物聯網連結網際網路及相關應用程式後,將可廣泛應用在生活中的各式商品和服務。但由於使用到網際網路,該如何控管權限?如何利用現成的軟體工具保障安全?怎樣才能兼具法令遵循與安全防護並採行適當的安全措施?都必須再三深思。
物聯網(Internet of Things,IoT)主要係透過AI、雲端或大數據分析等技術,且運用裝置連線到網際網路的應用程式介面(Application Programming Interface,API),將分散於不同載具的資訊進行統整應用。如近期討論熱烈的車載診斷系統(On-Board Diagnostics,OBD)搭配無人載具的運用,逐漸實現如科幻電影內的場景,人類可以透過載具或App等預先設定,而逕行操作功能、取得所需資訊或服務,且無須親自駕駛或按鍵使用。
除前述無人載具屬較具體之運用情境外,由於物聯網搭配無所不在的網際網路及相關應用程式後,預計可廣泛使用在生活內的各式商品或服務,如廠商推出的物聯網電視、冰箱。但也因其可能影響人類的安全與權益,如美國聯邦貿易委員會(Federal Trade Commission,FTC)早在2015年1月間就提出物聯網安全相關指引(Careful Connection: Building Security in the Internet of Things),2018年6月間因美國消費產品安全委員會(CPSC)的詢問,提交一份報告,報告內向消費者重申物聯網的安全性。
他山之石可以攻錯美國FTC IoT安全指引
美國FTC下設有消費者保護局(Bureau of Consumer Protection,BCP),係其主管消費者保護之聯邦政府機關。經檢視該局網站,主要任務為保護消費者,避免遭受不公平、欺騙或詐欺行為之侵害。FTC BCP接受消費者之申訴,並將相關申訴資訊彙整成為資料庫,提供聯邦、州和地方政府等,進行刑事犯罪或民事案件調查,以及作為研析消費詐騙類型及趨勢等之參考,惟並不實際對消費者所申訴之消費爭議個案內容介入處理。有關消費爭議個案等,係由各州處理。
而2015年FTC物聯網安全之相關指引,主要內容包含:從基礎知識開始,透過專家之介紹,讓消費者了解物聯網商品相關安全性的知識。且提及在設計此類商品時,需要考慮身分驗證、保護商品與其他聯網設備或服務間接觸的端點,如API等。
此外,由於使用網際網路,其如何控管權限,或利用現成的軟體工具保障安全,或在啟動商品或服務前,進行安全測試,甚至預設安全選項做為出廠設定,並鼓勵製造商與消費者建立溝通管道,或加強宣導等。
聯網蒐個資GDPR規範隱私保護
各界關切之歐盟一般資料保護規則(the General Data Protection Regulation,GDPR)已於2018年5月25日施行。在個資保護部分,企業須注意自身是否為資料控制者、資料處理者(名詞定義詳見第4條)及相關義務,其重點包括:個人資料外洩事故之通報義務(72小時內,如第33條)、資料保護影響評估(Data Protection Impact Assessment,簡稱DPIA,如第35條)、設置資料保護專員(the Data Protection Officer,簡稱DPO,如第37條)、跨境傳輸個人資料(如第44、45條)等。
對於可能蒐集個資之物聯網相關商品或服務,GDPR第25條設有Privacy by design(隱私設計)或Privacy by default(隱私預設)相關規定。以隱私設計為例,歐盟GDPR要求資料控制者應採取適當之科技化且有組織性的措施,以有效方式將保護措施納入個資處理程序,以符合GDPR之要求並保護當事人的權利。
至於隱私預設,則是要求資料控制者應實施適當之科技化且有組織的措施,以確保在預設情況下,僅處理一特定目的且在必要範圍內之個資。例如對物聯網商品權限控管,確保非所有資料控制者的員工都能接取當事人的個人資料。或於安全通訊環境中運用端到端之加密通訊,於客戶端至伺服器建立加密通訊頻道,及驗證通訊方身分和匿名通訊等。
另,歐盟網路與資訊安全局(ENISA)亦曾於2015年1月間發布相關報告(Privacy and Data Protection by Design)。該報告提供當時可行之技術清單,協助廠商規劃或進行隱私設計策略,及其研究和開發所需之技術模組,如加密、匿名通訊協定等,目標在於縮小法律架構與技術措施間的落差,亦可供製造商參考。
除設計及開發須重視外法令遵循亦務必注意
關於物聯網之安全性,已非新議題,如2015年間歐美各國已提供相關指引或參考資訊,且其防護多著重於資訊安全,如以保護企業或組織的資訊資產為主,並透過相關軟、硬體協助,如系統監測、權限控管等方式,確保資料、資訊及資產的機密性、完整性與可用性,以維持組織之營運或將風險降低。但因其蒐集之資訊,有可能包含個人資料,依據我國個人資料保護法第2條的定義,指自然人之姓名、出生年月日、國民身分證統一編號等等,及其他得以直接或間接方式識別該個人之資料。
綜此,個資法要權衡的是避免人格權受侵害,以及促進資料的合理利用,與資訊安全透過軟、硬體之技術手段保護資產的角度不同,個資法更加強調法令遵循之管理與保護。
因歐盟GDPR施行後,第一起案例已於2018年11月下旬出現,德國個資主管機關對於聊天平台Knuddels.de,於2018年7月間遭駭客入侵致個資外洩,含約80萬筆E-mail Address及180萬筆帳號、密碼,因未採行第32條之適當安全措施(經查該公司內部資料庫以明碼方式保存帳號、密碼,且未有合理的保護措施),爰依違反GDPR第83條規定,對於營運該網站之公司裁罰2萬歐元。
有鑑於各國對於資訊安全及個資保護日益重視,且物聯網相關商品或服務所蒐集之資訊可能包含個人資料,如何兼具法令遵循與安全防護,並採行適當的安全措施,值得企業重視及深思。
<本文作者:陳宏志,現於資策會科法所擔任專案經理,目前專注在電子商務相關法律(如消費者保護法、電子簽章法、個人資料保護與管理)、反托拉斯法及協處我國廠商至國外營運遭遇之法制風險等議題。
資訊工業策進會科技法律研究所(資策會科法所)為國內首屈一指之科技及產業政策法制智庫,研究領域包含科技研發、科技專案、生物科技、個人資料保護、資通訊、資訊安全、文化創意及智慧財產權等法制議題,詳細資訊可參閱官網https://stli.iii.org.tw/。>