基于物联网的诚信体系建设与隐私保护制度研究

林美玉 ，韩海庭 ，吴 晖

(1.中国信息通信研究院，北京100191；2.哥本哈根大学，Copenhagen 1958 FC；3.北京大学，北京100871)

0 引言

十九大报告以来，加快推进社会诚信体系建设成为一项重要的国家战略，政务诚信、个人诚信和电子商务领域的诚信体系建设及融合步入快车道。社会诚信体系建设最早可以追溯到2001 年，中共中央印发《公民道德建设实施纲要》，将“明礼诚信”作为社会主义公民基础道德规范之一；2003 年十六届三中全会提出“建立健全社会信用体系，形成以道德为支撑、产权为基础、法律为保障的社会信用制度”[1]；2011 年十七届六中全会再次强调“把诚信建设摆在突出位置”。

社会诚信体系建设是全面深化信用服务、国家意志参与社会信用建设的重要手段和主要内容。长期以来我国构建了以人民银行个人征信中心、全国工商联基础信用信息数据库为主体的国有信用服务系统。 随着全国社会诚信体系建设的推进，各地政府和中央派出机构纷纷成立政府新征信系统，如交通、教育、通信、工商、税务、公安、海关、司法、水电、市政等纷纷做出信息整合和信用评估等工作，逐渐形成了专门化、区域化的信用平台。 以央行为核心的金融信用系统和以各级政府建立的政府信用系统成为社会诚信体系建设的主体和框架，吸引了更多市场化的服务机构开展征信相关服务。

1 大数据征信与物联网数据的契合性

在传统征信的基础上，大数据征信利用大数据技术与现代计算技术逐步发展起来。 传统征信受限于金融、政府机构提供的信用信息，而大数据征信利用丰富的互联网渠道，将数据收集扩展到多种非经济金融场景，如社交网络、消费平台等，这些传统征信所无法涉及的多域多维的海量数据能够丰富信用主体的信用画像，充分反映主体的消费习惯、履约能力，且较传统征信具有更好的动态实时性。

大数据征信的命脉是数据，保证广泛的数据来源是建立大数据征信体系的基础，而物联网的快速发展为大数据征信提供了崭新的可能。 据行业预测，到2020 年将有超过300 亿的传感器设备投入使用[2]，人在现实社会和网络空间的一切行为都会留下记录，如智能家居、智能汽车等环境留下了越来越多能够识别特定个人及其特征的关键数据。 可应用于大数据征信的物联网数据有如下四种。

1.1 设备属性信息

物联网设备一般具有某些规格属性信息，如设备型号、类别、等级等，或设备部署环境、技术参数等出厂或安装设置的固有信息。 这些数据可以直接表征持有人的购买偏好、消费特点等，可以利用到信贷中，为信用主体的偿贷能力或身份特质做相应的补充。 此外，这些固定的静态属性信息可以作为异常检测的基准数据，通过某些攻击者对数据的恶意更改与损坏可以识别潜在的伪造、欺诈风险。

1.2 设备身份信息

能够表征设备身份的信息对物联网设备的身份认证非常重要，如通信模组的IEMI 号码、安卓ID、SIM 卡、MAC 地址等，这些数据可以与持有人建立对应关系，常作为区分不同信用数据主体和对象的基础。 设备身份的认证可以为信用主体的数据收集起到保护作用，设备持有人对是否提供个人信息具有选择权，通过对数据收集设备的认证，后续可以进行数据收集限制，根据法律规范征信信息采集的范围，保护用户易被侵犯的敏感信息[3]。

1.3 设备状态信息

物联网设备状态信息反映了设备运行中的设备状态，多为动态信息，如位置信息、网络报文或流量特征等。 设备状态数据可以识别物联网设备的安全状态，确保设备的正常运转；也可以成为设备持有人的主观意愿的反映，如欺诈倾向。 与设备身份信息一致，状态信息也具有识别特定个人的作用，包含手机号、身份信息等敏感信息，设备状态信息的流动性易使设备持有人遭受信息泄露等风险，需要进行妥善保护。

1.4 设备采集信息

物联网设备的采集信息是物联网上层应用服务所需要的主要数据。 以传感器为代表的感知设备、以RFID 为代表的识别设备、以及GPS 等定位追踪设备，可以获取源源不断的动态数据，如持有人的生活环境、消费场景、行为习惯。与传统征信只能对具有信用记录的人群进行信用评估不同，利用物联网采集的信息与是否拥有信用记录无关，很大程度上避免了数据缺失，补全了无信用记录人群的信用信息。此外，这些物联网设备实时、动态地从信用主体的周围环境获取数据，持续的数据收集能力增强了数据间的时间关联，充分保持了数据时效性。

2 基于物联网数据的泛信用体系

通过对上述信息进行搜集，可以对物联网产品服务进行改进，也可对其他业务提供数据支持，在关键业务决策、服务认证、状态监测等场景中应用广泛，如反欺诈、人脸识别等。基于物联网数据驱动的业务决策和产品设计，在信用社会中同样发挥着不容小觑的作用，与大数据征信的结合使得其已经超越了商品或服务本身，俨然形成了四种新的基于物联网数据的泛信用体系。

2.1 设备身份信息-小额贷款反欺诈新手段

小额贷款的目标人群大多都不被传统金融机构覆盖，缺乏央行信用记录，容易出现多头借贷、共债等风险行为。 小额贷款借贷人往往具有很有限的还款能力，在多家平台产生的借款必然导致借款人违约的概率大幅上升[4]。 因此注重对借贷人的还款意愿、还款能力进行评估，判断伪造身份的第三方欺诈，减少多头借贷、共债是小额贷款的风控重点。

物联网设备的身份信息、状态信息为解决小额贷款欺诈识别，助力判别身份欺诈、伪造提供了新手段。 小额贷款可以通过识别单一基站来源数据，同一物联网设备IP 数据等身份数据判定是否存在欺诈行为，进而进行辅助信贷决策。 一种识别欺诈账户的方式[5]是通过接收多个新账户的身份相关字段，如设备IP 地址、MAC 地址、网络流量等，与多个历史账户应用相关联的身份相关字段相连接，从而形成图形模式，执行统计分析与已知的或正常的图形模式进行比较，检测新账户图形模式中出现的差异或异常，以确定新账户存在欺诈的可能性。

常用的异常检测算法也都可以结合物联网身份数据进行借贷人的身份审核，丰富、实时的物联网数据与算法相结合从而形成一种新体系，较传统方法可更快更准确地识别欺诈行为，为小额贷款提供更有效的风控手段。

2.2 穿戴式设备-个性化风险定价新方案

近年来我国保险行业逐步发展，保险业在提高资金风险保障，化解科技创新风险等方面具有重要作用。 在保险业激烈的市场大环境下，传统的风险识别方案逐渐无法满足需求，保险业对风险识别、精准定价提出了更高的要求。 保险需要注重个人、企业的差异化，针对不同个体所面临的不同风险进行研究和个性化定价，同时需要降低成本。 不同环境下的物联网设备为个性化风险定价提供了新的方案。

个人用户的健康险可以通过随身携带的传感器设备采集运动及健康信息(睡眠、血压、心跳等)，综合考虑被保险人健康状况、生活环境、运动习惯，对用户身体状况进行安全评估，进而推行个性化保险方案，激励用户适当的运动来降低投保费用。 车险也逐渐向个性化定价转型，目前车险产品更多地简单依赖驾驶时间或里程计费等指标，但通过手机车联网可以使用更贴合用户的实际数据来进行风险定价。 例如国内领先的互联网车险平台OK 车险，利用车联网中提取的三个维度的变量来进行个性化定价[6]：驾驶行为习惯的稳定程度、出行路径的过往事故发生情况、行驶路况的熟悉程度。此外，物联网数据还可以结合人工智能等技术搭建适合保险场景的风险模型， 帮助保险行业自动化定价、降低赔付成本，形成智能化的保险新体系。

2.3 行程(健康)卡-社会管理新工具

行程卡是将ID、标识、位置信息、接触信息和医疗数据等信息融合，判断流动人员传播流行病风险[7]，助力医学隔离人群的重要手段。 国家卫生健康委办公厅在 2018 年推行了《关于加快推进电子健康卡普及应用工作的意见》[8]， 但此时的电子健康卡仅限于不同部门之间的共享和查询。 随着COVID-19 的全球爆发以及各地区复工复产的需求，行程(健康)卡成为全球战疫的重要支撑工具。

目前行程(健康)卡的数据来源主要包含以下三种：(1)医学机构数据库中的健康信息；(2)基于通信大数据的流动人员位置信息；(3)基于蓝牙密接技术的流动人员接触信息。 其中医学数据库中的健康信息较为传统，更新时效慢，且主要关注已经发生的病例或疫情，并不适合突发性全球卫生事件的防控；而基于通信大数据的位置信息和基于蓝牙密接技术的接触信息就成为应对突发危机和精细化防控的关键，通过对流动人员出入的国家和地区、接触的人群或个人精准的识别来判断目标用户是否需要进行医学隔离等防控措施。

在海外疫情呈快速扩散态势之际，中国信息通信研究院联合中国电信、中国移动、中国联通推出基于基站连接的通信大数据行程卡[9]，只需要用户授权便可多途径(短信、微信、支付宝等)便捷查询过去14 天内在国内停留超过4 小时的城市或到访的海外国家。 行程卡2.0 版本还将增加蓝牙近距离接触提醒功能，可精准地识别每一次接触是否存在病毒携带者、是否需要医学隔离。

行程(健康)卡已经成为中国战疫的致胜法宝，对精准防控、节能增效、防范疫情输入、推动复工复产起到了重大作用。 行程(健康)卡不仅仅是一项物联网服务，更代表了一系列新型的社会治理手段，为人员流动、跨地区管理、医疗资源分配等多方面提供了有效的技术支持。

2.4 生物识别-认证服务新途径

认证技术是确认信用主体身份的技术手段。 认证技术需要对信用主体的两种身份进行确认：网络数字身份和物理身份。 网络数字身份利用计算机网络中与该用户相关的信息集合成特定的数据，同时需要与现实世界的物理身份进行对应，确保信用主体的数字身份和物理身份保持一致。 认证服务是征信技术中重要的基础技术。

传统认证通过身份证、电话号码等固定信息对用户身份进行区分，信息的简单性难免会导致层出不穷的身份伪造攻击。 物联网的发展为认证服务提供了崭新的方式，各种光学、声学、生物传感器分布广泛且使用方式日趋简化，可以布置在各种场景，如门禁、楼宇、乘车、购物支付，利用人体固有的生理特性(如指纹、面貌)和行为特征(如笔迹、声音、步态等)来进行生物认证。

3 应用物联网数据开展泛信用服务的风险

物联网数据的广泛性为信用服务提供了丰富的信息来源，让信用机构能够充分了解人们生活的各种方面，但与此同时也让生活中的个体“无所遁形”，信用主体的合法权益保护难度也随着信息收集的隐蔽化和全面化而不断提高。

3.1 身份泄露与伪造

物联网移动终端的个人信息保护是物联网征信首先要解决的问题。 2019 年“3·15”晚会曝光了一款黑科技产品——“探针盒子”，当个人的手机无线局域网处于打开状态时，会向周围发出寻找无线网络的信号，“探针盒子”发现这个信号后，就能迅速识别出用户设备的MAC 地址。 部分商家依靠该产品在附近居民毫不知情的情况下收集用户的设备信息，与其他渠道已关联手机号码、个人标签的设备信息进行关联，借此对附近居民进行精准营销。

设备自身状态与属性也可能会被攻击者恶意更改与损坏，如物联网设备的IMEI 码面临篡改、伪造风险，操作系统安全风险以及SIM 卡复制产生的盗号问题等也会危害信用主体的个人信息保护。 除此之外，郭陈阳[10]研究认为手机位置信息也是一种隐私信息，近年来移动手机的操作系统平台和软件开发公司对手机位置的收集获取也愈加肆无忌惮，需要对此进行妥善保护。 与手机位置信息类似的还有车联网中车辆轨迹数据，高泽民[11]研究了车联网中车辆轨迹数据，认为车辆轨迹是一种敏感信息，与驾驶员有强关联，一旦泄露会影响人的正常生活。

3.2 过度监控

音箱Alexa 是亚马逊的一款智能产品，它可以对其他设备发出命令，在收到“Alexa，打开灯”的命令后，软件会向灯泡制造商的服务器询问灯泡的当前状态，在确认开关为关闭状态后，Alexa 会开启开关来打开指示灯。 亚马逊在某些情况下要求灯泡制造商调整控制代码，让灯泡必须随时向智能音箱报告其状态。 但实际上亚马逊一旦获取到这些看似微不足道的设备状态信息，便可以利用此做很多事情，例如可以推论出用户一些隐私信息，比如用户什么时候回家，用户是否有熬夜习惯等。

诸如此类的以“必要信息收集”为借口的过度采集行为数见不鲜，如视频软件访问通讯录、移动播放器携带定位模块等。 智能音箱收集用户语音指令等信息这本无可厚非，但是强行与其他设备交互，并获取其信息，主动探测周边环境，这是一种偷盗行为，是过度监控的表现。

3.3 未尽充分告知义务

消费者享有知情权和选择权，这是法律规定由接受商品或服务一方享有并因提供商品或服务另一方的告知义务而产生的相对权[12]。 正常情况下，消费者有权要求经营者提供商品的产地、生产者、用途、使用方法等服务的有关情况。 但现在许多物联网终端都会将隐私侵害操作通过服务条款合法化，并将其设置为“默认操作”，造成用户在不知情的前提下盲目同意合作条款，并引发实质性侵害。

2019 年一则有关于APP 隐私偷窥且未尽告知义务的报道引起了大众的警惕与探讨[13]。 报道中的媒体人员对一些社交APP 进行测试，在移动终端关闭了访问联系人、定位、录音、照片等权限的情况下，社交APP 仍能对新注册用户进行符合其近期聊天记录内容的广告推荐，甚至在其他跨平台的电商软件上也可以看到相关广告推荐。 这些用户不易察觉的信息比如聊天记录、搜索记录等均可以在用户不知情的情况下被相关软件获取利用，软件内的关闭设置也被积极隐蔽，导致用户不知晓相关条款且无法关闭软件设置，知情权和选择权遭到严重损害。

3.4 缺乏数据传递规范

传统征信数据汇集于银行、政府机构，数据的来源与去向稳定可控，数据拥有方具有较强的掌控力。 物联网的数据流转具备特殊性，物联网终端分布广泛，来源领域不同，每个终端都具备信息采集能力；其次多数物联网所采集的信息并不是在终端进行计算和决策，需要传输到中心平台，甚至合作伙伴方进行处理。物联网数据的收集、流转、保存均存在一定程度的分散性，同时又数量巨大，在数据掌控方面无法做到面面俱到。

传统征信数据拥有方一般拥有较强的社会公信力，且具有数据使用权限，不需要将数据进行多方流转。 但物联网数据拥有方多为数据收集云平台，不具备征信业务能力，需要将数据传输给他方进行数据利用。 当征信需求方传递数据时，确定其是否拥有数据获取权限也是需要解决的问题。 例如在向保险公司索赔时或者雇主决定是否雇佣时，可否使用这些物联网收集到的信息？ 数据流动如何设置合理的规范使传递更安全？ 这些问题导致物联网数据应用于征信服务存在许多潜在的应用风险。

4 物联网数据信用隐私保护制度初探

上述几种物联网数据开展泛信用服务的风险在不同程度上都对用户的个人隐私进行了侵犯。 如何保护用户隐私，建立有效的信用数据隐私保护制度是当前需要迫切解决的问题。 本文尝试对此进行初步探讨，从两个角度对物联网数据信用隐私保护体系的建设提出建议。

4.1 区分不同主体

物联网数据在流动中会涉及多个不同的主体，各参与主体所扮演的角色有所不同，获取到的数据使用权限、面临的数据隐私侵犯风险、所需的数据保护手段均有所差距。 因此建设物联网数据信用隐私保护体系，第一步即需要理清数据流动和使用过程中的参与主体。

欧盟的《一般数据保护条例》[14]将数据流动的参与主体分为信息控制者和信息处理者。 信息控制者指能够决定个人数据处理目的和采用方式的单独个体或者群体，包括个人、公司、法律实体。 信息处理者是指代表数据控制者进行处理个人数据的个体或群体。 我国在2019 年1 月发布的《个人信息安全规范（修订草案）》中也有相应描述，但仅有“个人信息控制者”的概念，并未区分控制者和处理者。我国的《网络安全法》则明确了公民个人信息保护中的三个角色：作为个人信息使用方的网络运营者、作为个人信息被保护方的公民个人、监管机构。

物联网中，信息处理参与主体是多元化的，包括设备生产商、应用程序开发商、应用程序下载平台、第三方主体[15]。 设备的生产商不仅向用户直接销售产品，并且开发设备的运行系统或事先在物品上安装功能软件，以此收集与设备相关的信息。 设备生产商决定了收集信息的目的和工具，因而是“信息控制者”。应用程序开发商为用户开发应用程序，并在智能手机上运行程序，决定了在智能设备上处理个人信息的目的和方法，是“信息控制者”。每一款广泛适用的智能设备都有其各自的应用程序下载平台，付费下载软件时要求用户提供名称、住址和财务信息，这些具有可识别性的信息可能与设备唯一识别符相结合，使得应用程序下载平台成为“信息控制者”。其他参与处理的第三方包括广告商、通信服务供应商等，与其他主体相比，可能发挥两种作用：一是为应用程序的拥有方执行操作，并非为其自身的目的处理资料，只是作为“信息使用者”；另一作用就是在应用程序中收集信息，以提供额外的范围更广的分析服务。 如果第三方为其自身的目的而对个人资料进行处理，那么他们就是“信息控制者”。

4.2 区分不同数据类型与隐私场景

数据流转的参与主体需要进行区分，流动中的数据本身也扮演着不同的角色，并非所有的数据都是需要进行妥善保护的隐私数据，也并非所有被声称需要保护的“隐私”都是合理的隐私。

物联网信用数据可以分为几种不同的类型：身份、基础数据、增值数据、个人敏感信息、隐私数据。 身份是指由政府、平台、生产厂商等赋予个人、设备的统一身份信息，如身份证、平台账号、设备号等。 基础数据是指数据呈现的事实或观察的结果，用于表示客观数据的未经加工的原始素材，包括但不限于行为记录(交易、日志等)、服务传递数据、账号行为人相关数据等。 增值数据是指对原始素材进行归纳、总结、分析等得到的可用来辅助决策的特定数据，例如征信报告、用户画像等。个人敏感信息是指一旦被泄露、滥用时可能危害个人信息财产安全，使得个人利益受损的信息。 隐私数据是指数据主体不愿被他人知晓的数据，隐私的期待有两种：一是主观期望，某人认为某事是隐私的；二是客观的群体期望，被社会普遍认可。 只有当事人处于某一空间时主观上期望，同时这种期望又被大众普遍认为是合理的，这种隐私数据才可被称为合理隐私数据。

对于物联网数据信用隐私保护，应该在对数据进行分类分级的基础上，结合数据去标识化、数据脱敏技术对数据进行处理。 需要注意的是，在当下数据体量呈现爆发式增长的万物互联时代，这些技术手段的处理能力是有限的，从海量数据中找出真正面临隐私侵犯危险，确定数据的保护范围是数据保护技术的首要前提。 以数据去标识化技术为例，在第一个步骤确定去标识化对象与安全目标时[16]，便可将保护范围限定为上文所提到的三种关键数据：身份、个人敏感信息、隐私数据。 身份数据可能包含个人敏感信息，如身份证号码，这些数据的重标识风险和数据可用性通常较高，可采用屏蔽、随机等数据变换方法。 个人敏感信息的判别标准较为模糊，会根据实际情况改变，其数据价值也会伴随业务场景发生变化，具有很强的场景性，因此可根据场景需求随时变更安全策略。 而对于隐私数据而言，其需要保护的程度与被侵犯的风险都比其他数据类型高，需要辅以数据加密、访问控制等技术确保其安全。

4.3 小结

上述两种区分方式具有一致的目的，本质上都是对物联网信用数据的采集、存储、流动与使用过程进行更进一步的细化与规范，避免传统管理准则下模糊不清的隐私侵犯界定标准，从而确定数据权属，划定责任边界，建立起合理的顶层规划和数据应用安全框架。

但与此同时，上述两个角度也具备不同的特点与适用情况。“区分不同主体”从数据市场参与者的角度出发，可随时结合数据生产流通的实际场景进行改动与调整，例如根据数据作为生产资料或作为实体类产品两种交易形态对数据主体进行更为详细的划分。 同一主体的角色在不同场景下也会在生产市场、运营市场和交易市场包含的各种角色中进行转变，需要根据主体角色的变化选择合适的隐私保护策略，例如当作为信息收集者时须遵循“最小必要收集”原则，当作为信息控制者时需要对数据进行分区及生命周期管理等。 “区分不同数据类型与隐私场景”从数据本身出发，体现出数据随着加工、挖掘程度的加深造成的关于隐私的不同性质。与上述区分主体的角度类似，同一数据在不同场景下可能扮演不同的角色，例如电话号码在日常生活中只是个人的基本信息，需要进行通讯的人员均可以获取；但在特殊时期如疫情期间来自疫情风险地区的号码持有者可能会遭受歧视。

传统方法武断地以产权制度和信息保护来阻断数据流动和使用是不科学且不实际的，当从新角度来看待隐私保护时，同样也不能利用单一且固定的方法来划分主体与数据，在实际应用中要结合两者，根据情景对隐私侵犯界定标准进行妥善的调整，结合现实社会活动的实际数据应用需求和利益相关者的保护预期，来指导具体的业务实践，实现动态、持续、可迭代的数据安全管理。

5 结论

诚信体系建设和物联网作为重要国家战略逐步推进，泛信用体系的构建占有重要地位。 物联网数据与大数据征信技术的契合造就了物联网数据支撑社会治理现代化的广阔前景，不仅催生了小额贷款反欺诈、个性化风险定价、社会管理、认证服务等物联网泛信用体系，更为Society5.0 社会的管理架构和治理体系建设提供了思路。 但物联网信息收集的隐蔽化和全面化会对个体隐私保护和财产利益造成不同程度的影响，需要建立数据信用隐私保护制度，区分不同的数据流动参与主体、不同数据类型与应用场景，对合理的用户隐私加以妥善保护。