【摘要】万物互联网时代的个人数据包括表征个人自然属性特征的数据和表征个人行为属性特征的数据。个人数据云传播过程的每个环节都存在诸多泄露和滥用的安全隐患，主要包括个人数据在万物互联终端的泄露隐患，个人数据在万物互联云端的泄露隐患，以及个人数据在万物互联应用中的滥用隐患。个人数据的云传播过程中，其拥有者几乎失去了对其个人数据的控制权，也较难掌握其個人数据的流向。因此，保护个人数据的关键方法之一是尽可能地让个人数据由个人掌控，建立基于边缘计算的个人数据控制机制;之二是要尽可能地让个人自身管理其数据的流向，建立云端个人数据开放和使用的监管机制。

【关键词】万物互联网  个人数据  云传播  隐私安全

【中图分类号】TP393.08                       【文献标识码】A

【DOI】10.16619/j.cnki.rmltxsqy.2022.14.008

引言

隐私的基本要素有两个：一是将某些事物保密的权利和能力;二是控制他人拥有并可以访问有关自己的信息的权利。[1]但在万物互联网时代，围绕个人的工作、学习、生活、医疗和娱乐场景，可挖掘出丰富多彩的“万物对个人服务”（Everything-to-Person， E2P），这使得隐私要素的保障机制较难建立起来。万物互联网是由物体、数字设备、数字个人、数字企业、数字政府和数据资源等要素，借助数字平台，通过数字流程相互连接而成的巨复杂网络生态系统。[2]与物联网相比，万物互联网的连接对象更为广泛，能与人和社会环境进行强烈的交互，[3]而物联网仅连接事物（传感器和设备）。特别是，万物对个人服务（E2P）一般都致力于分析“你到底是谁，你在干什么，你在想什么，你需要什么”，采集和处理大规模个人数据是其发展的基石。而“可识别性”是个人数据的本质特征，凡是单独可以识别出特定自然人的数据（直接识别）或者与其他数据结合后能够识别出自然人的数据（间接识别），都是个人数据。[4]这使得人们较难实现“不被注意”和“匿名”。如用户借助各类穿戴服务平台，将自己的穿戴设备与智能手机绑定后，可在穿戴设备与智能手机中同步这些个人身份数据（头像、昵称、性别、出生日期、身高、体重），个人运动数据（设备位置、运动轨迹、运动类型、运动时长、部数、距离、热量、爬高、最大摄氧量、运动心率），个人健康数据（睡眠、心率），以及个人的设备和网络数据（设备标识、设备设置、IP地址和网络类型）。再如，陪护机器人应用于养老院或社区服务站环境，具有生理信号监测、语音交互、远程医疗、智能聊天、自主避障漫游等功能，能够通过语音和触屏进行交互;配合相关监测设备，机器人具有血压、心跳、血氧等生理信号检测与监控功能，可无线连接社区网络并传输到社区医疗中心，紧急情况下可及时报警或通知亲人。[5]以患者为中心的健康数据共享平台可以聚合来自多个个人数字设备数据源的数据。[6]无线身体传感器网络已经可以连续地监测和记录人体特定部位的重要生理数据。

特别是，随着万物互联网与人工智能技术的融合发展，个性化算法和机器学习的应用已取得巨大进步，能为用户提供丰富多彩的智能新媒体服务，但也引起了人们对隐私、技术透明性和人为控制的强烈关注。[7]一是健康类应用程序可能带来的个人隐私伤害，[8]医疗大数据中的个人隐私问题，[9]人类基因数据共享可能带来的隐私风险。[10]二是在万物互联网的智慧城市应用场景中，房屋、汽车、公共场所和其他社会系统正在被不断地相互连接，人们的位置和活动数据被收集和利用。[11]这些数字应用有望显著改善医疗保健、运输服务、公用事业和环境健康。不过，这些效率和服务改进的代价是增加了隐私漏洞和风险。[12]三是数字设备（机器）之间通讯和数据交换带来的个人数据安全问题被广泛关注。[13]智能手机是使用最广泛的电子设备，具有整合和连接万物的功能。但当前的智能手机管理用户敏感数据的能力明显不足，用户的数据常常被过度收集。[14]数据过度收集，意味着智能手机应用在许可范围内收集用户数据的能力超过了其原始功能，正在迅速成为万物互联网时代最严重的潜在安全隐患之一。[15]

但现有成果暂未开展万物互联网时代的个人数据安全和隐私问题的系统性研究。本文拟探讨和回答三个问题。一是万物互联网时代个人数据的内容和结构如何？二是个人数据在万物互联网中是如何传播的，将对个人的隐私安全带来哪些威胁？三是我们应该如何防范万物互联网环境下个人数据的泄露和滥用风险？为此，本文的第一部分将建构万物互联网环境下的个人数据内容结构;第二部分将探讨个人数据在万物互联网中的云传播机制;第三部分拟分析个人数据在云传播过程中的隐私安全隐患;第四部分拟探讨万物互联网时代个人数据的隐私保护机制。

万物互联时代个人数据的内涵和结构

万物互联网的本质是“连接一切”，在此过程中也在向“采集人的一切数据”方向发展。在万物互联网环境下，个人数据的内涵和结构正在被不断扩展。个人数据涵盖原始的机器数据和元数据，以及关于抽象性的个性特征表征数据。[16]根据安全级别，将个人数据划分为一般个人数据和敏感个人数据。[17]但关于个人数据到底包括哪些内容，众说纷纭，特别是万物互联网环境下，个人数据具有什么样的结构还未定论。这是进一步分析个人数据的安全和隐私问题的重要前提。

从信息科学视角看，个人数据可被定义为描述自然人的属性、运动状态及其变化方式的数据。个人数据本身是客观存在的，随着技术的进步，越来越多的个人数据被数字化的采集和存储。在一定程度上，个人数据的聚集能形成一个完整意义的“数字个人”。我们讨论的个人数据常常是指数字化的个人特征和行为，也即个人数据的本质是“数字个人”的数据。“数字个人”的数据主要由表征个人自然属性特征的数据和表征个人行为属性特征的数据构成。但人类还不可能感知和采集所有的自然人数据。

表征个人自然属性特征的数据。自然人属性数据主要用于描述“这个自然人到底是谁”，主要包括自然属性数据、精神属性数据、社会属性数据。自然属性主要描述物质世界中的“人”;精神属性主要描述精神世界中的“人”;社会属性主要描述现实社会中的“人”。

1.自然属性数据。自然属性数据主要用户描述人的生理特征、肉体特征和健康状况的数据。在传统社会环境下，人的自然属性特征基本属于隐私范畴，较少被数字化采集，但在基于人工智能的万物互联时代，人类的生理特征和肉体特征越来越多地被数据化。当前已经或正在被数字化的个人数据包括：人脸数据、人体数据和指纹数据。从普遍意义上而言，构成“生理人”的全部人体器官都有被数字化的趋势。人脸识别技术和人体识别技术的发展使得人类能够感知和采集越来越多的人脸数据和人体数据。

现有的人脸识别系统主要用于对人脸的属性判别，能识别的人脸数据主要包括人脸框、人脸的关键点信息，人脸的姿态估计、人脸的自然属性（性别、年龄、种族、微笑、颜值，是否带墨镜，是否带眼镜，人脸是否遮挡，是否有胡子），以及人脸的情绪（惊讶、高兴、悲伤、生气、平静）等属性的分析。[18]

现有的人体识别系统主要开展人体关键点检测，能够准确地估计出图片或视频中的人体14个主要关键点，包括：左右手肘、左右手腕、左右肩膀、头、脖子、左右脚踝、左右膝盖和左右臀等;能够在多个场景形式下，对站立、坐姿、运动多个姿态进行估计，从而实现对动作姿态的检测识别。[19]

健康状况数据主要是由各类医疗健康体穿戴设备产生的数据。医疗健康体穿戴设备一般都内置用于测量人体健康状况的传感器，能自动采集人体的血压、脉搏、心率、体温和激素量等重要数据。目前，智能手环、智能手表、智能血压计、智能眼镜、智能运动鞋都具有这方面的功能。如“心潮减压”应用运用PPG是利用光电容积描记（PPG）技术[20]进行人体运动心率的监测，能监测出心率、呼吸和心率变异性（HRV）等重要参数的值，能达到96%以上的监测准确率。

2.精神属性数据。人的情绪、心理状况和思想观念在一定程度上是最难监测的，但随着物联网和人工智能技术的发展，一些新媒体应用平台正在尝试科学监测个人的心理和情绪数据。例如，据“心潮科技”（www.psy-1.com/）官方介绍，“心潮减压”是一款基于生物反馈和情绪计算的心理健康平台，试图通过手机摄像头对面部毛细血管的细微颜色变化进行捕捉与分析，实现瞬时心率与内隐呼吸的监测，在此基础上帮助用户抵抗紧张、焦虑、愤怒、抑郁、低落、疲惫、失眠、注意力不集中、效率低下等心理问题;其能开展科学的情绪分析：在情绪计算的基础上，分析用户的压力协调系数、情绪状态等;其能为用户提供贴心的心理调节服务：音乐、冥想、脑波、催眠、认知疗法、腹式呼吸、物理减压、视觉放松。在此过程中，“心潮减压”需要在云端多维度记录和优化用户数据，才能为用户输出最智能的心理调节方案。

3.社会属性特征数据。借助各类数字应用平台，个人的社会属性特征正在被大规模地数字化采集、存储和分享。个人的社会属性主要包括个人的现实身份数据、现实关系数据、在线身份数据和在线关系数据。具体而言，现实身份数据是指可界定和表征现实社会环境中“此人是谁”，数字化的形式主要体现为国家人口登记和户籍管理系统中记录的身份数据，其数据项主要包括姓名、性别、身份证件号码、工作单位、户籍地址等。[21]现实关系数据是指可界定和表征现实社会中此人与他人之间的社会关系的数据，主要包括同事关系、朋友关系、亲戚关系、同学关系，其数字化的形式主要有手机通讯录（根据手机通讯录的分类管理功能，清晰地知晓他们与此人的社会关系）、通话记录（根据通话记录，可以获知哪些人是此人紧密联系、频繁联系的人士，也可获知此人在什么时间段跟某个人进行了密切的联系）和短消息记录（可分析出此人与其他人之间的具体沟通内容）。现实关系数据可集中彰显一个人所拥有的社会资本和社会资源的状况，在一定程度上是非常重要的个人隐私;在线身份数据主要是指可界定和表征虚拟社会中个人身份的数据，数字化的形式主要包括各类新媒体应用平台中的登录账户和密码、在线支付的登录账户和密码、在线银行的登录账户和密码，以及在线身份绑定的设备信息（设备标识符、机型）、网络信息（IP地址、MAC地址）等;在线关系数据主要是指可界定和表征虚拟社会中此用户与其他用户之间的各类关系，主要包括好友关系、社群关系（同在一个微信群）、协作关系（共同参与一个在线活动，如团购活动等）、传播关系（转发、评论或点赞了某用户发布的信息内容），数字化的数据形式主要有各类数字平台中的好友关系数据、社群成员数据等。

表征个人行为属性特征的数据。表征个人行为属性的数据主要包括两个方面，一是现实社会行为的数字化记录;二是个人作为网络用户的在线社会行为数据。当然，随着万物互联网的发展，现实空间和虚拟空间正在相互融合，个人的现实行为和在线行为的界限逐步模糊，越来越难以区分。

在线社会行为数据包括个人在各类在线数字应用平台中的行为数据。万物互联时代，智能新媒体应用模式主要包括人工智能+信息获取应用模式、人工智能+电子商务应用模式、人工智能+交流互动应用模式、智能生活与娱乐应用模式和智慧城市与智能政务应用模式，相应地个人的在线社会行为数据类型包括个人的信息获取行为数据、商务行为数据、交流互动行为数据、生活与娱乐行为数据、政务数据。

其中，信息获取行为数据主要包括个人的在线搜索行为记录，各类在线新闻服务平台中的浏览、评论、点赞、顶踩、投票数据;在智慧课堂、慕课等在线学习平台中的在线学习行为数据，主要包括在线收看课程视频的数据，在线听课状态数據，在线测验、在线作业和在线讨论的数据;在问答应用、维客应用中的提问记录和回答问题的记录;商务行为数据主要包括在C2C（Customer to Customer）电子商务、B2C（Business to Customer）电子商务、移动定位商务和Ο2Ο（Online to Offline）电子商务平台中的消费行为数据，包括购物记录、支付记录、物流记录和评价数据，涵盖了人们衣食住行领域的行为数据，详细记录了个人每天、每月、每年的社会行为轨迹，什么时间在什么地点打了什么车，去了哪儿办了什么事情。

智能生活与娱乐行为数据主要包括智能家居记录的生活起居数据、智能摄像头记录的家庭生活场景数据、智能音箱记录的家庭对话记录，以及各类游戏应用平台中记录的数据。家庭是构成社会的最小单位，也是个人生活的“隐私空间”，家庭的数字化和智能化（智能家居）将产生大量的个人数据。如海尔智慧家庭智能体系下分为五大板块：食联生态、衣联生态、全屋用水、全屋空气、全屋安防。[22]在此过程中，用户的饮食起居数据和身体数据被大量数字化采集。

个人的政务数据主要是指各类政务应用平台中记录的生育登记数据、婚姻登记数据、社会保障数据、不动产登记数据、纳税登记数据、征信数据等。

万物互联时代个人数据的云传播机制

个人数据在万物互联网中能形成一种云传播机制。所谓云传播是对人们通过“云”进行信息传播活动的社会总过程的总体描述。[23]其中，“云”是可远程访问、可扩展和可测量的信息技术资源，是云传播的技术生态环境。个人数据的云传播的本质是传收主体借助“云”，通过远程访问可扩展和可测量的信息技术资源完成个人数据的传播活动。[24]万物互联网中，个人数据的云传播系统涉及的要素主要包括云端、应用端、边缘端、终端，个人数据的云传播现象可能发生在云端与云端之间，也可能发生在云端与终端之间、云端与应用端、终端对终端、应用端与应用端之间。因此，个人数据的基本类型包括“云端对云端”（Cloud to Cloud， C2C），“云端对终端”（Cloud to Terminal， C2T），“云端对应用”（Cloud to Application， C2A），“应用对应用”（Application to Application， A2A），“终端对终端”（Terminal to Terminal， T2T）的云传播。[25]

一是个人数据的C2C云传播。C2C是不同云服务平台之间相互调用“资源”的传播现象，能实现云之间的连接。C2C需要“一对一”、“一对多”和“多对多”的云间通信协议和互操作标准来支持。[26]在实践中，个人数据的C2C云传播模式主要表现为个人数据在基础设施服务（IaaS）、平台服务（PaaS）、软件服务（SaaS）、网络服务（NaaS）、数据服务（DaaS）和人工智能服务（AaaS）等云服务之间的相互调用现象。

二是个人数据的C2T云传播。C2T主要表现为终端设备与云端之间的个人数据同步机制。目前，智能手机能实时存储用户当前的个人数据。但用户的智能手机不可能无限量地永久存储不断产生的所有数据。因此，多数智能终端设备提供商，如小米、OPPO等都为用户提供了云存储服务，用户只要开通了小米“账户”（i.mi.com）或OPPO“账户”（cloud.oppo.com），就可以将自己保存在智能手机等终端里的数据实时同步到云端。如用户开启了OPPO的云服务功能，就可以将相册、联系人、便签、日历、浏览器书签与收藏、短信、通话记录、系统设置、已安装应用列表、录音等个人数据同步至云端备份。[27]

三是个人数据的C2A云传播。C2A主要表现为应用程序与依托云平台之间的个人数据存储机制。在实际应用中，已有海量的应用程序基于第三方的云平台建构而成，这些应用程序采集和处理的个人数据全部存储在其依托的云平台之上;同时应用程序也可以使用云平台自身积累的基础个人数据。例如，第三方游戏开发者只要注册腾讯服务平台的开发者账户，创建其网络游戏应用，就可分享腾讯海量用户及关系链。第三方开发者在微信开放平台上，申请获得“AppID”后，就可创建其移动应用，通过接入“微信分享和收藏功能”的应用程序接口（WXMediaMessage）进行二次开发，能实现让用户从第三方应用系统分享文字、图片、音乐、视频、网页、小程序至微信好友会话、朋友圈或添加到微信收藏[28];通过接入微信“OAuth2.0”授权登录系统，可获取微信用户的基本开放信息，能实现让用户直接使用微信账户登录其应用系统。[29]例如，只有4个人的小程序团队，从策划到原型设计、前后端开发，只用了一星期就发布“垃圾分类工具”小程序，能让用户实现“拍图识别垃圾”，小程序上线仅20余天，访问量已经超过了10万，用户量超过了5万。[30]

四是个人数据的A2A云传播。在万物互联网的体系结构中，从各类终端感知和采集的个人数据最终主要汇集在各大应用平台。个人数据的A2A云传播主要是指各类应用平台之间的个人数据开放、共享和使用。当前，各类应用平台在尽可能全面地收集和存储个人的自然属性数据、精神属性数据和社会属性数据。如谷歌、百度等搜索引擎平台能采集和汇集用户的信息获取行为数据;脸书、微信等社交平台能记录和汇集用户的交流互动数据;淘宝等电子商务平台能汇集用户的购物记录、支付记录等商务行为数据，YouTube、优酷、抖音等应用能记录和汇集用户的生活与娱乐行为数据。具体而言，脸书公司旗下的Instagram和Messenger社交应用平台会收集用户在使用该产品时提供的内容、通信和其他信息，人际网络和关系网络数据，使用行为数据（使用的功能;执行的操作），用户终端设备数据（设备属性、设备操作、身份识别信息、Cookie数据），以及来自合作伙伴收集的用户数据（包括用户访问的网站、所做的购买、观看的广告以及如何使用其服务有关的信息）。[31]为了进一步挖掘和释放海量个人数据的价值，这些平台常常建立开放平台，面向第三方应用开发者开放部分个人数据的使用权限。例如，当用户选择下载和使用接入脸书开放平台的第三方应用时，该应用就能访问和使用用戶的部分个人数据;脸书也会将用户个人数据分享给使用脸书数据分析服务的企业用户、广告主、脸书平台的供应商等第三方合作伙伴。[32]

五是个人数据的T2T云传播。个人数据的T2T云传播主要是指个人数据在智能手机、穿戴设备、传感器等各类万物互联网终端之间的同步或互操作机制。如用户一般通过调用位置、蓝牙、通讯录、短信、麦克风和通话记录等权限来管理穿戴设备。如用户通过智能手机的“无线投屏”功能，能实现通过智能电视或笔记本电脑等“大屏”欣赏智能手机中存储的照片或视频。

万物互联时代个人数据云传播的安全隐患分析

如前所述，在万物互联网中，智能终端平台、云服务平台和应用平台控制着个人数据的采集、存储、共享和开放过程。智能终端是感知和采集个人数据的基本工具;云服务平台是个人数据的存储和管理平台;应用平台是个人数据加工、处理、再生和使用平台。如，用户首先登陆某社交平台提交了个人数据，社交平台开放接口给第三方企业，如第三方游戏、音乐等应用提供商，从而用户个人数据流向各个第三方企业，第三方企业的广告商将获得用户数据，并向用户推送广告。上述过程中，个人数据的拥有者几乎失去了对其个人数据的控制权，个人数据传播的每个环节都存在诸多泄露和滥用的安全隐患，主要包括个人数据在万物互联终端的泄露隐患，个人数据在万物互联云端的泄露隐患，个人数据在万物互联应用中的滥用隐患。

个人数据在万物互联终端的泄露隐患。万物互联网络的终端设备处于万物互联网络的感知层，既包括各类计算机、服务器和智能手机等具有丰富资源的互联网和移动互联网终端，也包括仅具有限资源的监控摄像机、传感器（或无线传感器网络节点）、射频卡（RFID）等物联网终端。互联网和移动互联网终端也有明显的安全隐患。但相对来说，万物互联环境下，仅具有有限资源（计算资源和存储资源）的事物将成为个人数据泄露的更大风险源，物联网设备可能具有非物联网设备中不存在的漏洞。[33]一是这些仅具有有限资源的事物，难以部署较为高级的安全保障机制（如复杂的加密算法）[34]，不仅可以被所有者连接，还可能被攻击者拦截。[35]在这种情况下，这些事物极易被入侵者進行“重新编程”，以便让它将数据发送到入侵者的数据库服务器。[36]攻击者可获得对计算设备的访问和控制，可能会操纵或提取数据、控制或中断服务。[37]二是这些事物一般都存在于开放的、不可信的、不受监控的物理环境中，如交通控制摄像头、环境传感器等都是暴露在外面的，这种情况下，事物本身可能被人为损毁。[38]如人们常常看到“共享单车”被随意丢弃到路边，并没有放置到指定的停放位置。三是物联网终端设备的所有者一般主要依靠无线网络对其进行远程控制，一旦信号受到干扰，将会“失联”或“失控”。

在万物互联时代，与个人紧密相关的家庭数据被全面采集，如海尔的智能家居系统中，智能用水、智能空调和智慧安防服务，能借助智能终端实现对家庭中水、电、气的远程控制;其他一些智能家居产品，如“Belkin”和“WeMo”能使得用户远程控制电灯，开关门窗和百叶窗等设施。[39]个人数据在终端与终端之间，终端与云端之间传递的过程中，也常常受到攻击。例如，目前在市场上的许多传感器都可以跟踪患者的重要信息，然后将数据直接传送到云端（网络）或某移动设备，这样医疗保健专业人员可以实时观察患者的健康状况并提供适当的治疗。但在此传送过程中，攻击者可以进行拦截、捕获和修改个人数据。[40]

个人数据在万物互联云端的泄露隐患。个人数据经过终端设备中传感器等系统的采集，再经过复杂的网络传送，最终会集中存放到物联网服务提供商的服务器或专业云服务提供商的服务器中。虽然，云端的安全基础设施一般较为完备，但云平台泄露个人数据的事件也常有发生。一是云平台被攻击导致个人数据泄露。例如，用于评估健康状况（如睡眠障碍、异常心律等）的可穿戴设备服务提供商“Fitbit”的数据库在2018年1月遭到黑客入侵，超过2500万用户的个人隐私被暴露无遗;2018年1月，专注于自行车运动的美国健身追踪软件“Strava”意外泄露美国军方机密，包括遍布世界各地的美国军事基地以及间谍前哨的位置及人员配置信息。[41]二是云平台将个人数据向第三方开放，也易导致个人数据泄露。例如“CloudPets”是一家生产智能玩具的企业，其借助智能终端收集了用户的大量个人数据，又在没有采取任何安全措施的情况下将个人数据外包给了另外一家公司，最终导致了超过200万名儿童的语音信息，以及超过80万电子邮件的账号和密码遭泄露。[42]

个人数据在万物互联应用中的滥用隐患。依据上述分析，各类感应器获得的个人数据，能详细描述用户的私人生活。目前，基于这些海量的个人数据，已经涌现出了各式各样的智能新媒体应用，正在进一步共享、使用和挖掘这些个人数据。智能新媒体应用根据这些个人数据，可以全面了解一个人的健康状况和财务状况，可以挖掘用户的行为习惯;还可以检测和揭示人们例行程序的变化以及异常行为的显示。[43]如脸书会根据从用户和第三方收集的数据，用户在其平台中的互动情况，以及与用户建立联系的其他用户、地点和事物，来分析和建立用户的关系网络、偏好、兴趣和活动，以此为用户定制其在“Facebook”和“Instagram”中的使用体验。一旦用户的身份被盗用，侵入者可能会控制与个人身份关联的各类终端设备，将对个人带来难以预测的严重后果。具体而言，个人数据在万物互联应用中的滥用隐患主要有三个方面。

一是应用平台滥用其采集的个人数据。超级应用平台能聚集海量个人数据。特别是在万物互联网时代，超级应用平台也常常违背承诺，未能严格按照个人用户的许可和授权使用其获取的个人数据，滥用个人数据的事件时有发生，已经对个人数据的安全产生直接威胁。尽管多数应用平台声称其不会在未经用户同意的情况下，将平台收集的个人数据用于商业目的。例如，基于面部识别的身份认证服务平台（Facefirst）能为用户提供面部表情服务（通过使客户能够使用其面部身份为商品或服务付款来缩短排队时间）、年龄和身份证明服务（告知客户每次进入场馆或购买有年龄限制的产品时都显示其ID）和店内取货服务（通过将面部识别添加为身份验证的主要形式或次要形式来防止身份欺诈），能实现在信息亭、自动取款机、在线应用程序中更快、更安全的交易。[44]但这一过程极其复杂，用户个人本身难以知晓应用平台将如何使用其采集的个人数据。目前，基于大数据分析的商业广告推送模式被证明是最有效的方式，也在实践中被大量使用，如脸书允许十几家公司在未经同意的情况下广泛访问其22亿用户的个人数据，包括私人信息、姓名和朋友的联系信息。[45]

二是应用平台向第三方开放的个人数据被滥用。在万物互联网中，应用平台服务商借助开放平台向第三方开放个人数据已经成为应用平台保持发展优势和盈利的重要模式。应用平台服务商能为第三方提供丰富的接口，任何注册、申请并通过审核的第三方开发者都能通过开放平台实现自身产品或服务的相关功能，而在此过程中，第三方也能在用户授权基础上获得用户的部分个人数据，比如获得公开信息（昵称、性别、头像、国家、省份、城市等）、地理位置、寻找共同使用该应用的好友等，而这些个人数据将如何被第三方使用甚至继续流动，除了明示的规范要求，平台服务商并没有实施有力的监管措施。一方面，开放平台将许多应用连接在了一起，任何一级的传播都可能导致用户个人数据泄露;另一方面，开放平台为平台服务商聚合了更多的用户个人数据，从而形成几大平台寡头数据垄断、割据的格局，任何一个平台寡头的个人数据被窃取或泄露，都将带来巨大的灾难。目前，大型平台如脸书、微信等聚集了大量用户数据，而用户根本不知道他们的数据被平台开放给了谁、被用来做什么，这种极其不平等的数据权力地位造成了结构性风险。如剑桥大学的一位讲师创造了一个名为“这就是你的数字生活”的应用，该应用表面上能为用户提供个性预测，也能为心理学家提供研究工具：该应用要求用户使用其脸书帐户登录;作为登录过程的一部分，它要求访问用户的脸书个人资料、位置，他们在该服务上喜欢的东西，尤其是他们朋友的数据;这款应用未经用户许可，将用户数据发送给了剑桥分析公司，该公司利用这些资料构建了一个强大的软件程序，来预测和影响选民的投票。[46]

三是个人数据流向非法的“黑色”交易市場。无论从何种途径泄露的个人数据，最终都会汇集到非法的“黑色”交易市场，可能会对个人的隐私安全形成极大的威胁。目前，非法的“黑色”交易市场主要包括“暗网”平台和“社工库”平台。当前，致力于保护身份信息使其免遭破坏的人员和组织的“4iQ”平台，在2018年发现了12499条真实的违规行为，在地下社区平台上散布了149亿条原始身份记录;平台团队在对数据进行标准化和清理之后，发现其中36亿条身份记录是新的和真实的。[47]

万物互联时代个人数据的隐私保护机制

在万物互联网时代，个人数据被各类设备提供商、平台提供商和应用服务商大规模地进行存储、共享、开放和使用，存在较大的泄露隐患和滥用隐患。但用户自身却失去了对其个人数据的控制权，难以自主控制其传播过程：哪些个人数据可以被收集，谁可以共享和开放其个人数据，谁可以使用其个人数据。在一定程度上，这将严重威胁个人的隐私安全。

另外，已经拥有部分个人数据的主体可能将这些数据再次共享或开放给第三方，第三方将如何利用这些个人数据，个人数据的拥有者更加难以知晓。因此，我们认为在万物互联网时代，个人数据的隐私保护机制需要两方面着手。一方面，要尽可能地让个人数据的控制权由个人掌控，需要建立基于边缘计算的个人数据控制机制;另一方面，要尽可能地让个人自身管理其数据的流向，建立云端个人数据开放和使用的监管机制。

基于边缘计算的个人数据的所有者控制机制。基于云计算的万物互联架构，将万事万物生成的海量数据上传到云端，形成了若干超级的数据平台。云计算中心一般都具有强大的安全基础设施和可靠的安全防护机制。但这种模式能让各类数字平台完全掌握个人数据，使得用户失去了其个人数据的控制权。因此，如何将控制权还给用户是建立隐私保护机制的关键。边缘计算是建立隐私保护机制的重要方法之一。边缘计算是指在网络边缘执行计算的一种新型计算模型：边缘计算中边缘的下行数据表示云服务，上行数据表示万物互联服务;边缘计算的边缘是指从数据源到云计算中心路径之间的任意计算和网络资源。[48]这种情况下，终端数字设备不仅负责与云端的双向数据传输，还可以完成部分紧急的计算任务。

未来，“数字个人”的边缘计算或雾计算架构是万物互联时代个人数据保护的有效机制。“数字个人”的雾计算主要包括设备层、雾层和云层：设备层是由包括传感器和智能设备在内的多种设备组成，负责感知物理对象并将个人数据发送到上层进行处理和存储;雾层位于网络边缘，包含路由器、网关、接入点和基站等雾节点，负责执行诸如调度，存储和管理分布式计算之类的任务;云层负责数据的永久存储和广泛的计算分析。[49]在这种架构中，无须将全部个人数据实时上传至云端，这在一定程度上能让用户自主掌控自己的个人数据，在源头上减少个人数据泄露和滥用的风险。

建立云端个人数据开放和使用的监管机制。尽管我们倡导将个人数据尽可能地在本地或边缘端存储，但在实际中各类数字平台在经个人用户许可或未经个人用户许可的情况下，都会争相采集、存储和使用大规模的个人数据。若完全禁止数字平台将个人数据上传到云端，也会使得数字平台难以为用户提供更好的个性化、智能化的服务。因此，最关键的是建构云端个人数据开放和使用的监管机制。这个监管机制主要包括个人、第三方和政府三个层面。

首先，需要建立面向个人的数据开放和使用的授权和透明机制。在实际应用中，个人用户较难掌握其个人数据被采集、共享、开放和使用的真实情况。因此，我们必须建立面向个人的数据开放和使用的授权和透明机制，其具体内容包括两个方面。一方面，数字平台采集个人数据的授权机制：数字平台只能根据用户使用其服务的实际需求，逐项获得单一数据项的授权，不能强制用户一次性整体授权。另一方面，个人数据开放和使用的透明机制：数字平台在用户授权之前，清楚告知用户其数字平台内部如何使用个人数据，向外部开放了哪些数据，哪些第三方平台获得了这些数据;这些第三方平台使用这些数据干了什么。如我们可开发一个个人数据存储的框架，使用户能够完全透明地控制其数据的利用。[50]

其次，需要建立云端个人数据开放和使用的第三方监管机制。云端个人数据开放和使用过程最终会形成巨复杂的生态，专业的第三方机构能够跟踪和识别“个人数据开放给了谁，被用来做什么”，对各类数据平台存储、开放和使用个人数据的真实情况进行监督。根据《欧洲通用数据保护条例（GDPR）》等隐私保护法，第三方专业机构可以可验证数字平台的技术设计是否符合条例的具体规定。[51]

最后，需要建立云端个人数据开放和使用的政府监管机制。除了个人和第三方专业机构的监督，云端个人数据开放和使用还需要建立政府监管机制，确保各类数字平台提供商按照隐私保护法进行运营管理。政府公共部门可以采纳第三方专业机构的评估和检验结果，对违规开放和使用个人数据的行为依法进行惩治。

（本文系国家自然科学基金面上项目和华中科技大学学术前沿青年团队资助项目的研究成果，项目编号分别为：71974060，2018QYTD09）

注释

[1]Maras， M.-H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99-104.

[2]李卫东：《万物互联网的内涵、要素和构成》，《人民论坛·学术前沿》，2020年第6期，第40～45页。

[3]Martino， B. D. et al.， Internet of Everything： Algorithms， Methodologies， Technologies and Perspectives （Internet of Things）， 2017， pp. 1-3.

[4]程啸：《论大数据时代的个人数据权利》，《中国社会科学》，2018年第3期。

[5]《智能机器人三大关键技术详解》，搜狐网，2019年5月29日，http：//www.sohu.com/a/118294423_468626。

[6]Dhruva， S. et al.， "Aggregating Multiple Real-World Data Sources Using a Patient-Centered Health-Data-Sharing Platform"， NPJ Digital Medicine， 2020， 3， https：//doi.org/10.1038/s41746-020-0265-z.

[7]Sundar， S.， "Rise of Machine Agency： A Framework for Studying the Psychology of Human–AI Interaction （HAII）"， Journal of Computer-Mediated Communication， 2020， 25， pp. 74–88.

[8]Levine， D. M.， "Design and Testing of a Mobile Health Application Rating Tool"， NPJ Digital Medicine， 2020， 3， https：//doi.org/10.1038/s41746-020-0268-9.

[9]W. Nicholson Price II; I. Glenn Cohen， "Privacy in the Age of Medical Big Data"， Nature Medicine， 2019， 25， pp. 37–43.

[10]Bonomi， L.; Huang， Y. X.; Ohno-Machado， L.， "Privacy Challenges and Research Opportunities for Genomic Data Sharing"， Nature Genetics， 2020， 52， pp. 646–654.

[11]Elmaghraby， A. S.; Losavio， M.， "Cyber Security Challenges in Smart Cities： Safety， Security and Privacy"， Journal of Advanced Research， 2014， 5， 4， pp. 491–497.

[12]Habibzadeh， H. et al.， A Survey on Cybersecurity， Data Privacy， and Policy Issues in Cyber-Physical System Deployments in Smart Cities， Sustainable Cities and Society， 2019， p. 101660， https：//doi.org/10.1016/j.scs.

[13]Maras， M. -H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99–104.

[14][15][17]Li， Y. B.; Dai， W. Y.; Ming， Z. et al.， "Privacy Protection for Preventing Data Over-Collection in Smart City"， IEEE Transactions on Computers， 2016， 65（5）， pp. 1339–1350.

[16]Wiese， J.; Das， S.; Hong， J. I. et al.， "Evolving the Ecosystem of Personal Behavioral Data"， Human–Computer Interaction， 2017， 32（5–6）， pp. 447–510.

[18][19]NeuHub京東人工智能开放平台，https：//aidoc.jd.com。

[20]光電容积描记（PPG）技术是一种红外无损检测技术，它利用光电传感器，能检测经过人体血液和组织吸收后的反射光强度的不同，描记出血管容积在心动周期内的变化，从得到的脉搏波形中计算出心率。

[21]李卫东：《政府信息资源传播》，北京：科学出版社，2015年。

[22]海尔智慧家庭官网：《海尔U–home智慧家庭整体解决方案》，https：//www.haier.com/smarthome/。

[23][24]李卫东：《云传播时代：人类传播与治理的云端化、平台化、泛在化、社交化和智慧化变革》，北京：科学出版社，2018。

[25]李卫东：《云传播的发展趋势与时代机遇》，《新闻与写作》，2020年第6期，第5～13页。

[26]Aazam， M.; Huh， E.–N.， "Inter-Cloud Architecture and Media Cloud Storage Design Considerations"， 2014 IEEE International Conference on Cloud Computing， 2014， 6， pp. 982–985.

[27]《OPPO账户隐私申明》，https：//muc.oppomobile.com/document/privacyPolicy/privacy_policy_zh-CN.html。

[28]微信官网：《微信分享及收藏功能》，https：//developers.weixin.qq.com/doc/oplatform/Mobile_App/Access_Guide/Android.html。

[29]微信官网：《微信登录功能》，https：//developers.weixin.qq.com/doc/oplatform/Mobile_App/WeChat_Login/Development_Guide.html。

[30]维新派：《是谁，在“死磕”垃圾分类？》，2019年7月1日，https：//mp.weixin.qq.com/s？__biz=MjM5NjM4MDAxMg==&mid=2655082108&idx=1&sn=4d094bf6452ace26831709fd65e50dc2&scene=21#wechat_redirect。

[31][32]Facebook， "Data Usage Policy"， https：//www.facebook.com/policy.php.

[33]"Managing Risk for the Internet of Things： Executive Summary （A Report of the CSIS Strategic technologies Program）"， Feb.17， 2016， https：//www.csis.org/analysis/managing-risk-internet-things.

[34]Iqbal， M. A.; Olaleye， O. G. and Bayoumi， M. A.， "A Review on Internet of Things （IoT）： Security and Privacy Requirements and the Solution Approaches"， Global Journal of Computer Science and Technology： E Network， Web & Security， 2016， 16（7）.

[35]Mahmoud， R. et al.， "Internet of Things （IoT） Security： Current Status， Challenges and Prospective Measures"， The 10th International Conference for Internet Technology and Secured Transactions （ICITST–2015）， pp. 336–341.

[36]Kumar， J. S.; Patel， D. R.， "A Survey on Internet of Things： Security and Privacy Issues"， International Journal of Computer Applications （0975 –8887）， 2014， 90（11）， pp. 20–27.

[37]"Managing Risk for the Internet of Things： Executive Summary （A Report of the CSIS Strategic technologies Program）"， Feb.17， 2016， https：//www.csis.org/analysis/managing-risk-internet-things.

[38]Iqbal， M. A.; Olaleye， O. G. and Bayoumi， M. A.， "A Review on Internet of Things （IoT）： Security and Privacy Requirements and the Solution Approaches"， Global Journal of Computer Science and Technology： E Network， Web & Security， 2016， 16（7）.

[39]Maras， M.-H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99–104.

[40]Dang， L. M.， "A Survey on Internet of Things and Cloud Computing for Healthcare"， Electronics， 2019， 8， 768， pp. 1–49

[41]《全球200多处机密区域遭泄露，美英俄法荷被一款手表坑了》，观察网，2018年7月11日，https：//www.guancha.cn/internation/2018_07_11_463658_2.shtml。

[42]《高科技人贩子？智能玩具或有漏洞，当心儿童隐私泄露，甚至被拐卖》，网易，http：//dy.163.com/v2/article/detail/DOMM2SMS0526TKGE.html。

[43]Maras， M.-H.， "Internet of Things： Security and Privacy Implications"， International Data Privacy Law， 2015， 5（2）， pp. 99–104.

[44]Facefirst， https：//www.facefirst.com/solutions/surveillance-face-recognition/.

[45]Youn， S.， "Facebook Gave Netflix， Spotify， Amazon Access to User Messages， Friends' Data： Report"， https：//abcnews.go.com/Technology/facebook-gave-netflix-spotify-amazon-access-user-messages/story？id=59907238（2018）.

[46]Sherr， I.， "The World's Biggest Social Network Is at the Center of an International Scandal Involving Voter Data， the 2016 US Presidential Election and Brexit"，  Apr.18， 2018 https：//www.cnet.com/news/facebook-cambridge-analytica-data-mining-and-trump-what-you-need-to-know.

[47]4iQ， 4iQ Identity Breach Report 2019 "Identities in the Wild： The Long Tail of Small Breaches"， https：//4iq.com/2019-identity-breach-report/.

[48]施巍松等：《邊缘计算：万物互联时代新型计算模型》，《计算机研究与发展》，2017年第5期。

[49]Dang， L. M. et al.， "A Survey on Internet of Things and Cloud Computing for Healthcare"， Electronics， 2019， 8（7）， 768， https：//doi.org/10.3390/electronics8070768.

[50]Vescovi， M.; Perentis， C. et al.， My Data Store： Toward User Awareness and Control on Personal Data， Proceedings of the 2014 ACM International Joint Conference on Pervasive and Ubiquitous Computing： Adjunct Publication， pp. 179–182.

[51]Antignac， T.; Scandariato， R. and Schneider， G.， "A Privacy–Aware Conceptual Model for Handling Personal Data"， International Symposium on Leveraging Applications of Formal Methods， 2016， Vol.9952， pp. 942–957.

责 编/张 晓