物联网隐私权保护研究范文

一、圆形监狱的原理与隐喻

圆形监狱（panopticon）最初作为一种建筑理念，由英国哲学家杰里米•边沁（JeremyBentham）于18世纪80年代创建（如图1）。边沁在其著作《圆形监狱》和两个长篇附录中详细地描绘了圆形监狱，按照他的设计，圆形监狱由一个中央塔楼和四周环形的囚室组成，环形监狱的中央是一座监视塔，周边是分隔的囚室，每间囚室前后都各有一扇窗户，其中一扇正对中央塔楼，另一扇则作为通光之用。如此设计，可以方便站在中央塔楼的监视者清楚地观察到关在囚室里的罪犯的行为活动，囚犯则在心理上感觉自己时刻处在被监视的状态下而不敢轻举妄动。边沁把圆形监狱当作一种建筑原理，认为这种建筑设计可使一个监视者能够同时监视很多囚犯，但是囚犯却无法确定他们有没有被监视。到了20世纪70年代，法国哲学家米歇尔•福柯（MichelFoucault）以规训技术分析为核心，从反思的角度发展了圆形监狱理论。福柯认为随着圆形监狱机制的扩散，整个社会中遍布了“圆形监狱”，整个社会成为了某种意义上的监狱。自20世纪90年代中期以来，互联网广泛应用于全世界的各个角落，电子信息技术的快速发展使社会监控和跟踪变得更加便捷而普遍，圆形监狱逐渐成为了电子监视和网络监视研究领域代表性学术模型或隐喻，①甚至有人把互联网比喻为电子信息监狱。②如今，随着物联网技术的发展和广泛应用，圆形监狱的意象借助科技手段变得越来越真实而严峻。在物联网的环境中，每个人都会不知不觉间落入“规训”的技术网络，很可能随时被监视和跟踪。如果物联网的社会监控能力被私欲控制而遭到滥用，可以想象，公共安全、个人权利特别是个人隐私权将极易受到侵害，个人自由和社会秩序将受到冲击。

二、物联网与圆形监狱的契合

（一）物联网及其技术架构物联网（InternetofThings）的概念由ITU（国际电信联盟）于2005年在突尼斯举行的信息社会世界峰会（WSIS）上明确提出，之后逐渐成为世人关注的焦点，世界各国特别是发达国家都先后竞相从国家战略的层面加大对物联网相关技术的研发和推广。经过几年的发展，物联网现在已形成相对独立的产业链，成为了世界未来经济发展的引领方向。学界和业界至今对物联网的定义尚未形成统一的说法，一般认为物联网是指通过信息传感设备，按照约定的协议，把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理的一种网络。③物联网是在互联网基础上进行延伸和扩展的网络，其技术架构主要由感知层、网络层和应用层三个层次组成（如图2）。感知层主要通过RFID（射频识别）、GPS定位系统、条形码以及各种传感器等感知终端来识别物体、追踪对象和测量环境，采集各类所需信息；网络层主要利用互联网、局域网、通信网、广电网等各种有线或无线的电子网络，快速、准确地传递和处理在感知层获取的信息，实现感知数据和控制信息的双向传递；应用层主要运用数据挖掘、云计算和专家系统等工具，根据用户的不同需求分析数据，并形成专业化、智能化的解决方案，实现物联网与用户之间的对接，满足用户的各种实际需求，达到物联网的智能应用目的。

（二）物联网与圆形监狱的契合物联网能够通过各类现代技术手段准确地识别、定位、跟踪物体和人，能快速、准确地对物体信息和个人信息进行收集、挖掘、分析、处理和利用。与互联网相比较，物联网在泛在性和信息流量等方面更胜一筹，且其具有的智能性，更利于实现对目标或对象的监控和管理。从社会监控的角度来看，物联网与圆形监狱在运行目标、运行机制、运行方式等方面都存在着契合之处。①首先，在运行目标上，圆形监狱通过监视获取囚犯信息，掌握囚犯的行为规律，进而更好地对囚犯进行控制和管理；物联网则借助识别、感应等技术获取信息，通过网络传递，再根据需要对信息进行计算处理，帮助使用者解决实际问题，以实现预期的目标。两者都是为了提高工作效率，更好地实现管理目标。其次，在运行机制上，物联网与圆形监狱都适用了控制论。按照控制论，信息传递的目的是为了控制，控制是通过信息反馈来实现的，信息反馈是控制论的核心。圆形监狱从囚犯的活动中收集信息，并对分析处理后的信息进行反馈，制订改造方案；物联网则通过感知层收集信息，再经由网络层传递信息，在应用层进行加工处理后，形成解决方案。两者都是要通过信息反馈，揭示管理活动中的不足，促进系统进行不断的调整和改善，以达到优化、平衡的状态。最后，在运行方式上，物联网与圆形监狱对信息的处理都具有集中化的特点。圆形监狱以中央塔楼为中心，向四周收集囚犯的活动信息，并将信息集中起来进行分析和处理，以便更好地管理囚犯；物联网尽管没有相对统一的系统，其收集的信息一般贮存在储如云端的资源池中，但在使用时也要通过数据挖掘等技术对信息进行分析和处理，最终将关联信息集中起来用于制订应用方案。物联网与圆形监狱的契合，表明物联网像圆形监狱一样拥有强大的社会监控能力，再加上其物物相联、人人相联、人物相联的能力，使得这种监控变得不但即时、动态和连续，而且是无处不在、无时不在。这意味着物联网将比以往任何网络形态更像一个电子信息监狱。在物联网的环境中，个人的信息、私人空间等将更大程度地曝露在社会监控之下，个人的隐私权将受到更多干涉和影响。

三、物联网对隐私权保护的影响

（一）物联网引发的隐私权保护问题在互联网时代，网民们就一直受到网络安全和隐私保护问题的困扰。根据调查，电子监视行为在网络社交中十分普遍，使用Facebook的大学生有60%以上会利用它来调查他人。②在美国，有接近80%的公司或组织会对员工进行某种形式的电子监控。③以互联网为基础延伸衍生的物联网，使得每个人、每件物品都可以被联接在一起，个人信息和物品信息可以被随时随地感知、读取、收集、跟踪和利用。换句话说，物联网的社会监控能力比包括互联网在内的过去任何一个信息时代表现得更为强大。物联网监控下的“监狱社会”，将给个人隐私权保护带来多方面的问题：一是个人信息被窃取。在物联网中，RFID（射频识别）及各种感应设备用于读取、收集物体信息或个人信息，攻击者使用微探针很容易就能获取信号，窃取其中的个人信息，或者盗窃标签，运用物理手段复制甚至伪造、篡改其中的信息。当个人信息与标签结合在一起时，会引起个人隐私的泄露。二是个人活动和空间被监控。为了收集数据，目前通常采取的措施是在感知区域安置大量的感知设备和摄像设备，数量庞大的感知节点和监控点散布在大范围的区域内，其中包括道路、商场、办公区、住宅小区等，有些可能会覆盖到私密空间（如洗手间、换衣间等）和私人住宅空间，身处监控范围内的个人活动会时刻遭到监视。三是个人活动被跟踪。随身携带标签的用户，通过GPS等定位系统，很容易就可以被定位、跟踪，比如在手机里植入芯片，只要我们开机，就会被识别和定位，从而使个人的私人行为或活动空间暴露。四是个人数据被过度挖掘。在现代社会，人们会在工作和生活中留下大量活动痕迹和个人信息，往往这些个人信息会以各种方式被收集和存储，并可以利用数据挖掘技术进行分析处理。当这些个人信息被过度挖掘并共享于网络上时，就会使其中的个人隐私信息被公开和利用。

（二）物联网隐私权保护问题产生的原因物联网给隐私权保护带来了很多隐忧，折现出当代社会人们对现代技术的困惑。究其根源，物联网隐私权保护问题产生的原因主要体现为以下几个方面：1.观念缺乏。物联网在技术层面上实现了跨越式的发展，将对社会生产方式和人们的生活方式、价值观念产生深远影响。但是物联网作为新生事物，要为人们广泛认识和普遍应用，还需要一个较为漫长的过程，人们的行为方式与价值观念的转变也需要一个过程。同时，我国较缺乏保护隐私权的文化传统，人们对隐私权保护的意识比较淡薄，一方面不重视隐私权的自我保护，缺乏防范意识；一方面对他人的隐私权缺乏尊重，有时为满足个人心理和利益需求，而采取非法手段窥探他人隐私或利用他人隐私。2.技术缺陷。物联网现还处于初期发展阶段，缺乏完整的技术标准体系和有效的安全防护措施，容易引发隐私权保护问题。在感知层，RFID（射频识别）及各种感应器功能单一，能量有限，所使用的无线通信信道具有开放性，编码简单，难以对合法读写器和非法读写器的访问信号加以区分，缺乏安全保护能力。在网络层，网络节种类较多，数据采集和信息传递没有特定标准，数据传输难以提供统一的安全保护。另外，由于物联网还是以互联网为基础，互联网中的漏洞、病毒等不安全因素会传播到物联网上，攻击者可以通过攻击节，窃取、篡改、利用个人数据。在应用层，物联网的数据共享和应用也都对安全保护提出了新要求。更为重要的是，物联网是一个技术应用整体，缺乏系统衔接和整合，各层安全措施的简单叠加并不能提供可靠的安全保障。3.法律缺失。从目前有关隐私权保护立法情况来看，我国还没有建立起相对完善的法律保护体系。在我国现有的法律体系中，《宪法》作为根本法仅对公民的人格权、住宅权、通信自由权和通信秘密权等权利作了原则性的规定，缺乏可操作性；《民法通则》作为我国第一部正式颁行的民事基本法，规定了公民的姓名权、肖像权、名誉权等人格权，但没有正式规定隐私权；最高人民法院在之后的一系列的司法解释中，尽管对公民的名誉权等人格权进行了更为具体的规定，特别在《关于审理名誉案件若干问题的解答》和《关于确定民事侵权精神损害赔偿责任若干问题的解释》中将隐私作为一种人格利益提出，但也都没有正式将隐私权作为一项独立的人格权予以保护；此外，《刑法》、《行政处罚法》、《民事诉讼法》、《刑事诉讼法》、《行政诉讼法》等实体法和程序法分别在各自调整的范围内将隐私作为一项人格利益给予保护。这些立法都没有正式对隐私权及其保护作出明确规定，更没有就隐私权的定义、特征、表现形式、侵害形态、保护措施等内容作出单独而又具体的规定。直至2010年，《侵权责任法》才正式将隐私权作为一项独立的民事权利提出来，并明确规定了侵犯隐私权应承担的民事责任。尽管如此，仅凭这些较为分散、简略的法律规定是难以对隐私权提供足够而全面的法律保护的，特别是在物联网尚处发展初期，国内对物联网的立法非常欠缺，法律立法的滞后性，使原有的法律规范更是难以应对物联网发展过程中出现的隐私权保护问题。4.监管缺位。物联网不仅是一个庞大的技术系统，更是一个极具市场潜力的产业和统一的安全管理平台，需要合理有效的规划、引导、管理和监督。但是从目前来看，物联网的门槛较高，参与研发的机构较少，各类技术标准的制定难以统一；物联网的上游、中游和下游的产业链条蕴含的巨大的商业机会和利益吸引各类社会主体进入，各自占山为王，市场产品和服务良莠不齐，投资盲目和利益分配不均衡，产业市场较为混乱；物联网管理的体制问题还没有完全理顺，政府部门、行业协会、企业和其他利益相关者的权责利关系有待进一步厘清，相对健全、有效的管理机制还没有真正建立起来；物联网还没有正式形成统一的安全管理平台，割裂了各个网络之间的信任关系，难以保障物联网的整体安全等。

四、物联网隐私权保护体系构建

在物联网发展过程中，隐私权保护问题已经成为物联网发展的一个重要瓶颈问题，如果这个问题得不到有效缓解，将会引发侵犯个人隐私、影响国家经济安全等严重后果，阻碍物联网的进一步发展。物联网隐私权保护是一项系统工程，需要整合社会资源，多管齐下，从技术研发、法律规制和行政监管等多个层面采取措施，构建起比较完善的保护体系（如图3），才能将物联网打造成一个可控、可信、和谐的智能服务平台。

（一）技术保护物联网安全主要通过相关的信息技术手段予以保障，从而一定程度上解决个人信息泄露问题，以达到保护个人隐私的目的。目前通常采用的方法是通过数据加密、加强认证、访问控制机制、物理安全措施等技术手段，加强个人信息安全保护。数据加密一般可以采用可设定安全等级的密码、轻量级密码算法和协议等技术来提高数据的安全等级，以阻止攻击者在信息传输时破译、窃取个人信息。加强认证主要通过用户身份认证、设置访问权限、控制设备配置权限、更新和加密口令等方法进行多等级认证，加强对节点的合法性认证来保障数据安全，对于节点之间、节点与网络之间的认证，除了要对接入点之间的认证外，还要设计新的密钥协商方案来阻止攻击者的控制和操纵，确保物联网的整体安全。目前互联网常用的访问控制机制是基于角色的访问控制机制，但物联网涉及物与物、人与物之间的通信，其中的感知节点种类繁多，难以对各个节点的角色进行定位，基于角色的访问控制机制在物联网的实际应用中的灵活性和适应性都显得不够。提高物联网安全性能的物理技术主要有静电屏蔽、阻塞标签、选择性锁定和Kill命令机制等技术。此外，还有针对信息泄露追踪、数据销毁、证据收集等问题而需要进一步发展的叛逆追踪、匿名认证、指纹认证和数字水印认证等技术。上述传统的安全技术在个人信息被窃取和泄露等方面能够发挥一定的防范作用，但是还不能从根本上解决物联网发展过程中给我们带来的个人隐私保护问题。因此，我们得紧随物联网的发展步伐，不断加大对物联网核心技术的研发力度，从技术层面寻求新的解决方案，最大限度保障个人信息乃至整个物联网的安全。（本文来自于《法治论丛》杂志。《法治论丛》杂志简介详见）

（二）法律保护科学技术的发展通常会对社会生产方式带来改变，导致给社会关系调整带来一些新的问题，要克服这些问题不能只依赖科学技术本身。科技进步需要通过建立法律秩序，排除不确定性才能获得稳定的预期。①物联网作为科技创新的产物，引发了人们生活方式和社会关系的重构，随之产生的隐私权保护问题必须通过法律规制才能得以有效解决。但是，在我国现行的立法中，有关隐私权保护的法律规范本来就比较欠缺，在物联网环境下产生的新的侵害形态更是增加了隐私权保护的困难。因此，物联网隐私权保护必须构建起相对完善的法律保护体系。首先，应从立法上将隐私权区别于其他人格权，明确隐私权的定义和内涵，并对物联网隐私权予以专门规定。其次，全面确认物联网隐私权的各项内容，对个人身体隐私权、个人信息隐私权及个人生活隐私权等包含的内容进行明确规定，并根据新的形势进行拓展和补充。再者，对侵害物联网隐私权的行为模式、损害后果及法律责任等作出具体的规定，增加法律规定的可操作性。最后，采取多种法律形式对物联网隐私权强化保护，注重私法与公法的共同保护，即不但要注重以民法为主要形式的私法保护，还要注重以宪法、行政法、诉讼法和刑法等为主要形式的公法保护。（三）行政保护从政府职能的角度，政府承担着社会公共事务管理的职责和功能。物联网隐私权保护问题从本质上讲是物联网发展过程中出现的一种社会公共利益和需求，因而必须依靠政府组织治理才有得以解决的可能。政府对物联网隐私权保护的行政措施应主要体现在以下两个方面：第一，抽象行政行为。政府要在把握物联网产业发展方向的基础上，制定物联网产业政策，合理规划产业发展阶段和布局，规范行业、企业和个人行为，在为产业发展提供良好环境的同时，也为物联网隐私权保护营造良好的氛围。第二，具体行政行为。政府主管部门要加强对物联网的管理和监督，在其行使行政职权的过程，针对特定的公民、法人或者其他组织，就特定的有关物联网隐私权侵权和保护等具体事项，依法采取行政许可、行政确认、行政检查、行政监督、行政处罚、行政强制、行政指导等具体措施。比如，政府应对物联网行业实施许可制度，建立统一的监督管理平台，对相关产品生产商和服务提供者窃取、泄露用户个人信息等侵犯他人隐私权的行为，应禁止颁发或撤销许可证，并视其违法情节给予警告、罚款、没收违法所得、没收非法财物、行政拘留等行政处罚；政府部门在行使职权的过程中泄露公民个人信息，对公民的隐私权构成侵害的，受害人有权向政府请求行政赔偿；政府可以与物联网企业、个人就社会公共安全和隐私权保护事项签订行政协议，明确各自的权利和义务；政府对保护社会公共安全和个人隐私权有突出贡献者予以奖励等等。此外，政府要加大宣传力度，提高人们对物联网的认识和隐私权保护的意识，还要加强对物联网行业协会的业务指导，增强行业自律能力，共同做好隐私权保护工作。

作者：洪辉罗杰红单位：广东职业技术学院