物联网、区块链与隐私保护：挑战与机遇

### 物联网、区块链与隐私保护：挑战与机遇 #### 1. 物联网相关的责任与监管 在物联网（IoT）的大背景下，责任认定和监管是一个复杂且关键的问题。2020 年 10 月 20 日欧洲议会决议所附的关于人工智能责任制度的提案中，Directive 85/374/EEC 处于核心地位。从理论层面看，可区分不同类型的损害责任： - 受《通用数据保护条例》（GDPR）第 82 条规定责任约束的损害，如数据丢失、数据画像、恶意软件感染、未经授权访问个人数据、可穿戴设备的侵入性使用或非法监控等。 - 由产品或其组件缺陷造成的损害，这属于 Directive 85/374 的范畴。 在实际操作中，物联网技术环境所依赖的产品或服务与数据处理之间存在着紧密且难以分割的网络关系。例如，家庭自动化设备或可穿戴设备可能因连接激增导致的不良反应而出现故障，同时也会引发个人数据的非法处理，如向未经授权的第三方进行不当通信。目前，欧洲的监管举措正聚焦于技术依赖型责任问题以及建立明确的通用框架，但相关提案遗憾地忽略了上述两种责任之间的干扰问题。 #### 2. 物联网中的隐私设计与安全设计 尽管 GDPR 在经过漫长的起草过程诞生时，在应用于物联网和人工智能方面已显过时，但它仍是一部非常完善的立法，甚至被非欧洲国家用作相关领域立法的模板。GDPR 的一些规则可适用于物联网框架，特别是在进行一定灵活性解释的情况下，既能确保数据主体权利的有效性和可执行性，又能保障数字技术的发展。具体规则如下： |规则条款|具体内容| | ---- | ---- | |数据处理链相关|数据控制者在数据可移植性（第 20(2)条）、擦除（第 17(2)条）以及对更正、擦除、限制处理请求的通知（第 19 条）等方面，需对其他控制者履行一定义务，这体现了数据主体权利在数据处理链中的重要性。| |第 22 条规定|禁止仅基于自动化决策且具有决策效果的处理以及第 4(4)条所定义的画像活动。此规定可应用于物联网和人工智能的数据处理，但该权利的有效性仍受到数据主体低质量同意的影响。| |数据保护影响评估（DPIA）|当对自然人的权利和自由存在“高风险”时，GDPR 第 35 条规定必须进行 DPIA，且该规则与物联网系统高度相关，无需进行广泛解释。| 此外，GDPR 选择的隐私设计和默认隐私原则，为数据控制者提供了问责标准，国家和欧洲数据保护机构可将其作为微调个人数据保护与信息技术发展关系的合适工具。如果服务提供商和产品制造商从设计阶段就将尊重个人数据纳入业务战略，并强化数据处理最小化和匿名解构机制，那么就有可能开展对人工智能发展至关重要的后续活动和处理，而这些活动和处理可能超出了法规的范围。同时，虽然 GDPR 明确预见了认证的作用，但在成员国中尚未充分发展，不过它对于实施对用户风险较低的系统肯定具有重要意义。 物联网还显著引发了网络安全问题，这与责任问题不可避免地相互交织。智能物体在投放市场后的互操作性和进一步发展的灵活性，以及使用免费或开源软件进行数据处理，都可能为基于人工智能和物联网的产品的数据主体带来危险，如网络攻击或威胁可能危及同一基础设施的部分或系统。欧洲在这方面做出了诸多努力，从早期采用的产品安全指令（Directive 2001/95/EC）到遵循“新监管框架”水平标准的协调产品立法（Regulation (EC) No 765/2008 和 Decision 768/2008/EC）。其基本原则是设计安全，即制造商应根据产品使用情况提前验证数据的准确性及其与安全条件的相关性。此外，根据《人工智能、物联网和机器人的安全与责任影响报告》，由于产品的复杂性，制造商在风险评估阶段还应考虑用户合理可预见的不当使用情况，这一规则源自《机械指令》（Directive 2006/42/EC），并被认为适用于高科技环境。2020 年 11 月 9 日欧洲网络安全局（ENISA）发布的《物联网安全指南》强调了“设计安全”原则，该指南以供应链为物联网模型，提出了解决信息技术安全问题的良好实践，特别是针对信息流通和合同条款合规性方面已确定的一些问题。 #### 3. 物联网相关结论 面对物联网基础设施以及其他颠覆性技术，学术界对 GDPR 监管框架提供的保护水平以及“传统”个人数据概念提出了批评。特别是推断数据的所有权问题对传统个人数据概念构成了挑战，一方面有人主张采用专有范式以加强对数据主体的保护，另一方面则有人援引公共资源理论。 为了有效保护隐私，即保护公民的基本权利和自由，有必要审视个人和非个人数据处理在当前