物联网时代，智能设备正在快速融入人们的生活，与此同时，这些设备也在默默收集个人信息。比如，智能音箱会收集用户的语音信息当作训练数据，智能穿戴如手环会收集用户运动数据并计算能量消耗值等。

《中华人民共和国网络安全法》规定，网络产品具有收集用户信息功能的，应向用户明示并取得同意。5月30日，金杜律师事务所高级合伙人宁宣凤在第二届世界物联网安全峰会上指出，物联网设备缺乏交互界面和交互方式，用户无法确切获知物联网设备的实际数据收集和使用方式，难以判断和感知自身个人信息的“来龙去脉”。

智能家居可能存在巨大的个人信息安全隐患

5月30日，由Taas Labs主办的第二届世界物联网安全峰会在北京举行。宁宣凤在题为《数据时代:物联网机遇下的合规风险与应对》分享中讲到，随着应用场景不断增加，物联网相关的风险和问题逐渐开始显现，与个人信息和隐私相关的应用场景中存在的风险隐患尤为引人关注。

比如，为了接入网络，联网模块被安装在各种物体上，如汽车、智能穿戴设备、家用电器等，而这些联网设备可能被不法之徒以非法手段控制，进而获得、滥用用户个人信息。

2013年，美国联邦贸易委员会曾针对TRENDnet公司向法院提起诉讼。TRENDnet是一家无线摄像头生产商，其摄像头可安装在任何地方，可捕捉视频并回传服务器。由于摄像头缺少适当的安全设置，近700个摄像头被黑客攻击，视频被盗用，摄像头的网络链接也被公开分享。

“这个案例反映出智能家居等物联网设备可能存在巨大的个人信息安全隐患。”宁宣凤强调说。

除了物联网设备自身安全漏洞导致的个人信息安全问题，宁宣凤表示，数据伴生风险也越发显著。

她解释说，用户对物联网设备的信息交互“无感知”，但背后处理的信息量大、种类多，处理机制还复杂，“这就可能对用户权益造成重大影响，比如丧失对自身数据的控制权等。”她还表示，在自动化处理技术的支撑下，数据融合分析趋势显著，而衍生数据的合规性难以保证。

缺乏交互界面，用户难以感知个人信息的“来龙去脉”

物联网产业在发展、生产出巨量物联网设备同时，法律法规对其提出了更高的数据安全和数据保护要求。

比如，《信息安全技术 网络安全等级保护基本要求》提出，应授权用户在使用物联网设备过程中对关键密钥和关键配置参数进行在线更新；《互联网个人信息安全保护指南》指出，物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性。

宁宣凤表示，物联网设备涉及的用户数据类型敏感。比如，在自动驾驶和车载交互的物联网应用场景下，为实现自动驾驶，企业需要车辆运行数据、精准定位数据、实时环境数据等。

但她强调，由于物联网设备的特性，比如缺乏充足的交互界面和交互方式，迫使用户在使用时集中授权。而用户在使用过程当中，无法确切获知物联网设备的实际数据收集和使用方式，难以在复杂的数据流中判断和感知自身个人信息的“来龙去脉”。

针对上述问题，宁宣凤建议，企业可从强化处理过程中的用户交互和补充完善用户权利的行使工具两方面入手。

具体来说，在交互界面层面，企业可构建物联网用户管理平台，用户通过该平台可随时查看隐私政策等告知文本。在此基础上，企业可建立更为便捷、直接和有效的数据权利行使工具，提供分层授权管理功能，使得用户可针对单项或特定处理行为进行授权；允许用户自主管理授权的开启、关闭和终止；还可提供申诉渠道。

不仅如此，宁宣凤还表示，企业在物联网后台管理中，也应充分考虑用户权利和数据保护，构建隐私保护和用户权利功能化，比如形成单个用户数据汇集，预设数据导出功能模块，预设数据全生命周期的去标识化状态、加密状态，预设数据使用范围调整功能等。