当“智能硬件”遇到GDPR

文/本刊记者 王素 黄帅


  “全球最严厉个人数据保护法案”GDPR在欧盟被强制执行以来,建立在数据采集、传输、存储和运算等数据流基础上的智能与物联网产品和服务首当其冲成为“重灾区”。在GDPR的枪口下,我国的智能硬件厂商还能在欧盟合规合法地做生意吗?
  
  TüV莱茵作为首家参照欧盟《通用数据保护条例》(GDPR)推出物联网(IoT)产品相关评估检测服务的第三方认证机构,近日正式发布《2018年GDPR业务发展白皮书》(以下简称“白皮书”)。本刊记者就以上疑问深度采访了德国莱茵TüV大中华区电子电气产品服务技术支持与研发总经理罗黎,他在智能产品和信息安全领域拥有多年实战经验。他预计,未来隐私保护有可能成为出口贸易技术壁垒中的一个新增部分,意味着出口企业需要提前针对类似GDPR的技术要求做好充分准备。
  
  隐私安全成欧盟消费者心头痛
  
  根据白皮书披露的有关数据,在政策支持、技术发展与需求增长的驱动下,我国物联网(IoT)市场规模预计至2021年可增长至1.5万亿元人民币。同年,欧盟的IoT市场需求预计将达到2964亿元人民币。这块巨大的蛋糕将由智能硬件、车载设备、智能可穿戴、智能医疗设备和智慧城市构成。触发这一巨大市场潜力的首要前提是突破数据与隐私安全的行业瓶颈。
  
  欧盟消费者的态度也印证了以上观点。一项欧盟境内的调查显示,在消费者对IOT产品的担忧中,智能硬件用户担心隐私泄露(61%)的比例远远超过了担心黑客攻击(35%),排在第1位。欧盟国家中,法国(72%)、德国(65%)、英国(63%)、美国(59%)和瑞典(44%)为消费者担心物联网会带来隐私泄露风险占比最高的前5位国家。
  
  “在与我国智能硬件厂商接触的过程中,我的一个最直观的感受是,我国企业对个人数据保护的表现参差不齐。目前,对个人隐私和信息安全防护关注度最高的是涉及采集视频流和音频流的企业,其次是一些智能家电产品,比如智能电视、智能照明、智能机器人和智能小家电等。”谈及我国智能硬件厂商的数据保护现状,罗黎总结道。但他也表示,我国多数企业内部已经有了数据保护意识。尤其在GDPR法案公布以后,他明显感到企业把零零散散的各部门所属数据汇总到整个公司层面进行管理的趋势,此举可视为企业对GDPR最积极的反应。
  
  厂商一不小心就会“踩雷”
  
  我国智能硬件厂商往往不是不想合规,而是一不小心就违规。
  
  对照欧盟GDPR数据保护法案的要求,按照收集、传输、存储和处理的数据流走向考虑,厂商的每个环节都有可能存在“不符合项”。罗黎由此指出,代码层、硬件层、产品服务层和IT评估层,就是容易被踩的“雷区”。
  
  所谓代码层不符合,即在软件设计过程中使用了非必要的用户数据,未对一些数据和过程进行加密或加密不合格,也没有给客户知情同意的权利;所谓硬件层不符合,即智能产品在硬件设计中有不合规的传感器或执行器,有某些不合规的功能模块。二者共同构成了智能产品的前端,亦是数据收集端,罗黎称之为“信息防护的最前沿”。
  
  产品服务层和IT评估层则共同构成了智能产品的后端。按照数据流的走向,信息收集后,企业可能需要对数据进行汇总和分析,根据用户反馈执行推送,做产品服务的提升和升级,这些将涉及产品后端的信息安全。如果产品服务前端的渗透性测试未通过,以及加密或隐私保护不合格,那么服务后端的代码就有可能存在漏洞,从而增加从后端泄露用户隐私的风险;而如果厂商的IT环境不合格,泄露风险则会从内部滋生。对于后者,罗黎举了一个例子。如果企业的产品出口欧盟境内,公司内部的服务器对用户数据进行统一存储,那就意味着此服务器以及公司内部的信息安全保护也要达到一定水平,否则将造成大量信息从内部泄漏。



   
  这样做才能不被GDPR“擒住”
  
  当“智能硬件”遇见GDPR,谁称王,谁成寇?
  
  为了不被欧盟GDPR“擒住”,罗黎建议我国智能硬件厂商未来发展中从战略和技术两个层面调整自身数据安全管理。
  
  在战略层面,一定规模的企业设置数据安全保护官(DPO)有利于自上而下推动企业的信息安全保护,这亦与GDPR的核心内容不谋而合。
  
  技术层面需要解决企业如何开始“下手”的问题。目前,我国大部分企业都意识并认同了信息安全保护的重要性,但它们面临的一大问题是整个公司运营层面的各个环节并没有通盘考虑。对此,企业需要先从信息收集的“第一关口”——硬件产品端的信息安全入手。
  
  “从产品端开始的好处,是可以为企业内部的研发团队和其他团队积累经验。找到突破口后,企业内部通过一两个项目的实践总结,从而在公司层面形成一个应对信息安全的清晰认知和合理设置。比如,DPO的设置、整体信息管理的设置,乃至第三方供应商的管理。” 罗黎对此解释道。
  
  下沉到产品端的软件设计层面,企业需要划出一条个人隐私的“设计红线”:红线以内的内容要有合适的加密方式,使产品在使用过程中体现用户权限。罗黎介绍称,TüV莱茵的服务特点亦是从产品研发端介入,从软硬件各个层面提高产品信息安全的保护水平,也提高企业的信息安全防护意识。
  
  针对产品后端的信息安全保护,罗黎建议企业向专业的第三方机构咨询,后者将提供差异性的风险评估与分析,帮助企业找到数据流处理过程中的漏洞和薄弱点,从而进行相应的提高和改善。
  
  需要强调的是,GDPR的火力不仅仅对准智能硬件厂商,软件商、APP商,以及云平台服务提供商均需要严肃地关注个人隐私和信息安全问题。目前,我国OEM厂商对于信息安全的准备和认知相对品牌商来说更加匮乏,在此希望它们针对GDPR要求,提前进行准备。


评论区

网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述

电子刊




留言

问:现在单纯的外贸公...
答:将将您们的现状,...

问:进出口经理人有跟...
答:我们与很多公司开...

问:电子版的杂志哪能...
答:网站首页右侧有个...

问:绍兴港现代物流园...
答:会

问:可以在邮局订阅“...
答:可以在邮局订阅本...

问:亚美尼亚有什么内...
答:到达这个地方有两...




版权所有 | 关于我们 | 投稿 | 俱乐部 | 杂志订阅 | 广告服务 | 联系我们 | 反馈意见

 

©2005-2012 Imp-Exp Executive All rights reserved.

北京市公安局西城分局备案编号110102003025-9 | 京ICP备05055788号-13  《进出口经理人》杂志社版权所有

未经许可,不得转载。欲转载者请发邮件至: qyb@tradetree.cn 联系授权事宜