新媒网 · 跨境数据社区

英国，这个老牌的工业强国，如今在数字经济的浪潮中也展现出了前瞻性。最近，英国信息专员办公室（简称ICO）发布了一份《物联网产品和服务指南》（草案），这份文件可是数字时代的一件大事。它不仅仅是英国自己的规定，更像是一个风向标，预示着全球个人数据保护的新趋势。

新媒网跨境获悉， 这份指南的出台，目的非常明确，就是要给那些制造和开发消费级物联网产品的企业提供清晰的指引。毕竟，物联网产品已经深入到我们生活的方方面面，智能音箱、智能手表、联网家电……这些设备不仅带来了便利，也悄悄地成为了我们个人数据的重要载体。如何确保这些数据得到妥善处理和保护，是当前数字社会亟待解决的重要课题。英国ICO的这份草案，正是从物联网数据处理的角度，率先探索出一套个人数据保护的策略，无疑具有重要的参考价值。目前，这份草案还在向社会各界征求意见，我们这就来好好解读一下其中的关键信息。

一、以数据保护为导向，物联网指南应运而生

首先，我们得了解一下发布这份指南的机构——英国信息专员办公室（ICO）。这个机构可不是一般的部门，它是英国政府设立的一个独立的数据保护监管机构，肩负着执行英国数据保护法律的重任，其中就包括大家可能比较熟悉的《英国通用数据保护条例》（UK GDPR）和《2018年数据保护法案》（DPA）。ICO的核心职责非常广泛，它要监管个人数据的处理活动，保护数据主体的合法权利，还要处理各种数据安全事件，并确保相关法律法规的合规实施。更值得一提的是，在人工智能数据和数据跨境监管等新兴领域，ICO也拥有一定的管辖权。所以，这份草案绝非空穴来风，它是为了帮助相关企业和机构在开发和部署物联网产品时，能够更好地尊重用户隐私，确保责任清晰，并且严格遵守数据保护法律，特别是《英国通用数据保护条例》和《2018年数据保护法案》的各项规定。

1. 明确适用对象：那些与物联网产品中个人信息打交道的厂商们

这份草案开宗明义地指出了其适用对象：所有在物联网产品中处理个人信息的组织。这范围可就广了，不单单包括了物联网产品的制造商，还涵盖了操作系统开发商、移动应用程序开发商、网页应用程序开发商、软件开发商，甚至还有AI服务提供商、生物识别技术提供商、传感器和遥测产品技术提供商、云服务商以及网络安全服务提供商等等。判断标准也很直接，只要你的企业负责物联网产品的相关处理，负有数据保护责任，那么这份指南就与你息息相关。

那么，具体到物联网产品本身，这份草案建议主要适用于消费级的物联网产品，这包括：

• 家庭娱乐产品： 像我们家里常用的智能音箱、联网电视、那些能和孩子互动的联网玩具等。
• 家庭自动化产品： 比如智能灯泡、智能恒温器，以及现在很流行的智能家居中控系统。
• 家用电器： 家里那些越来越“聪明”的电器，比如智能冰箱、智能烤箱等。
• 健康产品： 健身追踪器、智能手表、智能体重秤，还有那些帮助我们监测睡眠的设备。
• 安防和安全产品： 智能安全摄像头、智能门铃，以及一些智能婴儿监视器，这些都是为了保障家庭安全。
• 非处方医疗设备： 像智能血压监测仪、智能脉搏血氧仪等，它们进入了家庭医疗领域。
• 周边产品： 智能键盘、智能鼠标、智能耳机等，这些是我们日常使用的智能外设。

当然，指南也不是“包罗万象”的，它明确指出了一些不适用的领域。比如，联网和自动驾驶汽车、智能电表、智慧城市相关的物联网产品，以及企业和工业环境中使用的物联网产品，都不在这份指南的适用范围内。同时，我们日常使用的手机、笔记本电脑等传统电子产品也不在本次指南的讨论之列。

值得注意的是，厂商处理的数据种类也相当广泛，包括从物联网产品直接或间接获取的各种个人数据。这其中不乏敏感信息，比如健康数据、生物识别数据、位置数据，甚至可能还涉及到政治观点、宗教信仰等特殊类别的数据。当然，这些数据的具体适用范围会根据使用者和使用场景的不同而有所区别。

指南中还举了一个很贴近生活的例子：你家里有一台带虚拟助手的智能音箱，你用它听音乐、查资料。你的家人甚至来访的朋友也可能会使用它。这种家庭内部的使用，属于智能音箱所有者的个人或家庭活动，纯粹的个人行为通常不在此条例的严格监管范畴。但是，如果智能音箱的制造商处理这些个人信息，那么根据《英国通用数据保护条例》的规定，这就属于法人实体出于自身目的进行的数据处理，是需要遵守相关规范的。这就明确了，监管的重点在于企业在收集和使用数据时的行为，而不是用户的个人使用习惯。

2. 问责制：物联网产品设计与生产的核心原则

在这份指南中，“问责制”被反复强调，它不仅仅是一个概念，更是物联网产品的一项关键原则。ICO的立场非常明确：相关的组织和企业，不仅要遵守数据保护相关的法律法规，更重要的是，他们必须能够证明自己确实做到了合规。这一点在消费类物联网设备的设计和生产环节尤为重要。为什么呢？因为这些设备往往会嵌入到我们的家中，它们能够收集和处理高度敏感的数据，比如我们的位置信息、健康状况、行为习惯，甚至是生物特征信息。试想一下，如果这些数据没有得到妥善保护，将会带来多大的风险？

为了落实问责制，指南概述了ICO对于数据最小化、合法依据、透明度等方面的期望，并且强调了明确用户控制权的需求。尤其是在涉及多个用户或未成年人使用设备的情况下，这一点显得尤为关键。指南要求厂商们，必须通过明确界定责任、将处理活动记录在案、进行风险评估等一系列措施，来确保问责制的有效实施。这意味着企业不能仅仅被动地遵守规定，而要主动地承担起保护用户数据的责任。

3. 强调数据保护影响评估（DPIA）的重要性

草案还提出了一个非常关键的要求：进行数据保护影响评估（Data Protection Impact Assessment，简称DPIA）。物联网产品，由于其特性，可能会引发许多高风险的数据处理活动。比如，在私人空间中对用户进行大范围的分析或监控，或者由于安全措施不足而导致用户面临欺诈甚至人身伤害的风险。鉴于这些潜在的高风险，英国ICO强烈建议，绝大多数与物联网相关的处理活动，在开始任何数据收集之前，都应该进行数据保护影响评估。

这份指南草案的一个核心特点就是，它将数据保护影响评估视为实现合规和风险管理的关键工具。根据《英国通用数据保护条例》的规定，当数据处理活动“可能导致高风险”时，就必须进行数据保护影响评估。在物联网环境中，这个高风险的阈值通常很容易达到。因为物联网处理常常会使用到特殊类别的数据，比如健康数据或生物识别数据；它会进行大规模或系统性的监测；它还会为有关个人的决策提供分析依据；而且在很多情况下，物联网产品或服务还会涉及儿童的使用。

草案明确指出，在大多数物联网案例中，都可能需要进行数据保护影响评估，尤其是在涉及儿童数据的情况下。它还向厂商推荐了一系列需要进行数据保护影响评估的处理清单，并且鼓励开发人员在相关情况下查阅相关的行为守则。这无疑给企业敲响了警钟，提前评估风险，是规避风险的第一步。

4. 默认设计：数据保护必须从源头嵌入

这份指南草案还规定了通过默认设计数据保护来确保合规性的实用步骤，这与《英国通用数据保护条例》的要求保持高度一致。这意味着，从产品设计的最初阶段开始，贯穿整个产品生命周期——从规划、发布，到后续的更新和产品终止——数据保护都必须被纳入考量。这是一个“从摇篮到坟墓”的全程管理理念。

草案中提出了具体的要求：首先要设计数据最小化和目的限制的原则，这意味着企业只能收集必要的数据，并且只能用于明确的目的。其次，要为所有用户（包括次要用户，比如家庭成员）构建清晰且可访问的隐私控制选项，让用户能够自主管理自己的数据。第三，要默认提供高隐私设置，尤其是在涉及儿童使用的情况下，更要将儿童的隐私保护放在首位。第四，要定期应用安全更新，并持续监控不断演变的网络威胁，确保产品安全。英国ICO还建议企业积极探索使用隐私增强技术，并且对物联网供应链中的合作伙伴进行尽职调查，确保产业链上的每一个环节都符合数据保护要求。同时，明确各类角色（数据控制者、数据处理者、联合控制者）的职责，并进行适当分配和记录，确保责任到人。

二、聚焦消费物联网：安全措施优先落地

新媒网跨境认为， 本次英国推出的《物联网产品和服务指南》（草案），从合规安全的角度重点规范了消费物联网的数据使用，这并非偶然。回顾近两年来欧美国家针对物联网安全和数据合规出台的主要政策，一个显著的趋势是：这些政策首先聚焦的都是消费物联网，而企业和工业领域采用的物联网产品，其优先级通常低于消费物联网。

以美国为例，其推行的物联网安全标签计划，就明确指出，该计划前期重点针对的是消费类物联网产品，包括智能冰箱、智能空调、智能电视、智能温控器、健身追踪器等家庭物联网设备。美国也已经着手定义消费级路由器的安全标准，未来也会将路由器纳入认证标签计划中。其他国家的物联网安全标签计划也大体相似，都将消费物联网作为优先事项。

为什么会是这样呢？我们来看一组数据。外媒统计显示，预计2023年全球物联网连接数已经超过160亿。而在如此庞大的物联网连接中，超过70%的设备是通过WiFi、蓝牙、Zigbee等短距离通信技术连接的，其产品形态主要以智能家居、穿戴设备等消费类物联网设备为主。这意味着，我们日常生活中接触到的物联网设备，绝大多数都是消费级的。

然而，伴随物联网设备的大规模普及，其安全隐患也日益突出。网络攻击、隐私泄露等问题层出不穷，这其中，消费类物联网设备的安全隐患更是显得尤为突出。想想看，家里用的智能门锁、智能摄像头，如果存在安全漏洞，那将直接威胁到我们的居家安全和个人隐私。由于消费类物联网设备的出货量远超产业物联网设备，对其进行安全认证和规范就显得非常有必要。毕竟，没有人希望自己的智能冰箱被远程操控，也不希望家里的智能设备变成一双长期盯着自己的“眼睛”。

相比之下，产业物联网面向的是各类企业客户。这些企业通常自身具备识别安全问题的技术能力，也建立了相对完善的企业网络安全标准。此外，企业与供应商之间签订的合同中，一般都会有非常严格的安全条款，这能在一定程度上保障自身的安全性。因此，产业物联网的安全隐患相对较小。

而个人消费者和家庭用户则不同。他们通常缺乏专业的网络安全知识，对于自身使用的产品可能存在的网络安全风险知之甚少。即使真的发生了安全事故，由于使用人群高度分散，个体维权也非常困难。这使得消费物联网领域很容易成为隐私泄露和信息安全的重灾区。因此，无论是各国推进物联网安全立法，还是推动物联网安全标签计划，其主要目标都首先指向了消费类物联网。

目前，消费物联网领域的安全问题正在不断累积，如果任其发展下去，可能会造成非常恶劣的影响。因此，针对消费物联网安全采取措施，无疑是当前物联网安全工作的当务之急。从本次英国发布的《物联网产品和服务指南》（草案）中，我们可以清晰地看出，物联网已经成为承载个人数据的重要载体。对物联网数据保护进行规范，正是对个人数据保护这一重点领域的强有力回应。

可以预见的是，未来全球各国将会相继出台类似政策法规。这些法规将通过规范物联网产品中个人数据的使用规则，从而达到保护个人数据的目的。对于我们国内的物联网企业来说，尤其是那些计划将产品出口到英国甚至更广阔国际市场的企业，更应该提前熟悉这份指南的要求。对物联网产品进行合规性设计，加强对数据收集和处理相关方面的工作，确保产品符合问责制、数据保护影响评估、隐私默认设置等各项规定，这将大大降低企业“出海”的风险，助力中国制造更好地走向世界。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/19004.html