毕业设计外文资料翻译-物联网在网络世界里的隐私与安全

毕业设计外文资料翻译学院：专业班级：学生姓名：学号：指导教师：外文出处：(外文)InternetofThingsPrivacy&Securityinaconnectedworld附件：1.外文资料翻译译文；2.外文原文指导教师评语：英文资料选择合理，与毕业设计相关度较高，专业术语、词汇翻译的准确度较高，翻译材料能与原文保持一致，翻译工作认真细致，严格按照规定，语句通顺，翻译字、词数满足要求。达到考核、提高学生英语应用水平的目的！签名：2015年10月14日

1．外文资料翻译译文物联网:在网络世界里的隐私与安全此外，工作人员认为，为消费者提供明智的选择，在物联网仍然是可行的。这并不意味着每一个数据收集需要选择。委员会已经认识到，为保护个人隐私而不必为数据收集的每一个实例提供选择。在这2012个隐私报告，提出了建议最佳做法，该委员会表示，公司不应该被迫提供选择之前，收集和使用的做法，是符合交易或与消费者的关系的背景下，消费者的数据。事实上，因为这些数据使用的是一般消费者的合理预期一致，对提供的通知和选择可能得不偿失的消费者和企业的成本。这个原则同样适用于物联网。或者，假设消费者购买智能烤箱从自动售货机，这是连接到一个自动售货机的自动售货机，允许消费者远程打开烤箱的设置，“烤400度一小时”，如果自动售货机决定使用消费者的烤箱使用信息，以提高其温度传感器的灵敏度，或向消费者推荐另一种产品，它不需要为消费者提供一个选择，这是与消费者的关系。另一方面，如果烤箱制造商分享消费者的个人数据，例如，数据经纪人或广告网络，这样的分享会是不一致的背景下，消费者的关系与制造商，和该公司应该给消费者的选择。实践区分上下文适当数据的做法是不符合语境的降低了企业在每一个单一的数据采集为消费者提供选择机会的需要。工作人员承认提供选择的实际困难时，没有消费者的接口，并承认有没有一个尺寸适合所有的方法。一些选项，其中一些讨论由研讨会的参与者，包括以下：在销售点上的选择：一位汽车行业人士指出，他的公司为消费者提供选择在购买时“[P]在语言和多种选择的水平。”[161]教程：Facebook提供了一个视频教程，引导消费者通过其隐私设置页面。物联网设备制造商可以提供类似的车辆的解释和提供选择消费者。在设备上的代码：制造商可以将QR码或类似的条形码，扫描时，会把消费者与适用的数据实践的信息网站，让消费者通过网站界面进行选择[162]。在设置过程中的选择：许多物联网设备有一个初步的设置向导，通过这些公司可以提供明确的，突出的，和上下文隐私的选择。•管理门户或仪表板：[163]除了初始设置选择的可用性，物联网设备还可以包括用户可以配置和重新访问的隐私设置菜单。例如，在移动的情况下，苹果和谷歌（Android）开发了仪表板的方法，似乎是有前途的–是由数据元素的框架，如地理位置和联系人（苹果），一个是由个别的应用程序框架（Android）[164]。同样，企业发展的“指挥中心”，为他们的家庭连接设备[165]可以将类似的隐私的仪表板。正确地实施，这样的“仪表板”的方法，可以让消费者明确的方式来确定他们同意分享的信息。•图标：设备可以使用图标来快速传递重要的设置和属性，比如当一个设备被连接到互联网，用一个开关来接通或关闭。由消费者要求的通信“走出去”：当显示或用户注意是有限的，它是可能的通信重要的隐私和安全设置的用户通过其他渠道。例如，一些家庭设备允许用户配置他们的设备[166]，以便他们通过电子邮件或文本接收重要信息。通用隐私菜单：除了上面描述的特定的设置和选择的类型，设备及其相关的平台，可以使消费者聚集到“数据包”，这可能涉及更一般的设置，如“低隐私”，“介质”或“高”，伴随着一个明确的和明显的解释的设置。一个用户体验的方法：一位与会者指出，企业可以考虑一种方法，适用于学习从消费者行为的物联网设备，以个性化的选择[167]。例如，一个提供2个或更多设备的制造商可以使用一个设备上的消费者的偏好（例如，“不要将我的信息发送给第三方”）来设置另一个默认的偏好。作为另一个例子，一个单一的设备，如一个家庭设备的“集线器”，在消费者的家庭网络上存储的数据，可以了解消费者的喜好，根据先前的行为和预测未来的隐私偏好作为新的设备添加到集线器。当然，无论公司决定采取什么办法，它提供的隐私选择应该是清楚的，突出的，并不是埋在冗长的文件中[168]。此外，公司可能要考虑使用组合的方法。工作人员也承认在车间[169]所讨论的问题，如上面提到的，在白宫的大数据报告和成员积极应用，报告，通知，选择方法可以限制潜在的社会效益数据意外的新用途。基于这个原因，工作人员已将使用模型的某些元素融入到它的方法中。例如，选择带上下文的思想考虑将如何使用数据：如果使用的是与其他词的相互作用–语境相一致，这是一个预期的使用–然后公司不需要给消费者提供一个选择。对于使用这将是不一致的背景下的相互作用（即，意外），公司应提供明确的和明显的选择。公司不应收集敏感数据，未经明确表示同意。此外，如果一个公司能够收集消费者的数据，并立即确定数据，并立即和有效，它不需要提供选择，消费者对这一集。如上所述，强大的识别措施，可以使企业分析数据，他们收集，以创新的隐私保护的方式[170]。公司可以使用这样的去识别的数据，而无需提供消费者的选择。工作人员还指出，现有的法律，使用的方法适用于物联网。FCRA规定了若干法定保护适用于“消费者报告”的信息，包括限制使用该信息可以共享[171]。即使有这样的信息，允许使用，FCRA规定保护阵列，包括有关通知、访问、纠纷、和精度[172]。此外，联邦贸易委员会已经用它的“不公平”的权威挑战的一些有害使用消费者数据。例如，在公司最近的情况下对跨越实验室委员会声称，被告卖给消费者的发薪日贷款申请，包括消费者的社会安全和金融账号非银行有这个敏感的个人信息没有合法的需要[173]。然而，工作人员的关注，仅是采用了一个基于使用的模型为物联网。首先，由于使用的局限性还没有完全在进行立法或其他被广泛接受的多方利益相关者的代码，目前尚不清楚谁将决定哪些额外的用途是有益的还是有害的[174]。如果一家公司决定使用特定的数据是有益的，消费者不同意这一决定，这可能会损害消费者的信任。例如，有相当多的消费者强烈抗议脸谱网推出的灯塔服务，以及谷歌推出的Buzz社交网络，这最终导致了联邦贸易委员会的执法行动[175]。其次，使用限制单独不解决膨胀的数据收集和保留所产生的隐私和安全风险。正如上面所解释的，保持大量的数据可以增加公司的吸引力作为数据泄露的目标，以及与任何此类数据泄露的风险。为此，工作人员认为，企业应该寻求合理限制他们收集和处置的数据，当它不再需要。最后，一个基于使用的模型将不考虑收集敏感信息的做法的关注。176消费者很可能会想知道，例如，如果一个公司正在收集健康信息或作出推论他们的健康状况，即使公司最终不使用信息[177]。立法或被广泛接受的多方利益相关者建立的基础框架的使用可能会解决这些问题，应考虑。例如，该框架可以允许或禁止使用。在没有这样的立法或被广泛接受的多方利益相关者的框架，但是，该方法在这里提出的–给消费者的信息和选择的关于他们的资料–仍然是最可行的一个在可预见的未来，物联网。立法讲习班讨论摘要研讨会与会者讨论是否需要立法，以确保通过连接装置收集的数据进行适当的保护。一些与会者表示担忧，物联网带来的好处可能影响决策者制定行业法律法规[178]。一个参与者说，“[t]他联邦贸易委员会应提出本部门的监管非常谨慎，给在美国的创新的重要性。”[179]另一个参与者指出，“我们应该小心，以取得一个平衡，指导企业在正确的方向和执行之间的那种。”[180]还有一个担心车间可能代表为一套新的信息技术，监管制度的开始仍处于起步阶段，并建议决策者“行使克制，避免对严重危害进行调节的冲动”，[181]位与会者质疑立法会是什么样子，给出了隐私权界定的难点[182]。一些与会者指出，自我调节是采取适当的方法物联网。一位与会者指出，自律和最佳的商业行为，即技术中性的，随着消费者教育的首选框架，以保护消费者隐私和安全，同时加强创新，投资，竞争和稀土[183]的另一位参与者同意，声明“[的]小精灵管理制度已经很好地工作，以确保消费者隐私和促进创新，工业有着强大的发展和实施最佳实践的记录信息安全”[184]。其他与会者指出，时机成熟的立法，无论是具体的物联网或更普遍[185]。一位呼吁立法的参与者指出，“健康和健康监测设备的爆炸无疑对公众健康非常有益，值得鼓励，”但接着说：在同一时间，数据从这些互联网的东西设备不应该是可用的保险公司设置健康，生活，汽车，或其他保费。这些数据也不应该将数据迁移到就业决策、信贷决策、住房决策或者其他领域的公共生活中。借助物联网发展并获得潜在的公共健康利益这些设备可以创造我们应该安抚公众，他们的健康数据将不会被用于绘制意想不到的推论或纳入经济决策[186]。建议委员会工作人员认识到，这一行业正处于相对早期阶段。工作人员不相信隐私和安全风险，虽然真实，需要通过具体的具体立法在这一时间。工作人员表示，这些评论者也同意在这方面的创新潜力巨大，并专门针对在这一阶段的物联网的立法是不成熟的。工作人员也同意，发展自我监管计划[187]专为特定行业将是有益的，作为一种手段，以鼓励采用隐私和安全敏感的做法。然而，虽然物联网具体的立法是不需要的，研讨会提供了进一步的证据，国会应该制定一般的数据安全立法。如上所述，有广泛的协议之间的重要性，确保互联网设备的设备，一些与会者指出，现在市面上的许多设备，不合理的安全，构成风险的信息，他们收集和发送，也对消费者的网络信息，甚至在互联网上的其他人。188这些问题强调需要实质性的数据安全和违反通知立法在联邦水平。委员会继续建议国会制定强有力的、灵活的、技术中立的立法，以加强委员会现有的数据安全执法工具，要求公司在有安全漏洞时通知消费者。合理的和适当的安全措施是至关重要的解决问题的数据泄露和保护消费者的身份盗窃和其他危害。通知消费者违规他们的出现有助于消费者保护自己免受任何伤害，这可能是由于滥用他们的数据造成的。这些原则同样适用于物联网生态系统[189]。我们强调，一般的技术中立的数据安全立法应防止未经授权的访问个人信息和设备的功能本身。与物联网设备，这往往是不限于个人信息的妥协，但也牵连更广泛的健康和安全问题，说明这些保护的重要性。例如，如果一个心脏起搏器没有正确的安全，关注的不仅仅是健康信息可能被损害，而且还可能受到严重伤害的人[190]。同样，犯罪人进入汽车的网络可能导致车祸。因此，一般的数据安全立法应解决个人信息和设备功能的风险。此外，信息的收集和使用的普及，物联网可以加固基线隐私标准的需要[191]。委员会工作人员因此再次建议国会考虑制定基础广泛的（相对于物联网的具体）隐私立法。这种立法应灵活和技术中立，同时也为公司提供明确的规则，为公司有关的问题，如什么时候提供隐私通知给消费者，并提供他们选择的数据收集和使用的做法。虽然委员会目前有权采取行动对一些物联网相关的做法，它不能授权某些基本的隐私保护措施，如隐私披露或消费者选择，不存在欺骗或不公平的具体表现。参考文献：[160]隐私报告，前注85，在38-39；ID38（“委员会认为对一些做法，提供的好处是减少选择–要么因为同意可以推断或因不必要的公共政策选择。”）。[161]Kenneth韦恩鲍威尔的评论，丰田技术中心（“鲍威尔”），在278专题讨论会的文字整理稿。[162]参考文章29工作组意见，前注55，在18（即“设备制造商可以在装有传感器的QR码，东西打印或研描述传感器的类型和它捕获的信息以及用这些数据集”）。[163]评论未来隐私论坛，#484CMT。#000136。[164]看移动披露的报告，前注96，16-17。[165]克拉克，在比赛中建立指挥中心的智能家庭,都没有。WALLST.J.(Jan.4,2015),可在/articles/the-race-to-build-command-centers-for-smart-homes-1420399511。[166]洛伦佐大厅，民主与技术中心（“大厅”）的讲话，在216专题讨论会的文字整理稿。[167]Nguyen评论，48专题讨论会的文字整理稿。[168]本讨论是指企业如何向消费者传达选择的方式。冗长的隐私政策并不是最有效的消费沟通工具。然而，通过这些隐私政策的披露和选择提供一个重要的问责功能，使监管机构，宣传团体，和一些消费者可以理解和比较公司的做法和教育公众。看到隐私报告，前注85，在61-64。[169]见，例如，对未来隐私论坛的评论，#510CMT。#00013，APP。一个9岁；GS1美国的评论，#484CMT。#000305；软件与信息的评论。印度。ass'n.，#484CMT。00025#9。[170]见，例如，CTIA无线协会–评论，#484CMT。#0000910-11；对未来隐私论坛的评论，#510CMT。#000135。[171]§FCRA，15U.S.C.1681–1681v，FCRA第604款规定了允许的目的，消费者报告公司可以提供消费者报告信息，如延长信贷或保险或就业的目的。15U.S.C.1681B。[172]§FCRA，15U.S.C.1681–1681v。[173]新闻稿，FTC，FTC的指控数据经纪人与促进消费者账户的数百万美元的盗窃（2014年12月23日），可在/news-events/press-releases/2014/12/ftc-charges-data-broker-facilitating-theft-millions-dollars。[174]安Cavoukianetal.，信息。隐私通讯的R，不是，可以，隐私家长意想不到的后果（2014），可在http://www.privacybydesign.ca/content/uploads/2014/03/pbd-privacy_paternalism.pdf。[175]见，例如，谷歌公司，c-4336号（2011年10月13日）（同意令），可在/sites/default/files/documents/cases/2011/10/111024googlebuzzdo.pdf。176除收集敏感信息外，企业还可以通过从其他数据中推断出他们或其他人已经收集到的信息对消费者产生敏感信息。基于使用的模型可能无法解决，或提供有意义的通知，敏感的推论。在一定程度上，一个基于使用的模型限制或禁止敏感的推论将取决于该模型如何定义的危害和利益，以及如何平衡两者之间，以及其他因素。[177]当然，如果一个公司的错误如何使用数据，这可能是美国联邦贸易委员会法案5条款下的欺诈行为。美国联邦贸易委员会已经对公司承诺使用消费者数据的一个方法的情况，但它以另一种方式。看到的，例如，谷歌公司，前注175。联邦贸易委员会还可以利用其不公平的权力来禁止数据造成或可能造成实质性的伤害到消费者使用，那伤不是由消费者合理地避免，并在损伤不是由消费者或竞争所带来的效益。看到的，例如，designerware，LLC，c-4390号（2013年4月11日）（同意命令）（声称安装和打开人们的家用电脑的摄像头没有他们的知识或同意是不公平的做法），可在/enforcement/cases-proceedings/112-3151/designerware-llc-matter。[178]参考直接营销评论。协会，#484CMT。#00010。[179]评论互联网商务，#484CMT的煤。#000202。[180]在359的研讨会上发言的。对研究中心科技政策项目181评论，GeorgeMason大学，#484CMT。#00024在1和9。[182]瑟夫的评论，在专题讨论会的文字整理稿（“好的，我要告诉你，调控是很困难的。我不知道，如果有人问我，你会写一个规定，我不知道该说什么。我不认为我有足够的理解，可能出现的所有情况，以便说一些有用的东西，这就是为什么我相信我们将结束在我们了解问题的性质，甚至可能是自然的解决方案的性质。[183]美国商会发表评论，#510CMT。#0.0011at3。[184]消费电子的评论，Ass’N，#484CMT。#0.0027at18。[185]Hall的评论，专题讨论会的整理稿在180～81（基线隐私立法支持）；雅各布的评论，在360专题讨论会的书写稿（强调执法的重要性“在这期间”）。[186]peppet，物联网规范，注62at151。[187]莱特纳的评论，在56-57专题讨论会的手写稿（讨论自愿准则对能源数据进行）；对未来隐私论坛的评论，#484CMT。#00013（讨论在各种情况下的自我监管的努力）。[188]看到讨论超第10-14和附注。[189]一位评论者认为，违反通知的法律应该是更广泛的在物联网背景下。见备注的机能的提升，在220专题讨论会的整理稿（要求违反法律的通知被扩展为物联网，覆盖更多信息的类型，将导致消费者伤害但不满足现有个人信息法律保护下的定义）。委员会没有采取这样的做法，此时的位置。[190]安德列彼得森，恐怖分子可能已经破解了切尼的心，WASH,POST。（2013年10月21日），/blogs/the-switch/wp/2013/10/21/yes-terrorists-could-have-hacked-dick-cheneys-heart/.[191]专员ohlhausen对这部分员工的建议。她认为，联邦贸易委员会目前的5条管理局禁止不公平和欺诈性的行为或做法已经需要收集敏感的个人识别信息的通知和选择，防止造成或可能造成的巨大危害不超过由消费者向消费者或竞争利益消费者信息的使用。此外，FCRA，HIPAA和其他法律已经提供了额外的特定行业的隐私保护。因此，ohlhausen问题专员什么危害基线隐私立法将达到美国联邦贸易委员会的权威。

2.外文原文InternetofThingsPrivacy&SecurityinaConnectedWorldMoreover,staffbelievesthatprovidingconsumerswiththeabilitytomakeinformedchoicesremainspracticableintheIoT.Thisdoesnotmeanthateverydatacollectionrequireschoice.TheCommissionhasrecognizedthatprovidingchoicesforeveryinstanceofdatacollectionisnotnecessarytoprotectprivacy.Inits2012PrivacyReport,whichsetforthrecommendedbestpractices,theCommissionstatedthatcompaniesshouldnotbecompelledtoprovidechoicebeforecollectingandusingconsumerdataforpracticesthatareconsistentwiththecontextofatransactionorthecompany’srelationshipwiththeconsumer.Indeed,becausethesedatausesaregenerallyconsistentwithconsumers’reasonableexpectations,thecosttoconsumersandbusinessesofprovidingnoticeandchoicelikelyoutweighsthebenefits.160ThisprincipleappliesequallytotheInternetofThings.Forexample,supposeaconsumerbuysasmartovenfromABCVending,whichisconnectedtoanABCVendingappthatallowstheconsumertoremotelyturntheovenontothesetting,“Bakeat400degreesforonehour.”IfABCVendingdecidestousetheconsumer’soven-usageinformationtoimprovethesensitivityofitstemperaturesensorortorecommendanotherofitsproductstotheconsumer,itneednotoffertheconsumerachoicefortheseuses,whichareconsistentwithitsrelationshipwiththeconsumer.Ontheotherhand,iftheovenmanufacturersharesaconsumer’spersonaldatawith,forexample,adatabrokeroranadnetwork,suchsharingwouldbeinconsistentwiththecontextoftheconsumer’srelationshipwiththemanufacturer,andthecompanyshouldgivetheconsumerachoice.Thepracticeofdistinguishingcontextuallyappropriatedatapracticesfromthosethatareinconsistentwithcontextreducestheneedforcompaniestoprovideopportunitiesforconsumerchoicebeforeeverysingledatacollection.Staffacknowledgesthepracticaldifficultyofprovidingchoicewhenthereisnoconsumerinterface,andrecognizesthatthereisnoone-size-fits-allapproach.Someoptions–severalofwhichwerediscussedbyworkshopparticipants–includethefollowing:•Choicesatpointofsale:Oneautoindustryparticipantnotedthathiscompanyprovidesconsumerswithopt-inchoicesatthetimeofpurchasein“[p]lainlanguageandmultiplechoicesoflevels.”161•Tutorials:Facebookoffersavideotutorialtoguideconsumersthroughitsprivacysettingspage.IoTdevicemanufacturerscanoffersimilarvehiclesforexplainingandprovidingchoicestoconsumers.•Codesonthedevice:ManufacturerscouldaffixaQRcodeorsimilarbarcodethat,whenscanned,wouldtaketheconsumertoawebsitewithinformationabouttheapplicabledatapracticesandenableconsumerstomakechoicesthroughthewebsiteinterface.162•Choicesduringset-up:ManyIoTdeviceshaveaninitialset-upwizard,throughwhichcompaniescouldprovideclear,prominent,andcontextualprivacychoices.•Managementportalsordashboards:163Inadditiontotheavailabilityofinitialset-upchoices,IoTdevicescouldalsoincludeprivacysettingsmenusthatconsumerscanconfigureandrevisit.Forexample,inthemobilecontext,bothAppleandGoogle(forAndroid)havedevelopeddashboardapproachesthatseempromising–onethatisframedbydataelements,suchasgeolocationandcontacts(Apple),andonethatisframedbyindividualapps(Android).164Similarly,companiesdeveloping“commandcenters”fortheirconnectedhomedevices165couldincorporatesimilarprivacydashboards.Properlyimplemented,such“dashboard”approachescanallowconsumersclearwaystodeterminewhatinformationtheyagreetoshare.•Icons:Devicescanuseiconstoquicklyconveyimportantsettingsandattributes,suchaswhenadeviceisconnectedtotheInternet,withatoggleforturningtheconnectiononoroff.•“OutofBand”communicationsrequestedbyconsumers:Whendisplayoruserattentionislimited,itispossibletocommunicateimportantprivacyandsecuritysettingstotheuserviaotherchannels.Forexample,somehomeappliancesallowuserstoconfiguretheirdevicessothattheyreceiveimportantinformationthroughemailsortexts.•GeneralPrivacyMenus:Inadditiontothetypesofspecificsettingsandchoicesdescribedabove,devicesandtheirassociatedplatformscouldenableconsumerstoaggregatechoicesinto“packets.”166Thiscouldinvolvehavingmoregeneralsettingslike“lowprivacy,”“medium,”or“high,”accompaniedbyaclearandconspicuousexplanationofthesettings.•AUserExperienceApproach:OneparticipantnotedthatcompaniescouldconsideranapproachthatapplieslearningfromconsumerbehavioronIoTdevices,inordertopersonalizechoices.167Forexample,amanufacturerthatofferstwoormoredevicescouldusetheconsumer’spreferencesononedevice(e.g.,“donottransmitanyofmyinformationtothirdparties”)tosetadefaultpreferenceonanother.Asanotherexample,asingledevice,suchasahomeappliance“hub”thatstoresdatalocally–sayontheconsumer’shomenetwork–couldlearnaconsumer’spreferencesbasedonpriorbehaviorandpredictfutureprivacypreferencesasnewappliancesareaddedtothehub.Ofcourse,whateverapproachacompanydecidestotake,theprivacychoicesitoffersshouldbeclearandprominent,andnotburiedwithinlengthydocuments.168Inaddition,companiesmaywanttoconsiderusingacombinationofapproaches.Staffalsorecognizesconcernsdiscussedattheworkshop169and,asnotedabove,intheWhiteHouseBigDataReportandPCASTReportthat,appliedaggressively,anoticeandchoiceapproachcouldrestrictunexpectednewusesofdatawithpotentialsocietalbenefits.Forthisreason,staffhasincorporatedcertainelementsoftheuse-basedmodelintoitsapproach.Forinstance,theideaofchoicesbeingkeyedtocontexttakesintoaccounthowthedatawillbeused:ifauseisconsistentwiththecontextoftheinteraction–inotherwords,itisanexpecteduse–thenacompanyneednotofferachoicetotheconsumer.Forusesthatwouldbeinconsistentwiththecontextoftheinteraction(i.e.,unexpected),companiesshouldofferclearandconspicuouschoices.Companiesshouldnotcollectsensitivedatawithoutaffirmativeexpressconsent.Inaddition,ifacompanyenablesthecollectionofconsumers’dataandde-identifiesthatdataimmediatelyandeffectively,itneednotofferchoicestoconsumersaboutthiscollection.Asnotedabove,robustde-identificationmeasurescanenablecompaniestoanalyzedatatheycollectinordertoinnovateinaprivacy-protectiveway.170Companiescanusesuchde-identifieddatawithouthavingtoofferconsumerschoices.Staffalsonotesthatexistinglawscontainingelementsoftheuse-basedapproachapplytotheIoT.TheFCRAsetsforthanumberofstatutoryprotectionsapplicableto“consumerreport”information,includingrestrictionsontheusesforwhichthisinformationcanbeshared.171Evenwhenthereisapermissibleuseforsuchinformation,theFCRAimposesanarrayofprotections,includingthoserelatingtonotice,access,disputes,andaccuracy.172Inaddition,theFTChasusedits“unfairness”authoritytochallengeanumberofharmfulusesofconsumerdata.Forexample,intheagency’srecentcaseagainstLeapLab,theCommissionallegedthatdefendantssoldconsumerpaydayloanapplicationsthatincludedconsumers’SocialSecurityandfinancialaccountnumberstonon-lendersthathadnolegitimateneedforthissensitivepersonalinformation.173Staffhasconcerns,however,aboutadoptingsolelyause-basedmodelfortheInternetofThings.First,becauseuse-basedlimitationshavenotbeenfullyarticulatedinlegislationorotherwidely-acceptedmultistakeholdercodesofconduct,itisunclearwhowoulddecidewhichadditionalusesarebeneficialorharmful.174Ifacompanydecidesthataparticulardatauseisbeneficialandconsumersdisagreewiththatdecision,thismayerodeconsumertrust.Forexample,therewasconsiderableconsumeroutcryoverFacebook’slaunchoftheBeaconservice,aswellasGoogle’slaunchoftheBuzzsocialnetwork,whichultimatelyledtoanFTCenforcementaction.175Second,uselimitationsalonedonotaddresstheprivacyandsecurityriskscreatedbyexpansivedatacollectionandretention.Asexplainedabove,keepingvastamountsofdatacanincreaseacompany’sattractivenessasadatabreachtarget,aswellastheriskofharmassociatedwithanysuchdatabreach.Forthisreason,staffbelievesthatcompaniesshouldseektoreasonablylimitthedatatheycollectanddisposeofitwhenitisnolongerneeded.Finally,ause-basedmodelwouldnottakeintoaccountconcernsaboutthepracticeofcollectingsensitiveinformation.176Consumerswouldlikelywanttoknow,forexample,ifacompanyiscollectinghealthinformationormakinginferencesabouttheirhealthconditions,evenifthecompanyultimatelydoesnotusetheinformation.177Theestablishmentoflegislativeorwidely-acceptedmultistakeholderuse-basedframeworkscouldpotentiallyaddresssomeoftheseconcernsandshouldbeconsidered.Forexample,theframeworkcouldsetforthpermittedorprohibiteduses.Intheabsenceofsuchlegislativeorwidelyacceptedmultistakeholderframeworks,however,theapproachsetforthhere–givingconsumersinformationandchoicesabouttheirdata–continuestobethemostviableonefortheIoTintheforeseeablefuture.LegislationSummaryofWorkshopDiscussionsWorkshopparticipantsdiscussedwhetherlegislationisneededtoensureappropriateprotectionsfordatacollectedthroughconnecteddevices.SomeparticipantsexpressedtrepidationthatthebenefitsoftheIoTmightbeadverselyaffectedshouldpolicymakersenactlawsorregulationsonindustry.178Oneparticipantstated,“[t]heFTCshouldbeverycautiousaboutproposingregulationofthissector,givenitsimportancetoinnovationinAmerica.”179Anotherparticipantnotedthat“weshouldbecarefultokindofstrikeabalancebetweenguidingcompaniesintherightdirectionandenforcing.”180Stillanotherworriedthattheworkshopmight“represent[]thebeginningofaregulatoryregimeforanewsetofinformationtechnologiesthatarestillintheirinfancy”andadvisedpolicymakersto“exerciserestraintandavoidtheimpulsetoregulatebeforeseriousharmsaredemonstrated.”181Anotherparticipantquestionedwhatlegislationwouldlooklike,giventhedifficultyofdefiningthecontoursofprivacyrights.182Anumberofparticipantsnotedthatself-regulationistheappropriateapproachtotaketotheIoT.Oneparticipantstated,“self-regulationandbestbusinesspractices–thataretechnologyneutral–alongwithconsumereducationserveasthepreferredframeworkforprotectingconsumerprivacyandsecuritywhileenhancinginnovation,investment,competition,andthereeflowofinformationessentialtotheInternetofThings.”183Anotherparticipantagreed,stating“[s]elf-regulatoryregimeshaveworkedwelltoensureconsumerprivacyandfosterinnovation,andindustryhasastrongtrackrecordofdevelopingandimplementingbestpracticestoprotectinformationsecurity.”184Otherparticipantsnotedthatthetimeisripeforlegislation,eitherspecifictotheIoTormoregenerally.185Oneparticipantwhocalledforlegislationnotedthatthe“explosionoffitnessandhealthmonitoringdevicesisnodoubthighlybeneficialtopublichealthandworthencouraging,”butwentontostate:Atthesametime,datafromtheseInternetofThingsdevicesshouldnotbeusablebyinsurerstosethealth,life,car,orotherpremiums.Norshouldthesedatamigrateintoemploymentdecisions,creditdecisions,housingdecisions,orotherareasofpubliclife.ToaidthedevelopmentoftheInternetofThings—andreapthepotentialpublichealthbenefitsthesedevicescancreate—weshouldreassurethepublicthattheirhealthdatawillnotbeusedtodrawunexpectedinferencesorincorporatedintoeconomicdecisionmaking.186RecommendationsTheCommissionstaffrecognizesthatthisindustryisinitsrelativelyearlystages.Staffdoesnotbelievethattheprivacyandsecurityrisks,thoughreal,needtobeaddressedthroughIoT-specificlegislationatthistime.Staffagreeswiththosecommenterswhostatedthatthereisgreatpotentialforinnovationinthisarea,andthatlegislationaimedspecificallyattheIoTatthisstagewouldbepremature.Staffalsoagreesthatdevelopmentofself-regulatoryprograms187designedforparticularindustrieswouldbehelpfulasameanstoencouragetheadoptionofprivacy-andsecurity-sensitivepractices.However,whileIoTspecific-legislationisnotneeded,theworkshopprovidedfurtherevidencethatCongressshouldenactgeneraldatasecuritylegislation.Asnotedabove,therewaswideagreementamongworkshopparticipantsabouttheimportanceofsecuringInternet-enableddevices,withsomeparticipantsstatingthatmanydevicesnowavailableinthemarketarenotreasonablysecure,posingriskstotheinformationthattheycollectandtransmitandalsotoinformationonconsumers’networksoreventoothersontheInternet.188Theseproblemshighlighttheneedforsubstantivedatasecurityandbreachnotificationlegislationatthefederallevel.TheCommissionhascontinuedtorecommendthatCongressenactstrong,flexible,andtechnology-neutrallegislationtostrengthentheCommission’sexistingdatasecurityenforcementtoolsandrequirecompaniestonotifyconsumerswhenthereisasecuritybreach.Reasonableandappropriatesecuritypracticesarecriticaltoaddressingtheproblemofdatabreachesandprotectingconsumersfromidentitytheftandotherharms.Notifyingconsumersofbreachesaftertheyoccurhelpsconsumersprotectthemselvesfromanyharmthatislikelytobecausedbythemisuseoftheirdata.TheseprinciplesapplyequallytotheIoTecosystem.189Weemphasizethatgeneraltechnology-neutraldatasecuritylegislationshouldprotectagainstunauthorizedaccesstobothpersonalinformationanddevicefunctionalityitself.ThesecurityrisksassociatedwithIoTdevices,whichareoftennotlimitedtothecompromiseofpersonalinformationbutalsoimplicatebroaderhealthandsafetyconcerns,illustratetheimportanceoftheseprotections.Forexample,ifapacemakerisnotproperlysecured,theconcernisnotmerelythathealthinformationcouldbecompromised,butalsothatapersonwearingitcouldbeseriouslyharmed.190Similarly,acriminalwhohacksintoacar’snetworkcouldcauseacarcrash.Accordingly,generaldatasecuritylegislationshouldaddressriskstobothpersonalinformationanddevicefunctionality.Inaddition,thepervasivenessofinformationcollectionandusethattheIoTmakespossiblereinforcestheneedforbaselineprivacystandards.191CommissionstaffthusagainrecommendsthatCongressconsiderenactingbroad-based(asopposedtoIoT-specific)privacylegislation.Suchlegislationshouldbeflexibleandtechnology-neutral,whilealsoprovidingclearrulesoftheroadforcompaniesaboutsuchissuesaswhentoprovideprivacynoticestoconsumersandofferthemchoicesaboutdatacollectionandusepractices.AlthoughtheCommissioncurrentlyhasauthoritytotakeactionagainstsomeIoT-relatedpractices,itcannotmandatecertainbasicprivacyprotections–suchasprivacydisclosuresorconsumerchoice–absentaspecificshowingofdeceptionorunfairness.REFERENCES[160]PrivacyReport,supranote85,at38-39;id.at38(“TheCommissionbelievesthatforsomepractices,thebenefitsofprovidingchoicearereduced–eitherbecauseconsentcanbeinferredorbecausepublicpolicymakeschoiceunnecessary.”).[161]RemarksofKennethWaynePowell,ToyotaTechnicalCenter(“Powell”),Transcriptofworkshopat278.[162]SeeArticle29WorkingGroupOpinion,supranote55,at18(proposingthata“devicemanufacturercouldprintonthingsequippedwithsensorsaQRcode,oraflashcodedescribingthetypeofsensorsandtheinformationitcapturesaswellasthepurposesofthesedatacollections”).[163]CommentofFutureofPrivacyForum,#484cmt.#00013at6.[164]SeeMobileDisclosuresReport,supranote96,at16-17.[165]DonClark,TheRacetoBuildCommandCentersforSmartHomes,WALLST.J.(Jan.4,2015),availableat/articles/the-race-to-build-command-centers-for-smart-homes-1420399511.[166]RemarksofJosephLorenzoHall,CenterforDemocracy&Technology(“Hall”),TranscriptofWorkshopat216.[167]RemarksofNguyen,TranscriptofWorkshopat48.[168]Thisdiscussionreferstohowcompaniesshouldcommunicatechoicestoconsumers.Lengthyprivacypoliciesarenotthemosteffectiveconsumercommunicationtool.However,providingdisclosuresandchoicesthroughtheseprivacypoliciesservesanimportantaccountabilityfunction,sothatregulators,advocacygroups,andsomeconsumerscanunderstandandcomparecompanypracticesandeducatethepublic.SeePrivacyReport,supranote85,at61-64.[169]See,e.g.,CommentofFutureofPrivacyForum,#510cmt.#00013,App.Aat9;CommentofGS1US,#484cmt.#00030at5;CommentofSoftware&Info.Indus.Ass’n.,#484cmt.#00025at6-9.[170]See,e.g.,CommentofCTIA–TheWirelessAss’n,#484cmt.#00009at10-11;CommentofFutureofPrivacyForum,#510cmt.#00013at5.[171]FCRA,15U.S.C.§1681–1681v.Section604oftheFCRAsetsforththepermissiblepurposesforwhichaconsumerreportingcompanymayfurnishconsumerreportinformation,suchastoextendcreditorinsuranceorforemploymentpurposes.15U.S.C.1681b.[172]FCRA,15U.S.C.§1681–1681v.[173]PressRelease,FTC,FTCChargesDataBrokerwithFacilitatingtheTheftofMillionsofDollarsfromConsumers’Accounts(Dec.23,2014),availableat/news-events/press-releases/2014/12/ftc-charges-data-broker-facilitating-theft-millions-dollars.[174]ANNCAVOUKIANETAL.,INFO.&PRIVACYCOMM’R,ONT.,CAN.,THEUNINTENDEDCONSEQUENCESOFPRIVACYPATERNALISM(2014),availableathttp://www.privacybydesign.ca/content/uploads/2014/03/pbprivacy_paternalism.pdf.[175]See,e.g.,GoogleInc.,No.C-4336(Oct.13,2011)(consentorder),availableat/sites/default/files/documents/cases/2011/10/111024googlebuzzdo.pdf.[176]In