-1-2023年4月24日第13期总第592期互联世界状况（2023年版）【译者按】今年1月，世界经济论坛发布了《互联世界状况（2023年版）》。报告认为，物联网（IoT）及相关技术持续改变着人们的生活，随着其在医疗保健、教育、工作场所等领域的用例不断增加，了解物联网及相关技术的机遇和潜在风险，对于确保最大限度地发挥其效益以及认识并最大限度减少其风险至关重要。报告强调了物联网及相关技术领域目前存在的治理短板，比如隐私数据的不符合伦理使用，网络系统被攻击的威胁，以及环境可持续性问题等，并提出了具有针对性的建议对策。赛迪智库规划研究所对该报告进行了编译，期望对我国有关部门有所帮助。【关键词】物联网隐私伦理信息安全风险治理 -2-随着世界逐步摆脱新冠疫情，物联网及相关技术的进步为帮助建立更加繁荣和可持续的未来提供了难得的机遇。然而，随着对互联设备和网络的日渐依赖，安全、隐私保护、可持续性、互联互通，以及公平等方面的风险和治理挑战也与日俱增。《互联世界状况（2023年版）》旨在审视物联网及相关技术的治理短板状况，为各国政府和企业领导人确定明确的行动重点，以应对风险并实现效益最大化。一、研究方法与受访人员状况（一）研究领域本报告中的物联网治理短板是基于物联网行业各利益相关方的专家意见确定的，涵盖了如下影响领域：1、伦理和诚信：物联网设备和系统保护用户隐私的能力，且使人们相信个人信息将以符合伦理和负责任的方式被收集、存储并用于商定的目的。2、网络安全：物联网设备、应用和系统维持安全可靠的开发、部署和操作环境的能力。3、平等获得：物联网设备和系统公平惠及和保护社会利益相关方的能力，且不受地域、社会经济或其他因素影响。4、环境可持续性：物联网设备和系统在其整个生命周期内的 -3-环境可持续性。5、经济和业务可行性：在技术和社会飞速变化的背景下，物联网设备和系统在其整个生命周期内的经济和业务可持续性。6、互联互通和系统架构：物联网设备和系统之间进行有效互动、以高效且具有经济效益的方式执行任务的能力。（二）研究方法1、定量研究向私营和公共部门的物联网专家及民间团体的普通公民分发“互联世界状况调查”，要求受访人员评估与物联网相关的风险，以及当前社会防范这类风险危害的能力水平。从全球各地共收到271份反馈，被用来计算和确定当前对治理短板的信心水平，以及过去三年中对互联技术和相关治理工作的信心变化。收集到的数据按照治理短板排名的前三大影响领域，其大多数受访者均表示“不太有信心”或“没有信心”。2、定性研究除了定量数据外，研究人员还要求受访者提供关于风险和治理措施实例的定性回应。此外，采访了全球超过25名物联网专家，获取关于物联网风险和治理的见解。最后，对目前全球范围内的治理措施进行广泛的桌面研究，将定量分析的结果和定性研究的资料相结合，确定本报告中阐述的关键物联网治理短板，并 -4-排列优先次序。二、重点领域（一）伦理和诚信1、用户对隐私保护和数据权限缺乏信心调查结果表明，大多数受访者（82%）对保护隐私和负责任地使用互联设备生成的数据缺乏信心（见图1）。目前，有关在线隐私保护和数据权限的政策和法律十分复杂，且难以执行。用户对组织和机构的信任度越来越低，担心其未经同意收集和使用自己的数据，或使用物联网及相关技术进行监控。有信心比较有信心不太有信心没有信心图1：互联设备及相关技术的用户对受到保护、免遭不符合伦理和不负责任使用的信心来源：世界经济论坛2、多国政府制定隐私保护和数据权限的相关法律围绕物联网及相关技术的伦理规范缺乏强有力的框架，导致 -5-用户普遍不信任。国际消费者协会和互联网协会的一项调查显示，有53%的消费者表示不相信互联设备会保护自己的隐私，并以负责任和符合伦理的方式处置自己的数据。现行的隐私法规并未充分考虑到个人对其数据的收集缺乏了解或认识。虽然企业会提供一套“知情同意”标准，来验证和确保用户完全了解某软件或平台的规则和限制，但现有的模式并未有效地教育用户其选择所代表的真正意涵。作为对大量数据泄露事件以及物联网和互联设备相关争议的回应，许多国家均制定并实施了新的法律，以规范企业和机构获得和管理用户数据的方式（见表1）。表1：规范企业和机构的用户数据使用方式的新法律法律/法规国家/地区说明一般数据保护条例（GDPR）欧盟（EU）和欧洲经济区《一般数据保护条例》被许多人视为数据保护规则标准化的先驱，它重启了关于隐私法规的辩论，被认为是世界上最强大的数据保护规则集。《一般数据保护条例》为立法奠定了基础，旨在加强人们对自己个人信息的获取，并对企业和机构的个人数据使用加以限制。自其实施以来，已有超过4亿人受到该法律框架的保护。 -6-法律/法规国家/地区说明一般数据保护法（LGPD）巴西受欧盟《一般数据保护条例》的强烈影响，巴西于2020年颁布了一项联邦法律，以规范个人数据的使用。它包括一部“域外适用”的隐私法，即无论机构在哪里注册或经营，都必须遵守《一般数据保护法》。个人数据保护法案（PDPA）新加坡2014年生效的《个人数据保护法案》整合了特定行业的立法和监管框架，为新加坡的个人数据保护建立了基准。该法规于2020年进行了更新，纳入了更强大的同意框架和更明确的境外数据传输规则，进而成为了东南亚地区监管最严格的数据保护法案。加州消费者隐私法案（CCPA）美国加利福尼亚州自2020年1月起，《加州消费者隐私法案》开始确保加州居民有权了解企业收集了自己的哪些个人数据，并允许其反对个人数据被出售给第三方。与欧盟《一般数据保护条例》不同，《加州消费者隐私法案》主要针对的是数据出售，而非数据收集和处理。 -7-法律/法规国家/地区说明个人信息保护法（PIPL）中国《个人信息保护法》于2021年8月通过，是第一部全面规范个人信息（PI）保护事宜的国家层级法律。个人信息是指在中华人民共和国境内以电子或者其他方式记录的与已识别或者可识别的自然人有关的信息。个人信息保护法案（POPIA）南非《个人信息保护法案》于2013年通过，并于2020年7月全面生效，成为南非的联邦法律框架。该法案旨在促进和确保对公共和私营实体处理的个人信息保护。该法案的有关条款规定了处理身份信息的最低要求，确立了对个人信息的全面定义，以保护终端用户，并成立了法案的主要实施和监督机构：信息监管局（SAIR）。来源：世界经济论坛3、下步工作完善政策法规：为保护用户免受不符合伦理和不负责任的技术使用的影响，必须设计和构建物联网及相关技术的基本伦理框架。各国政府和机构有责任建立信任、保证透明度和保护消费者的隐私。制定成熟做法、标准和指导原则：在早期设计阶段就体现隐 -8-私保护，而不是将其作为对用户关切的被动回应。在制定成熟做法、标准和法规时需要考虑隐私保护和伦理问题。提升用户的数字素养和赋权：教育个人了解自身的权利将使人们能够做出更明智的决定并建立信任。数字素养教育计划是一种简便有效的方法，可以使客户了解自己的数据被如何使用，以及如何能更好地保护自己。提高用户数据使用的透明度：应当以一种彻底、有组织且清晰的方式进行，告诉个人谁将使用他们的数据以及如何使用，并应当进一步澄清业务用例和社会效益之间的关联。防止潜在偏见的措施：应当注意确保不会将人类偏见带入到数字技术中。应要求制定成熟做法，以尽量减少物联网技术开发过程中人类有意无意的偏见，以满足公众使用的需求。（二）网络安全大多数受访者对互联设备的安全以及用户免受网络犯罪和攻击不太有信心（47%）或没有信心（26%）（见图2）。数字/信息技术（IT）和电子行业的专家有近一半（47%）的专家不太有信心，27%的专家没有信心。 -9-有信心比较有信心不太有信心没有信心图2：对互联设备及相关技术的用户免受网络攻击的信心来源：世界经济论坛1、网络威胁冲击物联网安全性对互联设备及相关技术的日益依赖，使各国政府、机构和个人用户越来越容易受到网络威胁的影响。2021年上半年，全球记录了15亿次针对物联网的攻击，而数据泄露事件比前一年增加了15.1%。这些攻击会对个人和企业造成严重的后果。例如，预计在2022年，勒索软件攻击将在全球造成7万亿美元的损失，使网络犯罪成为继中国和美国之后的世界第三大经济体。2、系统、设备漏洞使物联网更易受到攻击各国政府、企业和个人对可穿戴设备、智能家居、传感器、恒温器，以及其他物联网及相关技术的应用，带来了许多可以危害整个互联系统的漏洞。用户的意识仍然是一个挑战。安全实践和专业知识普遍匮乏， -10-比如密码过于简单或不认识钓鱼邮件，导致安全系统更加脆弱。此外，技术局限性导致系统和设备更容易受到恶意攻击，比如缺乏基本的安全措施，包括默认配置中的基本加密。现行的网络安全法规缺乏标准化，且在世界各地千差万别。这往往意味着各机构开展业务时必须在每个州、国家或地区制定并遵守不同的要求。而且，由于没有明确的标准，将很难强制要求各机构采取成熟做法并遵循指导原则。最后，物联网及其各类应用千变万化，恶意行为体总是能寻找新的方法来攻击系统和设备。当硬件与确保安全所必需的软件不再兼容时，设备将越来越容易受到恶意攻击。3、网络安全对物联网造成多方面的不利影响促使世界各国采取安全监管措施经济损失：网络攻击会给各国政府、机构和个人用户带来严重且代价不菲的后果。预计未来五年全球网络犯罪将以每年15%的速度增长，到2025年案值将高达10.5万亿美元。人身伤害：网络犯罪分子越来越多地攻击关键基础设施，例如入侵美国科洛尼尔管道运输公司的系统清空加油站，并造成恐慌性抢购；袭击英国和新西兰的学校；以及锁死欧洲和美国的数十家医院的生命关键系统。声誉受损：当一家企业发生数据泄露，导致客户的个人数据 -11-被曝光，它失去的将不仅是信息，还有客户的信任，可能会严重影响其业务。根据《福布斯观察》的报告，有46%的机构因数据泄露而遭受声誉损失，19%的机构因第三方安全漏洞而遭受声誉和品牌损失。生产力损失：网络攻击会扰乱经营秩序，造成经济和生产力损失。IT人员进行清理、找出根本原因、修复漏洞和加强安全措施的过程中，生产会陷入停滞，或完全关停。鉴于网络攻击的惊人增速及其诸多影响，世界各国政府和机构开始加强监管行动，结成联盟以加强网络安全合作，以共同应对物联网和互联设备漏洞（见表2）。表2：网络安全监管行动实例法律/法规/程序国家/地区/组织说明2022年关键基础设施网络事件报告法案（CIRCIA）。美国2022年3月，美国颁布的《关键基础设施网络事件报告法案》为提供关键基础设施的企业规定了重要的新报告义务。联邦法律要求关键基础设施的实体（比如电力、供水和交通）在规定时间内上报具体的网络安全漏洞和赎金支付。 -12-法律/法规/程序国家/地区/组织说明网络韧性法案（CRA）欧盟《网络韧性法案》对设备制造商和零售商提出了强制性网络安全要求，将保护范围扩大到整个产品生命周期。该法案是欧盟即将审查的一揽子数字安全法规的一部分，确保以下内容：针对带有数字组件的设备或软件，促进企业开发规则的标准化；围绕产品规划、设计、开发和维护，构建网络安全要求框架；以及承诺在整个产品生命周期内负责维护。网络安全标签计划（CLS）新加坡作为亚太地区的第一例，《网络安全标签计划》针对的是消费类智能设备，旨在改善物联网，并持续优化新加坡的网络安全。在该计划的要求下，智能设备将接受相应的网络安全评级，这为个人用户提供了透明度，可以选择具备更好网络安全性的产品。ISO27001和ISO27002国际标准化组织ISO27001和ISO27002被认为是验证网络安全方案的国际标准。获得ISO认证的机构被认为是负责任地管理了网络风险，且拥有成熟的网络安全实践。 -13-法律/法规/程序国家/地区/组织说明网络意识运动英国该政策由英国国家网络安全中心（NCSC）管理，旨在通过给公众提供保护电子邮件账户的工具，来帮助保护英国用户免受网络攻击。网络安全中心南非依据国家网络安全政策框架（NCPF）的授权，网络安全中心被指定为南非的国家计算机安全事件响应小组（CSIRT）。该中心负责确保公民和企业能够访问和浏览安全的网络