浅论物联网安全相关法律制度的建设与完善

1、浅论物联网安全相关法律制度的建设与完善姓名:刘艳班级：法学二班学号：20141568浅论物联网安全相关法律制度的建设与完善 浅论物联网安全相关法律制度的建设与完善法学院法学2班刘艳20141568摘要：物联网是随着互联网的普及以及移动通讯网的广泛应用而发展起来的新生事物，它整合了互联网技术，移动通讯技术以及电子签名技术等多种技术形成了一个全新的技术领域。作为战略性新兴产业的重要组成部分，目前我国的物联网产业正方兴未艾，其应用领域已经覆盖到电力、通信、医疗、交通、国防甚至家居等方面。伴随着物联网等相关产业的迅速发展，相关的法律问题也不断浮出水面。比如物联网在发展过程中涉及到海量信息的传递和存储工

2、作，其中的环节便很可能存在信息泄露的问题。而且我们也必须认识到，我国的物联网产业还存在很多的制约性因素，整体来看，我国的相关核心技术与发达国际相比还有一定差距，国际领先技术相对还比较少，但是，在现阶段，制约我国物联网发展的主要因素不仅仅限于相关技术层面的问题，相应的制度设计与配套的法律法规法律层面的建设与完善也是无法回避的问题。因此，本文在简要介绍物联网及其技术之后，将主要探讨物联网发展过程中可能涉及的法律问题与风险，并结合自己的专业和当前立法现状，提出立法与相应制度建设的建议，为物联网及相关产业的发展提供外部的支持与保障。关键词：物联网网络信息安全人工智能公共利益网络安全法信息安全法实名认证

3、预警、处置机制正文：物联网的基本概念物联网，简言之就是“物物相连”的网络，根据国际电信联盟在2005年在信息社会世界峰会给出的定义，物联网是指在计算机互联网基础上利用射频识别（RIFD）技术、无线通信技术、红外传感器、全球定位系统、激光扫描器等信息传感设备，按照约定协议，把任何物体与互联网连接起来，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。国际电信联盟的定义涵盖了物联网整体运行过程中的关键技术环节。物联网的主要特征要想明确物联网的主要特点，最有效的方式应该就是将其与传统的概念，互联网进行比较。我们知道，物联网技术是通过将“物”所包含的信息与有线和无线网络连接，通过

4、互联网技术对信息进行传导，从而大大降低物与物之间的沟通成本，同时提高现实资源的使用效率，使得真实的物理世界与虚拟世界产生良好的契合点1。具体而言，物联网不同于互联网的特征在于：（1）网络媒介更加广泛在物联网时代，可以“上网”的媒介以井喷的方式大量出现，大到我们身边的交通工具，医疗器械，小到我们个人身上的手表，手环，钥匙，远到田间的瓜果蔬菜，近到身边的小区花园，家用电器，从日常生活中的家用用品到城乡的各种基础设施，都能包含在物联网这个超级网络中。这样，可以上网的事物便远远不是传统的互联网的电脑，智能手机，掌上电脑所能比拟的。（2）网络采集数据的实时性互联网的信息传播都需要通过其他渠道获取信息之后

5、，在通过编辑的过程储存到数据库中，而在物联网时代，通过类似电子标签技术，可以随时随地记录要检测无团体的信息。比如在蔬菜种植过程中，通过田间的感应器可以随时随地记录蔬菜所在地的空气湿度，温度，还可以通过视频设备等随时了解蔬菜生长过程，蔬菜的大小，颜色等是否达标等问题，种植户都可以随时得知1。与此同时，我们应该注意到，这种实时采集数据的特点会同时产生大量的记录信息，这也就对信息的存储和保护提出了更高的要求。（3）技术应用的智能化与人性化物联网主要解决的是物与物、人与物、人与人之间的互联问题。万物相连，其目的之一就是实现智能化。因此可以预见，在未来的物联网中，机器人等人工智能之物必定会扮演着十分重要

6、的角色。而人工智能使物开始具备意识和行为能力，那么它在与人进行交互时就必然会带来一些安全问题。因此，相较于互联网，物联网无疑将人类的活动空间和行为轨迹扩展到了人、物、信息无缝相连的新领域，这就不可避免地使人类的行为方式、行为规则和社会结构产生变化和影响。物联网的发展概况及由此带来的法律风险2009年8月，国务院总理温家宝在中科院无锡高新微纳传感网工程技术研发中心考察时提到：要尽快建立中国的传感信息中心。2009年西安优势电子公司成功研制了我国第一颗物联网电子芯片，唐芯一号。2010年，我国国务院在关于加快培育和发展战略性新兴产业的决定中，决定将物联网作为一项战略性新兴产业进行培育和发展。201

7、1年，物联网又被作为新一代信息技术的重点领域被纳入到十二五规划中。根据中国报告大厅2015年物联网的发展现状分析所言，目前物联网已经运用于城市公共安全、工业安全生产、环境监控、智能交通、智能家居、公共卫生、健康监测等多个领域中，且呈现出不断扩大的趋势3。由此带来的法律问题与风险：（1）来自于人的安全威胁来自“人”的物联网安全法律问题，主要是指人通过物联网侵犯他人权益的问题。在这其中，人是罪魁祸首，物只是作为工具，且物的功能和性质没有发生改变。而在该类问题中，又以射频识别（RFID）技术所产生的影响最为明显。比如：A通过RIFD侵犯个人隐私RFID系统由电子标签、读写器、天线和计算机系统几个部分

8、组成，它利用无线射频方式在读写器和电子标签之间进行非接触双向数据传输，以达到目标识别和数据交换的目的。由于这种识别和交换往往具有不可见和不可控性，再加上相关规则的不确定性，导致现在RFID技术在成就物联网的同时，也成为了一个重大安全隐患。首先，电子标签本身存在较大隐私风险。电子标签的信息存储容量较大，且具有较高的数据处理效率，这就使人们把更多信息存储在标签中变为可能。然而，将更多的信息集中在一个嵌有电子标签的设备上，使人们可以同时用一个设备购物、上班、停车、加油、看病、上学、吃饭等，将导致各种信息（包括隐私信息）过于集中，一旦泄露，个人隐私将可能被和盘托出。其次就是，电子标签中的隐私信息可被第

9、三方读写器非法读取，不法分子也可通过RFID技术对个人进行监控和跟踪。同时，不法分子还可以通过在多处设置读写器，对电子标签携带者的行踪轨迹和位置进行记录，以实现监视跟踪的目的。B通过RFID入侵计算机信息系统但在物联网时代，新的犯罪形式可谓层出不穷。如黑客可能利用RFID系统来入侵计算机信息系统。假设一黑客进入一家商店购买了一个贴有电子标签的商品并将其带回家;接着他撕下标签并贴上另一个包含了恶意代码的标签;他回到商店并让收银台重新扫描这件商品;这样恶意代码就进入了商店的电脑系统，可任意更改产品价格和销售数据，并允许外部访问者进入商店的数据库。通过这种方式，轻则造成数据泄露，重则导致系统瘫痪、和

10、大量财产损失。C.新类型的犯罪模式对法律监管提出了难题首先是对此类犯罪的预防工作越来越困难，其次是由于对这类犯罪的立法规制缺位使得司法人员在实际审判中处理困难，再就是，如何将这类行为与传统的侵权行为进行有效的连接，全面的将这些问题纳入现有的法制轨道中，都是法律监管不得不面对的问题。来自于物的安全威胁前面已经提到，物联网发展的特征之一便是智能化与人性化。人工智能使物开始具备意识和行为能力，那么它在与人进行交互时就必然会带来一些安全问题。来自“物”的物联网安全法律问题，要就是指物对人之权益的侵犯问题。而物对人之侵犯，又可以分为两种:第一种，被植入恶意程序之物对人实施的侵犯;第二种，人工智能自发对人

11、实施的侵犯。第一种与前述来自“人”之安全威胁的不同之处在于，被植入恶意程序之物的功能或性质发生了改变4。传统的法律调整的是人与人之间的行为，而在物联网中，行为却不再局限于人与人之间，这其中的法律责任又该如何追究呢?对此，我认为，对于被植入恶意程序之物，无论是否有针对性的对人或物实施了侵害行为，最终都可将法律责任追究到恶意程序植入者身上。然而，在追究完人之法律责任后，对物该如何处理?处理的到底是物本身，还是程序或代码?这里有学者提出除了删除程序之外，还要对物进行销毁5。但我个人觉得，既然我们法律是调整人与人之间的关系，那么在此处惩罚物又有何意义呢？而且根据“技术中立”的观点，这种物的存在本身是没

12、有错的，其违法性是由其利用者所导致的。对物联网及其应用领域规制的必要性对物联网及其应用领域进行法律规制，不仅是出于对公民个人权益的维护与保障，而且也是对整个国家及社会公共利益的维护，其重要性与必要性当然是不言而喻的！立法现状及建议出台专门的RFID法规前面已经提到,RFID技术是物联网的关键核心技术。而目前我国并没有强制性的RFID安全标准，也没有相应的RFID法律规范。也就是说，只要条件允许，任何人可以在任何时间、任何地点，对任何电子标签进行读取。而这将对个人隐私和信息安全带来严重威胁7。面对隐患，美国、欧盟均就RFID出台了专门的规定。如2009年5月12日，欧盟委员会制定并通过了射频识别

13、技术(RFID)应用中隐私和数据保护原则的建议为欧盟各国RFID应用中的数据和隐私保护提供了具体的框架。2011年1月12日，欧盟发布RFID应用隐私与数据保护影响评估框架，为对RFID应用进行隐私影响评估提供了框架指导。欧盟委员会还于2011年4月6日宣布与行业组织、企业、欧洲网络和安全委员会以及欧洲个人信息和隐私数据保护组织签订了RFID隐私数据保护协议。而且美国也有14个州对此作了专门规定2。因此，在我看来，中国应尽快出台一部专项的RFID法规，以应对目前国内在RFID应用领域存在的实际问题。通过该法规明确RFID设备生产和服务企业的准入门槛;将数据加密作为一项最基本要求；明确个人的权利

14、，对RFID的相关设备进行认证，确保其安全性；明确滥用、非法使用RFID技术所应承担的法律后果等。(2)加快个人信息保护法立法进程隐私和个人信息保护是网络信息时代中的一个普遍问题。而对于物联网应用而言，该问题又不可避免。个人信息和隐私保护方面法律的完善健全，对于整个物联网产业的健康、有序发展是必不可少的。欧盟早在1995年就颁布了关于涉及个人数据处理的个人保护以及此类数据自由流动的指令，此后又陆续推出了多个个人数据保护指令，构建了一套严谨完善的个人数据保护体系。美国虽然没有颁布一部综合的保护法，但其也通过行业自律的方式建立起了一套完整的保护体系6。在中国，2012年全国人民代表大会常务委员会关

15、于加强网络信息保护的决定的出台，随后工业和信息化部通过了电信和互联网用户个人信息保护规定，对个人信息等基本概念、保护原则、信息收集和使用规则、安保措施、监督检查和法律责任等都作出了详细规定，国务院于2012年12月26日颁布的“征信业管理规定”中明确了对个人信息采集进行保护的相关规定。在隐私保护方面，我国直到2009年的侵权责任法才首次明确了“隐私权”的法律地位。然而，对于何为隐私权并没有作过多的界定，这就导致司法上往往难以解答何为隐私、判定侵犯隐私的标准是什么这些问题2。总之我国目前对个人信息并没有专门性，综合性的个人信息保护法，只是这次刑法修正案九加大了对公民个人信息的保护力度，扩大了非法

16、获取个人信息罪的犯罪主体，对侵犯个人信息行为的范围也进行了扩充，但刑法作为社会的底线，仅仅靠他来保护公民个人信息远远是不够的。而对于隐私权的保护，我个人觉得，除了目前的侵权责任法之外，还可以通过相关司法解释以及对民法通则的修缮来完善。（3）加快制定网络安全法应该来说，物联网的安全问题，是网络安全的一个子问题。斯诺登事件也让我们意识到这个问题的严重性。而无论美国还是中国，均没有一部综合性的网络安全立法。虽然两国均对入侵计算机信息系统等涉及到网络安全的内容进行了规制，如美国的伪造接入设备及计算机欺诈和滥用法、计算机安全法、联邦信息安全管理法等，中国刑法中的非法侵入计算机信息系统罪、全国人大常委会关

17、于维护网络安全的决定等，但近年来黑客攻击、网络恐怖主义、网络犯罪、网络基础设施故障等事件的不断增加，都显示出两国在应对网络安全问题上由于立法不足而导致的尴尬局面。因此，加快网络安全立法步伐是十分有必要的。（4）深入开展人工智能立法研究人工智能的安全问题在物联网发展过程中是不可避免的。人工智能之物是否必须遵循一定的行为规范?毋庸置疑，人工智能之物必须守法。但法律是调整人的行为的规范，不可能支架要求物来守法。这二者也并不是不可调和的。在我看来，从本质上讲，代码、程序是人工智能之物的核心，而这些核心“思想”的设计和制造者还是人。我们可以在人工智能之物的开发和设计中，应对其设置一些最基本的原则，并通过

18、程序、代码根植于人工智能之物中。使得这些程序、代码在任何情况下都作为最为优先的命令进行执行。如果智能之物企图对人类进行伤害，那么通过最初设置的程序代码，使其在行使伤害行为之前就自毁4。因此，立法只需要规制这些程序，代码的设计者和开发者即可。相关制度完善的建议（1）建立物联网安全应急预警、处置机制，保证对物联网（尤其是人工智能之物）的安全威胁进行预警和事先处置的能力。（2）建立物联网实名认证制度（3）建立信息保留期限制度，及对私密信息的存储时间做出规定，只要超过时限就即使销毁这些数据。（4）建立信息分类定性制度，明确各种信息的性质，比如哪些是可以共享的，哪些是需要授权才能获取的，哪些是信息所有者才能修改的等7。结语：正如北京大学法学院张平博士所说：“任何空间都需要秩序，技术的发展只有在有序的环境下才能造福人类。”2法律对于新生事物的规范是为了更好的促进其发展。作为引领最新科技潮流的物联网产业，不可避免的存在这样那样的问题，但其发展是大势所趋，我们能做的，就是在法律层面积极配合，加快相关研究工作的进程，通