返回 新闻简报 你的冰箱在监视你吗? 2015年1月30日 在 LinkedIn 上分享在 Twitter 上分享打印通过电子邮件分享分享 返回顶部 门锁、摄像头、健身手环、家庭安防系统、恒温器、冰箱、水电表、灯泡和汽车。能够收集你的信息并将其传送到我们称之为互联网的庞大云端的事物与设备清单,本质上是无穷无尽的。正因如此,美国联邦贸易委员会(FTC)深入研究后发布了《物联网(IoT)——互联世界的隐私与安全》报告。各类制造商现已获得宝贵指导,可将隐私与安全功能融入设备设计。联邦贸易委员会(FTC)最早认识到物联网蕴藏着巨大的潜在效益: 在医疗领域,联网医疗设备能让患有严重疾病的消费者与医生协作管理病情。在家庭中,智能电表可帮助能源供应商分析消费者用电情况,识别家用电器问题,并提升消费者的节能意识。 在道路上,汽车传感器可实时警示驾驶员危险路况,软件更新更可通过无线方式完成,省去消费者前往经销商处维护的麻烦。(第i-ii页) 然而,报告重点关注的是风险:"(1)导致个人信息被未经授权访问和滥用;(2)为攻击其他系统提供便利;(3)对人身安全构成威胁。" (p. ii)。其他风险还包括:长期收集个人信息、位置信息、活动信息及身体状况信息,使企业(及潜在黑客)能够构建极其详尽的消费者生活"档案"。令人担忧的是,企业可能利用这些数据来制定信贷、保险和雇佣决策。 该报告探讨了与物联网相关的四大核心议题——安全、数据最小化、通知与选择权以及立法。它不仅为企业提供了关于设备合规的额外见解,更深入阐释了联邦贸易委员会(FTC)在隐私与安全领域的标准与期望。因此,本报告可作为企业遵循FTC标准、践行隐私与安全最佳实践的路线图。 安全 联邦贸易委员会指出,特定设备的安全性取决于多种因素,包括收集数据的数量和敏感程度,以及修复安全漏洞的成本。该委员会建议采取以下最佳实践: 在设备设计之初就将其安全性纳入考量,而非事后补救。具体措施包括:(1) 开展隐私或安全风险评估;(2) 最大限度减少设备收集和存储的数据量;(3) 在产品发布前对其安全措施进行测试。 对员工进行良好的安全培训,并确保安全问题在组织的高层管理层得到妥善处理。 保留能够维持合理安全水平的服务提供商,并对这些服务提供商实施合理监督。采用深度防御策略保护敏感信息,在多个层面(用户、设备、数据等)实施安全措施。 实施访问控制措施,以限制未经授权人员访问消费者设备、数据甚至消费者网络的能力。 在产品整个生命周期内进行监控,并在可行的范围内修复已知的漏洞。 数据最小化 数据最小化是指将数据收集和保留范围限制在合法商业目的所合理必需的程度,并在数据不再需要时予以销毁。联邦贸易委员会(FTC)承认数据本身、数据收集的益处与大数据分析,以及数据最小化之间存在固有冲突。尽管如此,FTC仍指出推动数据最小化的两大驱动力。 首先,存储海量数据使企业成为更具吸引力的攻击目标,无论来自内部还是外部黑客,从而增加了消费者因数据被盗用而遭受损害的风险。其次,当企业收集并保留大量数据时,更可能以偏离消费者合理预期的方式使用这些数据。 鉴于大数据分析效益与数据最小化原则之间的矛盾,联邦贸易委员会(FTC)建议采取灵活策略,为企业提供多种选择:(1)不收集任何个人信息;(2)仅收集产品或服务必需的数据类型;(3)仅收集敏感度较低的数据;或(4)对所收集数据进行去标识化处理。 若企业认为上述方案均无法满足其目标,可通过征得消费者同意(即告知与选择机制)来收集超出预期范畴的额外数据类别。 通知与选择 通知与选择权是消费者隐私保护的核心支柱,尽管通过物体而非带用户界面的计算机提供通知与选择存在固有挑战,但这一原则在物联网领域仍具有重要意义。然而联邦贸易委员会承认,并非所有数据收集都需要选择权。 在符合交易背景或企业与消费者关系的前提下收集和使用消费者数据时,无需事先征得选择权。例如:企业已提供消费者购买的产品或服务,且消费者正接收该企业多种类型的营销通讯。 在需要或使用通知与选择功能时,可采取的措施包括:开发视频教程、在设备上贴附二维码、在销售点、设置向导或隐私控制面板中提供选择选项。隐私选择必须清晰醒目,不得埋没在冗长的文件和法律套话中。 部分企业敦促联邦贸易委员会(FTC)采用"使用限制"作为通知与选择机制的补充或替代方案。在基于使用的模式下,立法者、监管机构、自律组织或企业可自行设定特定消费者数据的"允许使用"与"禁止使用"范围,从而最大限度减少或规避通知与选择的必要性。 FTC选择不完全依赖使用限制,指出"由于基于使用的限制在立法、法规或广泛采用的行为准则中未得到全面阐述,难以确定由谁来判定新增用途的利弊"。此外,仅靠使用限制无法解决海量数据收集与存储带来的风险。 最后,纯粹基于用途的监管方式无法回应消费者对敏感信息收集的担忧,例如健康信息、性取向与偏好、儿童信息等。 立法 最后,联邦贸易委员会(FTC)讨论了立法这一热点议题,认为现阶段出台物联网专项立法为时尚早。相反,制定针对特定行业的自律计划以鼓励采用注重隐私和安全的实践,才是更可行的方案。 尽管如此,联邦贸易委员会并未完全放弃敦促国会制定强有力、灵活且技术中立的联邦立法,以强化现行数据安全执法工具,并在发生安全漏洞时向消费者提供通知。(正如我们本月初报道的,白宫已提出此类立法提案。) 联邦贸易委员会指出,安全风险不仅源于个人信息泄露,更源于设备功能本身。若心脏起搏器未得到妥善保护,不仅会危及佩戴者健康,更可能因黑客引发的故障造成严重伤害。 门锁可被解锁,智能汽车的控制权可被夺取。因此FTC建议制定广泛适用的隐私与安全立法(而非仅针对物联网的专项法规)。对企业的影响 联邦贸易委员会的报告为制造商——所有制造商——提供了关键指导。随着传感器技术的当前及未来发展,几乎任何物体都能收集信息,并通过互联网传送到世界任何角落。事实上,传感器能够收集来自五感的全部信息——视觉、听觉、嗅觉、触觉,甚至(没错)味觉。该报告为制造商在开发联网产品时提供了路线图,指导其如何遵守隐私与安全方面的法律法规及标准。 该报告对所有企业都具有参考价值——不仅限于制造商。通过详细阐述安全保障、数据最小化原则、告知与选择权以及隐私与安全法规,联邦贸易委员会(FTC)深入剖析了其对隐私与安全合规性的期望与标准,提供了极具价值的洞见。 法律新闻快讯是我们持续致力于为客户提供即时资讯的重要组成部分,旨在及时传递影响客户及同仁的紧迫问题或行业动态。若您对本次更新有任何疑问或希望进一步探讨相关议题,请联系您的福里律师事务所律师或通过以下方式联系我们: 钱利·T·豪厄尔合伙人佛罗里达州杰克逊维尔市904.359.8745[email protected] 詹姆斯·卡利瓦斯合伙人加利福尼亚州洛杉矶市213.972.4542[email protected] 迈克尔·R·奥弗利合伙人加利福尼亚州洛杉矶市213.972.4533[email protected] 史蒂文·M·米伦多夫 助理加利福尼亚州圣地亚哥市858.847.6737 [email protected] 作者 Chanley T. Howell [email protected] 杰克逊维尔 904.359.8745 詹姆斯-R-卡里瓦斯 [email protected] 洛杉矶 213.972.4542 迈克尔·R·奥弗利 [email protected] 洛杉矶 213.972.4533 Steven M. Millendorf [email protected] 圣地亚哥 858.847.6737 相关见解 查看所有帖子 2025年12月11日 福莱观点 知识产权组合管理中的反垄断风险与合规策略 本文分析了知识产权组合管理如何在促进创新的同时,也可能带来潜在风险…… 2025年12月11日 福莱观点 加州空气资源委员会发布SB 261和SB 253法案的拟议法规 2025年12月9日,加州空气资源委员会(CARB)发布了其针对初始法规的拟议监管文本…… 2025年12月11日 创新技术洞察 美国货币监理署发布另一份加密友好型解释性函件:无风险本金加密资产交易的合规性 2025年12月9日,货币监理署(OCC)发布解释性函件1188(IL 1188),确认国家银行作为银行业务的一部分,可从事无风险本金加密资产交易。
