毫无疑问,物联网为我们提供从未想像过的便利和效率。我们已很习惯使用物联网装置,以致它成为了我们现今生活不可或缺的一部分。除了物联网所带来的效益,让我们也来看看物联网的私隐风险。
物联网指一般家居设备或个人装置透过互联网相互连系的网络。物联网装置一般安装了感应器,可与其他装置通讯和交换资料,并可以遥距控制。常见的物联网装置包括智能手表、智能电视、人工智能家居助理、联网汽车和智能灯柱。物联网装置是「智慧生活」和「智慧城市」不可或缺的部分,而其核心功能包括收集及传送资料,并往往具有某程度的自动监控和决策功能。
许多物联网装置,例如穿戴式装置、智能电视和家庭电器,都能收集大量关于个人健康、行踪、习惯和私生活的私密资料。通过整合这些资料,便可以建立物联网装置使用者的个人资料档案。因此,对物联网装置进行追踪,亦相当于对其使用者的行为追踪。
2018年8月,美国联邦第七巡回上诉法院在 Naperville Smart Meter Awareness v City of Naperville, No. 16-3766 (7th Cir. 2018) 一案中,裁定智能电表所收集的家庭能源使用资料,受《美国宪法第四修正案》保障(即是人民在人身、住宅、文件和财物皆享有不受无理搜查和扣押的权利),原因是该等能源使用资料显露了屋内的情况。尽管如此,个人通常没有留意到物联网装置收集其资料、其收集目的以及该等资料最终会被转移到哪里。此等对重要个人资料的处理几乎完全缺乏透明度,亦没有给予装置使用者适当的通知。
《个人资料(私隐)条例》附表1的保障资料第1原则规定,机构(资料使用者)须以合法和公平的方式收集资料。消费者(资料当事人)必须获告知他们的个人资料的使用目的,以及该资料会否被转移予第三者。机构并且不得秘密收集资料。保障资料第3原则(使用资料)规定,资料使用者将资料当事人的个人资料用于其他目的(例如对资料当事人进行个人资料汇编及宣传推广)前,须取得其同意。
资料保安是物联网的另一个棘手问题。物联网装置相对便宜,故生产商和使用者未必会对物联网装置采取足够保安措施。在有着许多装置相互连系的物联网生态系统中,整个系统的保安强度可能只是有如最脆弱的接入点。黑客可以首先入侵安全度不足的物联网装置,然后入侵资讯系统。此外,黑客也可透过控制数以千计或百万计被入侵的物联网装置发动分散式阻断服务攻击。根据香港电脑保安事故协调中心的「2018年香港资讯保安展望」,物联网攻击数量正明显增加。各个机构有责任根据保障资料第4原则(资料保安),采取所有切实可行步骤,以确保在其控制下的个人资料,不会未经授权或意外地被查阅、使用或丧失。保安措施应与任何潜在资料外洩所带来的损害风险相称。
我们作为物联网装置的使用者,亦应对装置的安全设定有所警惕。譬如不久之前,许多网路摄影机因受黑客入侵,导致有关装置使用者的家中生活状况在网上直播。要避免受到窥视,我们其实只需更改网路摄影机(及其他物联网装置)的登入认证,将原厂设定改为用户自行设定。
要对症下药,解决保安问题,我们极力鼓励物联网装置生产商采取「贯彻私隐的设计」,而消费者亦应只使用含有此类设计的物联网装置。