说起家电行业,海尔是大家耳熟能详的大企业,在智能家居行业,有着丰富的探索和实践,第三届SCA智能家居信息安全大会上,海尔标准与知识产权部总监王淼做了“做让用户安心,合规的智能加家居产品——智慧家庭用户个人信息保护方案”的主题演讲。演讲中王总分享了海尔在智慧家庭领域的探索和实践,并介绍了智慧行业遇到的信息安全问题以及在海尔智慧家庭里个人数据保护方案中的应用。小编有幸参加了6月13日第三届SCA大会,受益颇深,在此小编想跟大家分享以下几点内容。
智慧家庭经历了哪些发展历程?
智慧家庭1.0时代是单屏控制的时代;在2.0时代,包括智能家电、智能硬件,还有家居类的设备,能够互联互通起来。后来随着智能语音技术的成熟,智能语音成为用户和智慧家庭的入口。到了4.0时代,主动智能是智慧家庭的一个核心目标,家里的,传感器、智能设备、智能硬件等等,就是整个家庭数据感知的入口和用户交汇的入口。
海尔智慧家庭
智慧家庭是多行业融合的领域,本身是多样性的,不仅包括家庭居住,还包括衣食住行的各个方面。海尔智慧家庭场景的背后,是海尔U+智慧家庭的技术平台,有三个核心能力,无处不在的连接能力,和基于人工智能的多模态交互能力,以及以大数据驱动的为用户定制的主动服务的能力。首先把单品的智能化体验做到极致,其次智慧家庭的体验应该是整体的。例如空调,用户要的其实不是一台空调,要的是空间的空气解决方案。
首先连接能力,让家庭的智能设备能够简单便捷的连接到网络。其次是交互,智慧家庭的入口是什么?有人认为是电视,有人认为是手机,有人认为是音箱。其实应该让离用户最近的设备和用户进行交互。所以智慧家庭的入口一定是分布式的。例如,用户到客厅可以跟电视进行交互,到浴室可以跟洗衣机进行交互,我们的手机也可以成为场景管理的入口,这样才是最自然和便捷的。第三个是数据智能,通过万物互联,收集到用户的数据、设备的数据,可以转化成用户的画像、设备的画像和家庭的画像,以及对于智慧家庭生态服务的需求。有了这些之后,我们就知道如何更好的迭代服务能力,从而为用户提供更好的生态服务。
智慧家庭的安全风险
智慧家庭的过程中,我们遇到很多痛点和挑战——用户体验不好、价格很贵,无法实现跨品牌互通,存在安全风险等等的问题。现在可以从行业角度感受到,信息安全已经严重阻碍了整个智慧家庭的发展。因为无论对用户来说,还是第三方的厂商来说,都有信息安全的问题。
对比家电在没有联网之前,我们一般会考虑的是电器安全。比如说误操作导致家电起火漏电等等。在智慧家庭的时代,安全的防护范围不仅仅局限在家电上、终端上,而是会扩展到APP上、云平台上,还有通信链路上。智慧家庭的安全风险,是整体系统的风险。大数据的时代,出现了很多个人数据隐私泄露的问题,其中可能是黑客的攻击,也可能是内部人员管理不当,或者是数据共享的第三方泄露信息。所以对于数据安全风险,我们不仅要有对数据的保护,还要有对数据应用得法规保护。
智慧家庭防护的内容有哪些?
从整个智慧家庭防护的内容来看,主要分为五个内容:身份认证、通信加密、数据保护、控制授权,还有安全管理。从身份认证角度来看,要实现云端双向认证,APP客户端的身份认证,模块访问验证,实现端到端的认证。第二就是通信加密,APP到云,设备到云,设备到设备,APP到设备,所有的通信链路都必须进行加密防护。第三是控制授权,哪些家电可以被远程控制,家电的联动,哪些功能可以在场景中使用,都需要有一套完善的控制授权体系。第四是授权保护,不仅要做到云端的数据加密存储、模块、SDK(Software Development Kit 的缩写,中文意思是“软件开发工具包”)、安全组建、代码保护等等,还要建立一套跟个人数据相关的合规性流程,因为信息安全其实不仅仅是技术层面上的问题,也包括管理流程和管理策略的问题,所以要统一部署安全管理流程和安全策略。
智慧家庭信息安全保护法规有哪些?
全球市场对个人隐私数据违规使用的惩罚力度越来越大。如何实现智慧家庭信息安全保护的?目前在国内,更多的是参考35273个人信息安全规范,也借鉴了很多GDPR的思路,根据35273实施个人数据保护方案的时候,实际上也跟GDPR有一定程度的接轨。虽然GDPR和35273有一定的差异性,但是他们有着共同的保护原则和保护框架,他是基于用户同意和风险控制为中心的数据保护理念。GDPR和35273对于数据做了大量的限制,对基于数据开展服务的企业来说,像加了一道紧箍咒一样,对于用户来说,赋予了用户很多可以去自主控制自己数据的决策权。
互联网、物联网的个人数据的来源有哪些?
物联网解决的是人和物、物和物的互联互通,通过万物互联能够汇聚海量数据,基于这些数据,可以做自适应、自决策和自执行。所以,从数据的源头来分析,互联网、物联网中的个人数据主要来自于用户本身和用户的行为数据,例如:我们的姓名、身份证号、出生日期,我们的消费习惯、行踪轨迹等等。但是在智慧家庭里面多了一个非常重要的数据来源——设备,包括智能家电、智能硬件、传感器等等。这些数据可分为四种类型。第一是识别设备的数据。第二是设备能够感知到物理环境的数据。比如说家里的温度、湿度、空气质量,这是通过设备,然后感知外界的空间环境,获取到的数据。第三是设备本身的数据。比如说设备的报警,还有设备的用电量,这都属于设备本身自己的数据。第四类数据就是用户的使用行为,比如说视觉交互、语音交互等的使用记录。
如何做好智能家居信息安全保护?
相信大家听过这样的案例,通过家里的用电量,能判断家里是不是有人;通过空气净化器监测到家里的空气质量;数据送到电商那,电商给你推送很多关于净化器、去甲醛的各种各样的信息。智慧家庭里面的这些设备产生的数据是不是能够识别用户的身份、识别用户的行为,以及一旦泄露,会不会给用户带来各种各样的损害?这种数据的再次使用是不是会受到GDPR和其他法律法规的约束?我们在做智慧家庭个人隐私数据保护的过程中,如何评估设备数据对于我们合规性的影响?如何对于风险进行控制?这是一个比较困难的问题。因为我们想象不到我们的设备数据一旦泄露之后会产生什么样的影响。
所以我们在做整个智慧家庭的个人隐私数据保护的合规性和风险评估的时候,一定要把设备产生的数据纳入到个人数据保护中,目前采用的保护是通过这种分类的方式,因为有些数据的敏感性更高一点,有些可能会低一点。虽然行业上的很多专家对于GDPR,网安法35273都做了解读,但这里面大部分的解读都是从法律层面解读的。放到我们的研发人员面前,他并不全懂。所以如何把这些法律法规转化成能够指导我们研发,指导我们测试的规范,是非常重要的。
如果在数据的最小化要求下对一个人的位置信息进行采集,可以通过GPS,通过移动网络的信号,通过WIFI的信号、蓝牙的信号,等对用户的位置进行定位。但到底什么样的频率采集我的数据是合理的,这个没有人知道。如何能够把他转化成一套研发和测试的规范?对于我们个人数据隐私保护将是非常重要的。
目前,虽然有了各种GDPR、35273法律法规的解读,但是我们依然需要建立一个有效的合规制度。建立合规有效制度的流程,建立相应的组织结构。在公司层面上建立一个个人数据保护管理委员会。组建个人数据保护执行小组等等。海尔的团队里有IoT、AI、大数据方面的、还有内控内审、法务代表、信息技术代表,他们共同制定我们的个人数据隐私政策,盘点我们所有的个人数据,评估其风险。除了这个组织结构之外,还要建立一些相应的流程。比如说数据主体的权力保护流程,数据泄露之后的响应流程。因为无论GDPR,还是35273,都是基于数据风险管控的思路,他们都没有明确规定说哪些数据可以收集和处理,哪些数据不行。要明确我们处理这些数据的主要目的,他的必要性、适当性,以及对他可能会产生的风险做一个评估。业务流程包括识别性、个人数据的数量、个人敏感数据的种类、使用的场景、存放的位置、损害信誉的评判,还有个人隐私的影响。最终给出一个量化的指标,做好风险的应对措施。
海尔智能家庭信息安全保护都有哪些举措?
据了解,海尔在智慧家庭领域一直非常重视信息安全的工作,一直把信息安全作为海尔在智能化转型过程中的一个核心诉求,希望能够给用户提供一个安全的智慧生活体验。海尔U+作为海尔智慧家庭的技术平台,建立了一个端到端的安全体系,采用了业界最先进的安全协议,以及加解密的算法,保证用户和设备的安全,同时,也建立了整个信息安全中个人隐私数据保护的合规性流程认证体系。
2017年海尔通过了ISO27001信息安全管理体系的认证。2018年通过了国家信息安全测评中心EAL3+认证。同时,海尔还制定了用户个人信息保护实施指南的企标,把对于GDPR、对于35273的理解,转化成对于研发的指导规范,指导研发测试活动。另外,海尔也积极参与标准阻止和联盟,包括SCA联盟(SCA联盟牵头制定了全球首个物联网信息安全国际CC标准技术规范)、中国家电协会,全国家用电器标准化委员会等等。在此海尔希望能够通过合规的认证体系,积极参与国际国内的信息保护标准制定,能够为智慧家庭保驾护航。
最后,小编想说伴随着人工智能和大数据的浪潮,智能家居可谓是百花齐放百家争鸣,智慧生活已经随处可见,但随之而来的安全隐私问题也引起人们的关注, 在享受智能家居产品给我们带来的惊喜的同时,做好智能家居网络信息安全是非常重要的。同时物联网、大数据、人工智能、5G、区块链、云计算推动着我们的传统行业向物联网化、智能化转化,他们在智慧家庭里的应用,形成一种新的语音、视觉的交互方式和服务模式,让我们重新定位用户信息给这个行业、企业带来的价值;从物联网平台、互联网平台上获取到用户的数据、设备的数据,将会形成资源的闭环,为我们带来更多的商业机会。
更多资讯请关注“奥航智讯”官方微信