物联网与个人信息安全

同互联网的安全问题一样，物联网安全也永远会是一个被广泛关注的话题。

在物联网应用领域，中国目前尚未发生大规模个人信息泄露事件。但国外发生的一些类似事件，值得引起对物联网场景中个人信息安全风险的关注。2007年1月，美国零售商TJX公司宣布计算机系统被黑客入侵。该系统用于信用卡和借记卡交易，部分美国、英国和爱尔兰客户的资料被盗，其中包括2003年9个月里的交易信息。当年3月28日，美国证券交易委员会公布了TJX公司递交的文件，文件里承认，由于公司计算机系统存在安全漏洞，从2005年开始，黑客就已开始不断实施行为进入计算机数据库，导致至少4 570万顾客的信用卡和借记卡信息被泄露。同时，有超过45万名退货的顾客，包括驾驶证号码在内的个人信息被盗取。^[23]2012年，美国德克萨斯州一名高中生因拒绝佩戴学校要求的嵌有RFID的标牌而被学校勒令退学，学生诉诸地方法院寻求帮助。该地方法院随即颁布一项临时禁令，维护该学生继续待在学校的权利。然而，该事件远非如此简单。随后，一名美国地区法官表示，该学生以宗教信仰为由拒绝佩戴标牌理由不充分。^[24]由此可见物联网应用个人信息问题的复杂性。

物联网个人信息安全问题属于物联网安全的一部分。关于物联网安全，有研究人员分析认为，物联网系统的安全和一般IT系统的安全基本一样，主要涉及8个方面：读取控制、隐私保护、用户认证、不可抵赖性、数据保密性、通信层安全、数据完整性、随时可用性。前4个方面主要处在物联网的应用层，后4个方面主要发生在物联网的传输层和感知层。^[25]而物联网中又存在一些特有的安全问题，如Skimming、Eavesdropping、Spoofing、Cloning、Killing、Jamming、Shielding等。^[26]

物联网场景中的个人信息安全风险同云计算一样，都可以参考数据安全的分析方法。分析物联网场景中的个人信息安全威胁，也可以通过分析其网络体系架构来开展（如图1．3所示）。一般来说，物联网的体系架构可以分为三层：感知层、网络层和应用层。感知层通过感知技术（如RFID技术、传感器控制技术等）采集相关的数据和信息。网络层通常以现有的互联网或移动通信网为基础，该层上的感知数据管理与处理技术是实现物联网功能的核心技术。应用层负责信息处理和人机交互，提供各种各样的应用给用户，把个人或行业信息化需求与物联网技术相结合，以达到应用的智能化、广泛化。各个分层中都存在着潜在的个人信息安全风险，如感知层中的RFID系统的安全性问题、网络层中个人信息传输时的泄密性问题、应用层中的个人信息非法利用问题等。感知层的个人信息安全风险是物联网场景区别于其他场景的地方，在网络层和传输层，其面临的个人信息安全威胁与云计算并无太大差别。

图1．3　物联网场景中的个人信息安全分析思路