在消费类可穿戴智能设备的数据处理过程中,制造商、供应商、运营商和服务提供 商等各厂商在数据收集、存储、传输、使用、提供和删除等环节面临诸多安全风险。
一是传感器和软件如果缺乏安全验证,可能存在漏洞或后门,导致数据被未授权方窃 取。根据研究,目前市面上不少消费类可穿戴智能设备的应用程序都存在代码漏洞,攻击 者可通过网络攻击获取设备控制权,进而非法采集数据。2018 年,挪威消费者委员会对 4 款智能手表进行安全测试,发现其中一款手表存在严重的安全漏洞,攻击者可以通过互联 网秘密监听手表的麦克风,实时窃听孩子的对话。2022 年,央视 315 晚会专门设立网络安 全实验室环节,通过测试发现孩子的手表可以被黑客进行实时监控,黑客能够直接获取儿 童日常的行走轨迹,以及实时环境声音。部分低配儿童手表沦为行走的偷窥器,引起社会 普遍关注。
二是一些设备制造商和服务提供商,为追求商业利益最大化,可能采取数据过度采集 的策略,这不仅违背数据最小化原则,也加剧了数据泄露风险。以智能手环为例,正常使 用其计步、心率等功能,完全不需采集用户的通讯录、位置等隐私数据,但现实中这种行 为屡见不鲜。2023 年,一位母亲购买了一款智能校服,希望借助其卫星定位功能掌握孩子的实时位置。然而,这款智能校服却暴露了孩子的位置隐私。有不法分子利用其软件漏洞, 批量泄露了数千名学生的实时位置,还对部分学生实施了跟踪骚扰。此事给孩子和家长都 带来了切实的人身安全威胁。
一是云端数据未做加密,或加密强度不够,存在数据裸奔的风险。根据统计,目前半 数以上的云用户没有对其关键数据进行加密。2021 年,一位 fitbit 的用户惊讶地发现,自己 的运动数据,包括每天的步数、心率、睡眠时间等,在自己不知情的情况下被公开到了搜 索引擎上。原来,fitbit 的服务器存在隐私防护的漏洞,用户的数据在未经适当脱敏的情况 下被泄露。此事给用户的隐私保护敲响了警钟。 二是云上数据因身份认证、访问控制等措施缺失,可能被越权访问。特别是在多租户 的公有云场景,资源共享导致攻击面扩大,数据被其他租户和内部管理员窃取的风险加剧。 一位老人的智能血压计泄露的用药信息,被不法商家用于精准营销,给生活带来不便。
三是企业自建或租用的云存储服务,安全运维不到位,存在数据丢失、泄露等风险。 数据丢失风险主要源于硬件故障、软件错误、人为失误等因素,可能导致业务中断和经济 损失。数据泄露风险来自访问控制缺陷、传输加密不足、供应商管理疏漏等问题,可能致 使敏感信息外泄,损害企业声誉,甚至面临法律和经济制裁。此外,恶意攻击、内部人员 操作不当等也可能让数据遭到篡改,影响数据完整性,导致决策依据错误和业务运转混乱。 网络故障、系统维护、供应商停止服务等因素还可能引发服务中断风险,无法按需获取数 据,严重影响业务连续性。
一是消费类可穿戴智能设备数据多通过无线通信技术(如蓝牙、Wi-Fi、5G 等)上传 至终端 App 或云端,传输过程极易受到窃听和篡改。根据研究,市面主流的智能手环,超 过 60%采用明文传输数据和指令,存在严重的中间人攻击风险。2018 年,挪威消费者委员 会对 4 款智能手表进行安全测试,发现其中一款手表在数据传输过程中使用了弱加密算法, 黑客可以轻易破解,获取孩子的实时位置信息。黑客可轻易利用蓝牙嗅探器等工具,对无 线电波进行侦听,实施数据窃取。
二是传输过程中还可能出现数据包遗失、失序、重放等问题。数据包遗失会导致信息 传输不完整,接收方无法获得全部内容,影响业务流程的正常进行。数据包失序可能扰乱 信息的原有逻辑顺序,让接收方难以正确理解信息含义,做出错误判断和处理。数据包重 放则可能让接收方误以为收到了新的信息,重复处理已经完成的任务,浪费时间和资源。 此外,数据包传输延迟过高也会对时效性要求较强的业务造成影响,甚至引发后续一系列 连锁反应,损害企业利益。
一是数据脱敏不彻底,存在隐私泄露风险。传统的数据脱敏方法(如加密、混淆、假 名化等),只能防止数据被直接识别,但难以抵御基于关联数据的隐私推断攻击。2017 年, 某健身软件发布了全球运动手环热图,其中就显示美国士兵的运动轨迹,导致美国军事基 地的坐标被完全泄露,手环记录的轨迹不仅描绘了基地的轮廓,还可以看到轨迹路线,车 辆物流运输路线等敏感信息。对此,需采用同态加密、安全多方计算、差分隐私等新兴隐 私保护技术,在保留数据统计特性的同时,防止敏感信息泄露。
二是在数据特征提取过程中,如果缺乏访问控制和流程管控,可能导致中间特征数据 被窃取,甚至通过特征工程逆向出原始数据。一位白领的智能手环记录的详细运动轨迹, 成为前任跟踪骚扰的依据。对此,要严格限制和审计对中间数据的访问,并采用 PCA 降维、 子空间随机映射等技术,提高数据特征的不可逆性。 三是在数据分析、挖掘环节,算法模型可能存在偏差,造成对不同群体的隐性歧视。 如一些疾病风险评估模型,可能会过度关联某些种族、地域因素,产生不公平的预测结果。
一是数据售卖和转让,可能超出用户授权的范围,违反用户意愿。近年来,就发生多 起 App 超范围向第三方分享用户健康数据的事件,引发广泛质疑。一位老人的智能血压计 泄露的用药信息,被不法商家用于精准营销,给生活带来不便。对此,需建立面向用户的 数据授权机制,让用户清晰知晓并自主决定数据去向。同时,监管机构应加强对数据交易 的备案审查。 二是共享数据的安全防护不力,存在二次泄露风险。接收共享数据的第三方,可能缺 乏足够的安全管理能力,或违反双方的数据安全协议,造成共享数据的非授权扩散。对此, 需明确双方的安全责任,对共享数据全生命周期管理;探索基于区块链的数据共享安全机 制,利用智能合约实现细粒度授权、访问控制和责任追溯。
三是共享数据的用途可能偏离初衷,被用于商业监控、广告投放等侵犯隐私的用途。 共享数据被用于商业监控,可能在用户不知情的情况下,捕捉其网络行为和位置信息等, 侵犯用户隐私,引发用户对企业的反感和投诉。用户数据还可能在未经允许的情况下,被 共享给第三方广告商,用于精准广告投放,让用户产生被窃取信息和被操纵的负面情绪, 损害企业形象。一旦涉及未成年人等敏感群体数据,用途偏离更可能引发法律纠纷,让企 业面临高额赔偿,品牌声誉严重受损。此外,内部人员违规使用共享数据牟利、数据二次 共享失控等风险也不容忽视,极易引发连锁反应,后果不堪设想。
一是消费类可穿戴智能设备的数据存储较为分散,从用户提出删除请求到后台最终执 行,往往存在一定的时间差。这就存在数据删而不尽、分身泛滥的风险。具体而言,一些 消费类可穿戴智能设备厂商和服务提供商对删除请求的响应不够及时,没有在承诺时限内 完成删除。还有一些厂商以已做数据脱敏为由拒绝删除请求。更有甚者,表面答应删除, 实则数据分身多处,用户即便行使了删除权,个人数据仍在平台的不同业务和数据库间雪 藏流转。2022 年,国内一款热门减肥 App 就曝出“数据删除门”丑闻。有用户反馈称,希 望注销账号,删除个人信息,但平台客服以“系统还在升级优化”为由,拒绝了请求。经 多次投诉,平台才提供了注销通道,然而注销后 App 未经用户同意,又将其个人信息回填 至引荐的健身 App 账号。
二是即便平台按要求删除了用户数据,但由于消费类可穿戴智能设备芯片、存储卡的 物理特性,删除操作实际上只是使数据不可见,原物理介质单元并未立即释放。这种状态 下,数据残留在存储介质上。攻击者可能会利用数据恢复技术,如磁盘扫描、存储芯片测 试等,将已删数据重新还原。因此,对于涉及重要隐私的数据,有必要在逻辑删除基础上, 及时进行物理擦除、粉碎销毁等操作。 三是消费类可穿戴智能设备生成的部分原始数据(如用户运动轨迹)可能涉及他人隐 私,用户删除请求无法触及。用户运动轨迹数据可能包含与其同行人员的隐私信息,在未 经他人授权的情况下采集和存储,侵犯他人隐私权,引发纠纷和投诉。即便用户提出删除请求,这些涉及他人隐私的原始数据也难以从系统中彻底清除,存在二次泄露的风险,影 响面可能进一步扩大。倘若原始数据被恶意利用,还可能对相关人员的人身、财产安全构 成威胁,给企业带来难以承受的法律和舆论压力。此外,原始数据的跨境传输可能触犯数 据本地化要求,面临监管处罚;数据汇总分析也可能揭示个人敏感信息,违反数据最小化 原则。
