信息技术与伦理/物联网 (IoT)

物联网 (IoT)

介绍
自从数字计算机系统诞生以来，计算机的尺寸不断缩小，功能不断增强。从房间大小的主机开始，计算机已经从庞大的台式机发展到公文包笔记本电脑，再到手机和平板电脑。下一个合乎逻辑的步骤是扩展到物联网 (IoT)。物联网由所有现在具有利用互联网和网络基础设施来提高系统功能的设备组成 (Poudel, 2019 p. 997)。

常见用途包括大多数传统计算机、平板电脑和智能手机之外的设备。现代物联网设备的一些例子包括汽车、烤面包机、灯泡、恒温器、门锁等等。一个更具体的例子是 Nest 恒温器。这款设备通过提供传统的接线连接来取代传统的恒温器。连接后，这款设备能够利用互联网提供 24/7 全天候访问您的家庭恒温器。您可以通过移动应用程序随时更改温度。此外，Nest 还能够根据时间表进行编程，检测温度变化或居民的接近程度，并根据这些条件对住宅进行加热或冷却 (Poudel, 2019 p.998)。最初的想法是，Nest 恒温器能够通过这些新功能来减少浪费的能源数量。

物联网仍然相对较新，并且随着新想法和功能被添加到日常用品中，它正在快速发展。物联网的理念是提供一个相互连接的设备网络，这些设备可以使用来自其他设备的信息做出更明智的决策。这目前可能存在问题，因为许多物联网设备与其他物联网设备不兼容。这意味着物联网设备的制造或实施没有标准。缺乏标准可能会导致许多安全和隐私问题，无论是从技术角度还是法律角度。

尽管物联网技术的进步为用户带来了易用性，但也引发了人们对其用户隐私的担忧。由于制造商一直在收集数据，这会对设备用户的隐私构成威胁。这些数据包括敏感信息，并且经常与其他第三方共享以用于收集和广告目的。这种敏感数据的收集有时是直接通过传感器进行的，有时是间接通过推断进行的 (Poudel, 2016, p.1013)。这种数据收集，无论直接或间接，都包括但不限于：个人健康信息，例如体重、心跳、用户人口统计信息和驾驶习惯。一个例子是收集来自用于锻炼的物联网设备的数据，制造商可以通过分析用户的锻炼程序、锻炼频率、完成一定距离所需的时间以及心率如何随每项活动变化，推断出用户的饮食、心脏状况和压力水平。

在一篇名为“物联网与隐私侵权的潜在补救措施”的文章中，作者阐明了一些关于这些设备产生了多少数据的关键事实和统计数据，并透露根据 FTC 的说法，“少于 10,000 户使用物联网家庭自动化产品的家庭可以‘每天产生 1.5 亿个离散数据点，或每个家庭每秒约 1 个数据点’” (Tran, 2017, p.268)。这表明物联网设备生成的数据正在与日俱增，这引起了人们对数据聚合问题的关注，数据聚合问题有助于分析和组合这些数据，为用户创建数字档案，这些档案可以被保险公司等组织用于自身利益，但也可能对用户构成潜在的劣势。

虽然许多用户意识到自己的隐私存在风险，但他们仍然选择继续使用物联网设备，因为这项技术提供了便利性和易用性。另一方面，大多数用户在注册使用这些设备时，通常不会阅读隐私和披露声明，并同意其中列出的所有条款。大多数情况下，这些声明很难阅读，也很难完全理解。此外，用户没有时间阅读如此冗长的声明，通常决定同意列出的使用条款，而没有阅读或理解这些条款。虽然有人可能认为有必要制定更严格的规定，但这种技术正在飞速发展，目前的法律界已经难以跟上并经常更新与物联网技术相关的规定。

虽然物联网设备在改变和帮助我们做事的方式（尤其是在商业领域）方面非常出色，但它们本身在安全性方面也很糟糕，并且在确保它们尽可能安全方面往往被忽视。任何连接到互联网的东西都会导致黑客潜入组织的潜在途径，考虑到物联网设备存储和使用的大量个人信息，这一点尤其令人不安。以下列表只是在企业环境中安装物联网设备时需要考虑的一些安全缺陷。

许多开发人员默认将数据保存为原始存储形式，因为他们有足够的容量这样做。但考虑到执法部门可以轻松传唤这些信息并将其用于起诉个人，评估物联网设备如何收集数据以及这些数据如何被用来对抗个人是现代风险评估的一部分 (Council, 2018)。实施定义明确数据收集规则的策略，并确保收集到的数据是匿名的，可以帮助缓解使用原始数据存储的一些问题。

在安全性方面，物联网设备在企业环境中经常被忽视。在物联网之前，IT 部门只需要确保业务中使用的服务器和系统需要安全，但随着物联网设备的出现，其中大多数设备都连接到互联网，企业应该确保所有物联网设备都定期更新，如果设备没有足够的安全性，则一开始就不应集成这些设备，并且物联网设备可能需要与连接包含敏感数据的服务器的主网络分开。但这 kind of 隔离在某种程度上否定了物联网设备本身的目的，因为这些设备旨在相互连接并形成一个可信的网络，从而有助于自动化流程 (Gilchrist, 2017,p.23) 问题出现的原因是许多物联网制造商没有为其设备提供定期更新，有时 IT 部门在安装更新时 simply 忽略了这些设备。

有时黑客出于恶作剧的目的而采取行动，就像物联网设备历史上最大规模的入侵事件一样。一名黑客向世界各地在线的打印机发送了白人至上主义文献，这证明了物联网设备的缺陷，让 IT 界感到恐惧。只有在经过充分测试并证明安全之后，才谨慎采用新技术，这可能是防止此类事件再次发生的办法。

随着物联网设备遍布我们周围，并可远程访问，收集个人和群体行为和行动信息的新方法出现了。保护这些信息免遭外部入侵和落入坏人之手是必须的，企业需要仔细研究可用的解决方案，例如数据加密，以确保员工信息的保护。

如前所述，许多物联网设备制造商要么更新速度非常慢，要么根本不更新。问题不是特定设备是否会被入侵，而是它被入侵只是时间问题。更新周期需要频繁，安全更新需要在发现漏洞后立即推送。

从最近的 Facebook 数据泄露事件中我们可以看到，即使是投入数十亿美元用于安全防范的顶级公司，也无法免受威胁。鉴于物联网设备收集和在拥有众多参与者的网络之间共享的信息量和使用模式，不难看出未来数据泄露是不可避免的。需要制定安全措施，以及在发生数据泄露时处理和最小化损害的行动计划。

物联网设备会产生大量需要处理和存储的数据。“随着企业通过物联网收集更多数据，他们必须注意不要在未安全存储和符合国际隐私标准的情况下收集个人数据。” (Council, 2018)。

如果黑客获得了大量物联网设备的访问权限，他们可以使用这些设备向这些设备连接的服务器和基础设施发送大量请求，从而有效地使它们过载。亚马逊、谷歌和 Facebook 等大型公司都是攻击的目标，未来可能成为此类攻击的目标。企业应该制定备用计划或回退方案，以防在 DDoS 攻击成为现实，这些服务不再可用时，他们失去对这些技术的访问权限。

如果敏感数据存储在本地，而物联网设备连接到同一个网络，那么物联网数据泄露可能会提供对敏感数据的访问权限。将敏感数据（例如用于定期计费的信用卡信息）存储在 PayPal Pro、Authorize 等平台上的其他地方，可以在发生数据泄露时对其进行保护。如果必须在本地存储数据，则必须使用强加密，以确保在数据落入坏人之手时无法读取。

由于存在普遍的安全问题，组织和技术需要应对这些数字威胁。由于物联网是一个相对较新的概念，拥有众多制造商，消费者在购买联网电子产品时有很大的选择余地。这种自由伴随着巨大的责任，如果不是负担，那就是确保这些物品的安全。物联网产品的加密、安全协议和持续更新需要成为购买者首要关注的问题。更重要的是，生产者需要用强健的安全标准来弥补竞争者之间缺乏协调。在这些创新变得更加普遍之前 (Poudel, 2016, p.1016)，许多家庭和企业系统使用网络范围的防火墙和安全软件，试图在恶意内容到达脆弱的物联网设备之前对其进行过滤。

一些安全协议已经发展成为通过道德上值得怀疑的方式变得更加安全。深度数据包检测 (DPI) 就是一个典型的例子，它是一种快速且固有入侵性的方法，允许防火墙查看流经它的数据包的内容。这不仅提供了来自网络的数据流的预览，而且还提供了可应用于高速连接的处理速度。虽然它最初的应用仅仅是为了安全，但它已成为网络基础设施监控的核心 (Corwin, 2011, 311-314)。这种用于快速深入安全性的工具不应以滑坡谬论为由而被禁止，而应该得到像 FCC 这样的组织的监督和审查。借鉴 GDPR 的一些优势，需要提高物联网安全工具（如 DPI）的使用透明度，以确保它们以对安全有效且尊重隐私的方式实施。这些新技术的安全风险和益处应该让消费者有所了解 (Wachter, 2018b, p.278)。

随着更多设备互联，对例行维护和漏洞检查的需求也越来越大。用于入侵物联网设备的方法正在发生变化，以绕过上述安全措施，2016 年的 Mirai 攻击就是明证，该攻击使美国东北部互联网的大部分瘫痪 (Adryan, Fremantle, Obermaier, 2017, p.381-382)。

这得益于大约 100,000 个物联网设备被入侵，从而对一系列 DNS 服务器发动了统一的僵尸网络 DDoS 攻击。大多数设备是家庭安全摄像头，可以通过开放端口和可猜测的密码进行访问 (Adryan, Fremantle, Obermaier, 2017, p.387)，这些都是用户应该更好地了解的东西。事件发生后，安全问题成为热门话题，甚至激发了 Minim 等公司的成立，这些公司致力于创建以物联网为中心的消费者安全平台 (Hitchcock, 2018)。面向消费者和行业领导者的安全帮助填补了制造商之间不同标准的差距，这是物联网设备变得越来越普遍的必要条件。

法律是社会不可分割的一部分，它需要用来规范现存的和新出现的事物。物联网也不例外。世界上有许多法律在物联网领域发挥着作用。不幸的是，这些法律和法规可能被认为是缺乏的。这是因为法律“往往过于狭隘地起草，无法涵盖所有新技术的实现方式” (McMeley, 2014, p.71)。物联网正在不断发展，了解当前影响物联网的隐私相关法律至关重要。通过了解现有的基础，可以考虑适当的解决方案，制定新的法律或调整旧的法律，以妥善解决源于物联网的众多隐私问题。

在美利坚合众国，现行的法规根据其是联邦立法、州立法还是行政机构执行来分类 (Tran, 2017, p.273)。这些现行法规侧重于整体隐私，而不是直接与物联网等技术相关的隐私。健康保险流通与责任法案 (HIPAA)、儿童在线隐私保护法案 (COPPA) 和公平信用报告法案 (FCRA) 属于联邦立法，可用于监管物联网 (Tran, 2017, p.274)。HIPAA 涉及健康和医疗信息，COPPA 保护与儿童相关的信息，FCRA 涉及信用信息。各州的州立法各不相同，由于这些差异，在物联网隐私方面存在灰色地带，造成了很多混乱。

联邦贸易委员会 (FTC) 制定的法规被视为执行机构的强制执行措施。该机构受 FTC 法案约束，该法案“规定‘在商务活动中或影响商务活动的欺诈或不公平行为或做法’是非法的”（Tran，2017，第 276 页）。FTC 不害怕运用这一权力，正如 TRENDnet 遭遇其物联网摄像头被入侵时所表现出来的那样。这些摄像头记录的信息，许多人认为是敏感的。更糟糕的是，TRENDnet 无法妥善设置安全防范措施来应对这些设备中存在的任何隐私和安全漏洞（Tran，2017，第 277 页）。然而，FTC 在全国范围内完全执行任何措施以保护所有公民的隐私方面受到限制，因为如果情况超出其权限范围，他们无能为力。

相比之下，欧洲国家拥有第 29 工作组，而不是 FTC，专注于数据安全和隐私（Poudel，2017，第 1019 页）。除此之外，他们还有《通用数据保护条例》（GDPR），该条例于 2018 年 5 月生效。该条例考虑了物联网的许多隐私相关问题。相关的物联网标准涉及“知情同意、通知义务、设计中的隐私和默认的隐私、数据保护影响评估、算法透明度、自动化决策和画像”（Wachter，2018a，第 3 页）。这绝不是完美的解决方案，因为 GDPR 的许多条款在物联网设备及其数据控制器的运作方式之间存在冲突，但它仍然是朝着保障物联网和我们隐私迈出的一步。

Adryan, B., Fremantle, P., & Obermaier, D. (2017). 物联网的技术基础，381-414。

   https://library-books24x7-com.ezproxy.gl.iit.edu/assetviewer.aspx?bookid=132775&chunkid=246844967&rowid=803

Corwin, E. (2011). 深度数据包检测：塑造互联网及其对隐私和安全的影响。信息安全杂志：全球视角，20（6），311–316。

   https://doi-org.ezproxy.gl.iit.edu/10.1080/19393555.2011.624162

理事会，Y. E. (2018 年 8 月 8 日)。企业物联网的 10 大安全问题（以及如何保护自己）。2019 年 4 月 27 日检索自

   https://www.forbes.com/sites/theyec/2018/07/31/10-big-security-concerns-about-IoT-for-business-and-how-to-protect-yourself/#38ec52c17416

Gilchrist, A. (2017). 物联网安全问题 | 平装本。2019 年 4 月 28 日检索自

   https://www.barnesandnoble.com/w/IoT-security-issues-alasdair-gilchrist/1125533132

Hitchcock, J. (2018). 为什么 Minim。检索自

   https://www.minim.co/blog/why-minim

McMeley, C. S. (2014). 在物联网时代保护消费者隐私和信息。（封面故事）。反托拉斯杂志，29（1），71–77。

Poudel, S. (2016). 物联网：底层技术、互操作性和对隐私和安全的威胁。伯克利科技法杂志，31，997–1021。

   https://doi-org.ezproxy.gl.iit.edu/10.15779/Z38PK26

Schultz, J. (2016). 法律与技术 我们不拥有的物联网？ACM 通讯，59（5），36–38。

   https://doi-org.ezproxy.gl.iit.edu/10.1145/2903749

Tran, A. H. (2017). 物联网和隐私侵权法中的潜在救济措施。哥伦比亚法律与社会问题杂志，50（2），263–298。

Wachter, S. (2018). 物联网识别中的规范挑战：隐私、画像、歧视和 GDPR。计算机法律与安全评论，34（3），1-22。

   https://doi-org.ezproxy.gl.iit.edu/10.1016/j.clsr.2018.02.002

Wachter, S. (2018). GDPR 和物联网：三步透明度模型。法律、创新与技术，10（2），266–294。

   https://doi-org.ezproxy.gl.iit.edu/10.1080/17579961.2018.1527479