1、淺論物聯網安全相關法律制度的建設與完善姓名:劉艷班級：法學二班學號：20141568淺論物聯網安全相關法律制度的建設與完善 淺論物聯網安全相關法律制度的建設與完善法學院法學2班劉艷20141568摘要：物聯網是隨著互聯網的普及以及移動通訊網的廣泛應用而發展起來的新生事物，它整合了互聯網技術，移動通訊技術以及電子簽名技術等多種技術形成了一個全新的技術領域。作為戰略性新興產業的重要組成部分，目前我國的物聯網產業正方興未艾，其應用領域已經覆蓋到電力、通信、醫療、交通、國防甚至家居等方面。伴隨著物聯網等相關產業的迅速發展，相關的法律問題也不斷浮出水面。比如物聯網在發展過程中涉及到海量信息的傳遞和存儲工

2、作，其中的環節便很可能存在信息泄露的問題。而且我們也必須認識到，我國的物聯網產業還存在很多的制約性因素，整體來看，我國的相關核心技術與發達國際相比還有一定差距，國際領先技術相對還比較少，但是，在現階段，制約我國物聯網發展的主要因素不僅僅限于相關技術層面的問題，相應的制度設計與配套的法律法規法律層面的建設與完善也是無法回避的問題。因此，本文在簡要介紹物聯網及其技術之后，將主要探討物聯網發展過程中可能涉及的法律問題與風險，并結合自己的專業和當前立法現狀，提出立法與相應制度建設的建議，為物聯網及相關產業的發展提供外部的支持與保障。關鍵詞：物聯網網絡信息安全人工智能公共利益網絡安全法信息安全法實名認證

3、預警、處置機制正文：物聯網的基本概念物聯網，簡言之就是“物物相連”的網絡，根據國際電信聯盟在2005年在信息社會世界峰會給出的定義，物聯網是指在計算機互聯網基礎上利用射頻識別（RIFD）技術、無線通信技術、紅外傳感器、全球定位系統、激光掃描器等信息傳感設備，按照約定協議，把任何物體與互聯網連接起來，進行信息交換和通信，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。國際電信聯盟的定義涵蓋了物聯網整體運行過程中的關鍵技術環節。物聯網的主要特征要想明確物聯網的主要特點，最有效的方式應該就是將其與傳統的概念，互聯網進行比較。我們知道，物聯網技術是通過將“物”所包含的信息與有線和無線網絡連接，通過

4、互聯網技術對信息進行傳導，從而大大降低物與物之間的溝通成本，同時提高現實資源的使用效率，使得真實的物理世界與虛擬世界產生良好的契合點1。具體而言，物聯網不同于互聯網的特征在于：（1）網絡媒介更加廣泛在物聯網時代，可以“上網”的媒介以井噴的方式大量出現，大到我們身邊的交通工具，醫療器械，小到我們個人身上的手表，手環，鑰匙，遠到田間的瓜果蔬菜，近到身邊的小區花園，家用電器，從日常生活中的家用用品到城鄉的各種基礎設施，都能包含在物聯網這個超級網絡中。這樣，可以上網的事物便遠遠不是傳統的互聯網的電腦，智能手機，掌上電腦所能比擬的。（2）網絡采集數據的實時性互聯網的信息傳播都需要通過其他渠道獲取信息之后

5、，在通過編輯的過程儲存到數據庫中，而在物聯網時代，通過類似電子標簽技術，可以隨時隨地記錄要檢測無團體的信息。比如在蔬菜種植過程中，通過田間的感應器可以隨時隨地記錄蔬菜所在地的空氣濕度，溫度，還可以通過視頻設備等隨時了解蔬菜生長過程，蔬菜的大小，顏色等是否達標等問題，種植戶都可以隨時得知1。與此同時，我們應該注意到，這種實時采集數據的特點會同時產生大量的記錄信息，這也就對信息的存儲和保護提出了更高的要求。（3）技術應用的智能化與人性化物聯網主要解決的是物與物、人與物、人與人之間的互聯問題。萬物相連，其目的之一就是實現智能化。因此可以預見，在未來的物聯網中，機器人等人工智能之物必定會扮演著十分重要

6、的角色。而人工智能使物開始具備意識和行為能力，那么它在與人進行交互時就必然會帶來一些安全問題。因此，相較于互聯網，物聯網無疑將人類的活動空間和行為軌跡擴展到了人、物、信息無縫相連的新領域，這就不可避免地使人類的行為方式、行為規則和社會結構產生變化和影響。物聯網的發展概況及由此帶來的法律風險2009年8月，國務院總理溫家寶在中科院無錫高新微納傳感網工程技術研發中心考察時提到：要盡快建立中國的傳感信息中心。2009年西安優勢電子公司成功研制了我國第一顆物聯網電子芯片，唐芯一號。2010年，我國國務院在關于加快培育和發展戰略性新興產業的決定中，決定將物聯網作為一項戰略性新興產業進行培育和發展。201

7、1年，物聯網又被作為新一代信息技術的重點領域被納入到十二五規劃中。根據中國報告大廳2015年物聯網的發展現狀分析所言，目前物聯網已經運用于城市公共安全、工業安全生產、環境監控、智能交通、智能家居、公共衛生、健康監測等多個領域中，且呈現出不斷擴大的趨勢3。由此帶來的法律問題與風險：（1）來自于人的安全威脅來自“人”的物聯網安全法律問題，主要是指人通過物聯網侵犯他人權益的問題。在這其中，人是罪魁禍首，物只是作為工具，且物的功能和性質沒有發生改變。而在該類問題中，又以射頻識別（RFID）技術所產生的影響最為明顯。比如：A通過RIFD侵犯個人隱私RFID系統由電子標簽、讀寫器、天線和計算機系統幾個部分

8、組成，它利用無線射頻方式在讀寫器和電子標簽之間進行非接觸雙向數據傳輸，以達到目標識別和數據交換的目的。由于這種識別和交換往往具有不可見和不可控性，再加上相關規則的不確定性，導致現在RFID技術在成就物聯網的同時，也成為了一個重大安全隱患。首先，電子標簽本身存在較大隱私風險。電子標簽的信息存儲容量較大，且具有較高的數據處理效率，這就使人們把更多信息存儲在標簽中變為可能。然而，將更多的信息集中在一個嵌有電子標簽的設備上，使人們可以同時用一個設備購物、上班、停車、加油、看病、上學、吃飯等，將導致各種信息（包括隱私信息）過于集中，一旦泄露，個人隱私將可能被和盤托出。其次就是，電子標簽中的隱私信息可被第

9、三方讀寫器非法讀取，不法分子也可通過RFID技術對個人進行監控和跟蹤。同時，不法分子還可以通過在多處設置讀寫器，對電子標簽攜帶者的行蹤軌跡和位置進行記錄，以實現監視跟蹤的目的。B通過RFID入侵計算機信息系統但在物聯網時代，新的犯罪形式可謂層出不窮。如黑客可能利用RFID系統來入侵計算機信息系統。假設一黑客進入一家商店購買了一個貼有電子標簽的商品并將其帶回家;接著他撕下標簽并貼上另一個包含了惡意代碼的標簽;他回到商店并讓收銀臺重新掃描這件商品;這樣惡意代碼就進入了商店的電腦系統，可任意更改產品價格和銷售數據，并允許外部訪問者進入商店的數據庫。通過這種方式，輕則造成數據泄露，重則導致系統癱瘓、和

10、大量財產損失。C.新類型的犯罪模式對法律監管提出了難題首先是對此類犯罪的預防工作越來越困難，其次是由于對這類犯罪的立法規制缺位使得司法人員在實際審判中處理困難，再就是，如何將這類行為與傳統的侵權行為進行有效的連接，全面的將這些問題納入現有的法制軌道中，都是法律監管不得不面對的問題。來自于物的安全威脅前面已經提到，物聯網發展的特征之一便是智能化與人性化。人工智能使物開始具備意識和行為能力，那么它在與人進行交互時就必然會帶來一些安全問題。來自“物”的物聯網安全法律問題，要就是指物對人之權益的侵犯問題。而物對人之侵犯，又可以分為兩種:第一種，被植入惡意程序之物對人實施的侵犯;第二種，人工智能自發對人

11、實施的侵犯。第一種與前述來自“人”之安全威脅的不同之處在于，被植入惡意程序之物的功能或性質發生了改變4。傳統的法律調整的是人與人之間的行為，而在物聯網中，行為卻不再局限于人與人之間，這其中的法律責任又該如何追究呢?對此，我認為，對于被植入惡意程序之物，無論是否有針對性的對人或物實施了侵害行為，最終都可將法律責任追究到惡意程序植入者身上。然而，在追究完人之法律責任后，對物該如何處理?處理的到底是物本身，還是程序或代碼?這里有學者提出除了刪除程序之外，還要對物進行銷毀5。但我個人覺得，既然我們法律是調整人與人之間的關系，那么在此處懲罰物又有何意義呢？而且根據“技術中立”的觀點，這種物的存在本身是沒

12、有錯的，其違法性是由其利用者所導致的。對物聯網及其應用領域規制的必要性對物聯網及其應用領域進行法律規制，不僅是出于對公民個人權益的維護與保障，而且也是對整個國家及社會公共利益的維護，其重要性與必要性當然是不言而喻的！立法現狀及建議出臺專門的RFID法規前面已經提到,RFID技術是物聯網的關鍵核心技術。而目前我國并沒有強制性的RFID安全標準，也沒有相應的RFID法律規范。也就是說，只要條件允許，任何人可以在任何時間、任何地點，對任何電子標簽進行讀取。而這將對個人隱私和信息安全帶來嚴重威脅7。面對隱患，美國、歐盟均就RFID出臺了專門的規定。如2009年5月12日，歐盟委員會制定并通過了射頻識別

13、技術(RFID)應用中隱私和數據保護原則的建議為歐盟各國RFID應用中的數據和隱私保護提供了具體的框架。2011年1月12日，歐盟發布RFID應用隱私與數據保護影響評估框架，為對RFID應用進行隱私影響評估提供了框架指導。歐盟委員會還于2011年4月6日宣布與行業組織、企業、歐洲網絡和安全委員會以及歐洲個人信息和隱私數據保護組織簽訂了RFID隱私數據保護協議。而且美國也有14個州對此作了專門規定2。因此，在我看來，中國應盡快出臺一部專項的RFID法規，以應對目前國內在RFID應用領域存在的實際問題。通過該法規明確RFID設備生產和服務企業的準入門檻;將數據加密作為一項最基本要求；明確個人的權利

14、，對RFID的相關設備進行認證，確保其安全性；明確濫用、非法使用RFID技術所應承擔的法律后果等。(2)加快個人信息保護法立法進程隱私和個人信息保護是網絡信息時代中的一個普遍問題。而對于物聯網應用而言，該問題又不可避免。個人信息和隱私保護方面法律的完善健全，對于整個物聯網產業的健康、有序發展是必不可少的。歐盟早在1995年就頒布了關于涉及個人數據處理的個人保護以及此類數據自由流動的指令，此后又陸續推出了多個個人數據保護指令，構建了一套嚴謹完善的個人數據保護體系。美國雖然沒有頒布一部綜合的保護法，但其也通過行業自律的方式建立起了一套完整的保護體系6。在中國，2012年全國人民代表大會常務委員會關

15、于加強網絡信息保護的決定的出臺，隨后工業和信息化部通過了電信和互聯網用戶個人信息保護規定，對個人信息等基本概念、保護原則、信息收集和使用規則、安保措施、監督檢查和法律責任等都作出了詳細規定，國務院于2012年12月26日頒布的“征信業管理規定”中明確了對個人信息采集進行保護的相關規定。在隱私保護方面，我國直到2009年的侵權責任法才首次明確了“隱私權”的法律地位。然而，對于何為隱私權并沒有作過多的界定，這就導致司法上往往難以解答何為隱私、判定侵犯隱私的標準是什么這些問題2。總之我國目前對個人信息并沒有專門性，綜合性的個人信息保護法，只是這次刑法修正案九加大了對公民個人信息的保護力度，擴大了非法

16、獲取個人信息罪的犯罪主體，對侵犯個人信息行為的范圍也進行了擴充，但刑法作為社會的底線，僅僅靠他來保護公民個人信息遠遠是不夠的。而對于隱私權的保護，我個人覺得，除了目前的侵權責任法之外，還可以通過相關司法解釋以及對民法通則的修繕來完善。（3）加快制定網絡安全法應該來說，物聯網的安全問題，是網絡安全的一個子問題。斯諾登事件也讓我們意識到這個問題的嚴重性。而無論美國還是中國，均沒有一部綜合性的網絡安全立法。雖然兩國均對入侵計算機信息系統等涉及到網絡安全的內容進行了規制，如美國的偽造接入設備及計算機欺詐和濫用法、計算機安全法、聯邦信息安全管理法等，中國刑法中的非法侵入計算機信息系統罪、全國人大常委會關

17、于維護網絡安全的決定等，但近年來黑客攻擊、網絡恐怖主義、網絡犯罪、網絡基礎設施故障等事件的不斷增加，都顯示出兩國在應對網絡安全問題上由于立法不足而導致的尷尬局面。因此，加快網絡安全立法步伐是十分有必要的。（4）深入開展人工智能立法研究人工智能的安全問題在物聯網發展過程中是不可避免的。人工智能之物是否必須遵循一定的行為規范?毋庸置疑，人工智能之物必須守法。但法律是調整人的行為的規范，不可能支架要求物來守法。這二者也并不是不可調和的。在我看來，從本質上講，代碼、程序是人工智能之物的核心，而這些核心“思想”的設計和制造者還是人。我們可以在人工智能之物的開發和設計中，應對其設置一些最基本的原則，并通過

18、程序、代碼根植于人工智能之物中。使得這些程序、代碼在任何情況下都作為最為優先的命令進行執行。如果智能之物企圖對人類進行傷害，那么通過最初設置的程序代碼，使其在行使傷害行為之前就自毀4。因此，立法只需要規制這些程序，代碼的設計者和開發者即可。相關制度完善的建議（1）建立物聯網安全應急預警、處置機制，保證對物聯網（尤其是人工智能之物）的安全威脅進行預警和事先處置的能力。（2）建立物聯網實名認證制度（3）建立信息保留期限制度，及對私密信息的存儲時間做出規定，只要超過時限就即使銷毀這些數據。（4）建立信息分類定性制度，明確各種信息的性質，比如哪些是可以共享的，哪些是需要授權才能獲取的，哪些是信息所有者才能修改的等7。結語：正如北京大學法學院張平博士所說：“任何空間都需要秩序，技術的發展只有在有序的環境下才能造福人類。”2法律對于新生事物的規范是為了更好的促進其發展。作為引領最新科技潮流的物聯網產業，不可避免的存在這樣那樣的問題，但其發展是大勢所趨，我們能做的，就是在法律層面積極配合，加快相關研究工作的進程，通