就像是一个超级APP,连接很多设备,连接过程当中涉及到很多信息,涉及到车内驾驶信息,乘客信息,也会涉及到车外摄像头拍到行人的信息,在这么复杂交互环境中就会很容易发现一些数据的风险,主要是做预估风险跟提前规避。那怎样做预估风险跟提前规避?这个是体系搭建体系测试有关系了。

image.png

(PPT)左右两边就是保护法则,一边是个保法确定下来个人信息保护基本法则,这块留给法律人解决,关键是右边隐私设计基本原则,这是我们产品研发设计跟整个开发过程中一定要关注的,在研发之初这些信息能不能收,实现怎样的场景,如果提前没有规划,而是产品设计出来后再去和安全、法务同事沟通这个不行,不合规,让产品再去改就会很痛苦。

(PPT)上面是确定企业合规目标,下面是需有组织环境支持,及整个企业需要非常支持数据保护。我们整体可以采用PDCA方式去做,苹果公司保护用户隐私就是最大卖点,合规目标很清晰,合规要求是非常高的,但相对于初创企业是先谋发展而言,那么安全目标可以稍微降低一下,这个时候配套合规措施也会有所调整,此阶段的企业并不需要花费巨大成本,但需要做到最低限度的合规;即在整个研发过程当中要去关注法律关注的点,以便在研发过程中更好识别产品出来是否符合相关法律的要求,而不至于付出更高合规的代价跟成本。

以车联网安全体系为例,涉及到很多方面,我刚才想要提到的生命周期,在一款汽车研发过程当中会涉及到很多部分,而我们就会把我们个人信息收集全生命周期表嵌入到产品生命周期里面,从个人信息采集、使用、处理、对外提供、对外披露、对外公开到后面删除销毁的整个生命周期,嵌入到产品发展的生命周期当中去。

image.png

全面测试、体系搭建,数据泄露之后你是怎样响应,设置响应制度以及公司整体数据合规政策制度,做好风险评估,这个评估可能需要法务人员跟公司内部数据安全人员一起做,还有更重要的是数据主体的权益,我们要配套相应机制及时响应,用户来了我要删除我的数据,我要访问我的数据,我要把我的数据拿走,这个给企业带来很实在的问题,这个都是我们需要关注的点。

一个企业要走得远,需要尽量往合规方向去做,才能走得更远,谢谢大家!

作者:王捷
来源: 边缘计算社区  

推荐阅读

注:本文只代表作者个人观点,与任何组织机构无关,如有错误和不足之处欢迎在留言中批评指正。
尊重知识,转载时请保留全文,并包括本行及如下二维码。感谢您的阅读和支持!
二维码.gif
欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。
推荐阅读
关注数
12096
内容数
208
关于边缘计算的一切。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息