物联网数据共享和控制的四个法律挑战

本文编译自What Is New with the Internet of Things in Privacy and Data Protection? Four Legal Challenges on Sharing and Control in IoT，作者Ugo Pagallo, Massimo Durante, Shara Monteleone。为保证阅读的流畅性，本文对脚注及正文内容有删减。

1.物联网与数据

物联网（IoT）涉及的设备数量和性能不断提高。物联网的应用也逐渐延伸到智能家居、智能城市等领域，并带动了智能汽车、工业机器人、可穿戴设备、电子医疗服务的发展。云计算所带来的数据存储和共享平台以及5G技术的进步都将更好地带动物联网的发展。

物联网的功能和成功都有赖于数据的收集、处理和共享。这些数据可能会被实时传送到中央服务器和其他设备，同时，大数据工具使对数据的分析和关联成为现实，并因此可以创造行为模式和趋势。欧盟数据保护委员会（“EDPB”）认为，物联网可以被理解为一种基础设施，其传感器嵌入在数十亿的普通设备中。每个设备都有唯一标识符，它使用网络功能与其他设备或系统进行互动。由于物联网通过传感器对数据进行广泛处理，而传感器能够悄无声息地通信并无缝交换数据，因此物联网与“普及”和“无处不在”的计算密切相关。

消费者、企业和公共机构都有望从物联网应用中获益，但部分专家认为目前对物联网的期望可能过高。物联网可能并没有实质上形成，这是因为，除了协议和标准等技术原因外，伦理、社会、文化和法律等问题仍然存在。为实现数字单一市场。欧盟采取了一系列举措，通过“为数字网络和服务的繁荣创造适当的条件”，实现“消费者和企业更好地获得整个欧洲的数字产品和服务”。欧盟的相关举措旨在增加公众对数字和在线服务的信任，这是促进数字单一市场的必要条件。

在任何情况下，隐私和数据保护都是物联网发展的重要问题。资料显示，用户对网络数据的去语境化感到担忧，大多数欧洲互联网用户对个人数据的使用表示担心。尽早在技术设备的设计中引入数据最小化、加密和匿名化，可以减少风险和担忧，同时帮助开发者和终端用户遵守相关规则。EDPB在2014年关于物联网的意见中指出了物联网可能引发的八个主要数据保护问题，包括透明度、不同行为者、用户同意等。

在此基础上，本文旨在阐明EDPB所强调问题的共同点，并确定和讨论物联网在该领域中鲜有人探讨的问题。这一系列问题不仅涉及当今的数据保护法律框架，还涉及到隐私的保护问题。这些问题涉及到：（i）结构性数据共享和新级别的互联互通所引发的法律部门传统规则的重新调整；（ii）集体的数据保护和隐私；（iii）技术融合可能会影响的该领域的一些法律概念；以及，（iv）技术标准和法律标准之间的关系。本文的四个部分将分别对这些问题进行仔细研究，并得出结论。

2.物联网和结构性数据共享

物联网创造了一个可以被感知、控制和编程的无形智能网络结构，能够让物品相互通信并接入互联网。因此，了解物联网如何连接和通信，以及这种无形的智能网络结构如何在不同级别和层面结构化变得非常重要。在此背景下，由于不同的隐私和数据保护问题可能取决于物联网连接和通信结构的不同级别和层次，物联网的技术设计变得尤为重要，其重点是在物联网中应该如何限制信息的流动。

物联网最终是什么？一些人称其是“全球网络基础设施”，还有人认为，物联网是机器对机器（“M2M”）的通信。M2M通信的基本目的是通过通信渠道连接设备，其概念已经从远程的机器网络发展到更广泛的网络网格（grid of networks）。该网络网格通过多重机制，将数据传输给个人应用。基于此，一些人提出M2M通信是物联网的一项基本技术。然而，物联网的目的是提供超越M2M网络的高级连接和通信手段。此外，“许多早期的M2M解决方案……都是基于封闭的专用网络和专有或行业特定标准，而不是基于互联网协议（IP）的网络和互联网标准”。有学者认为，物联网通过传感、网络网格和智能处理将物理世界和网络世界结合起来。

我们应该区分物联网的架构和模型，仔细研究构建物联网技术集的不同层级和层次，以及它们与物理和网络世界的集成。

2.1物联网的技术层级

从物联网连接和通信的网络拓扑结构和逻辑组织的角度来看，其架构的三个技术层级应受到关注：

（1）基本连通级别：这一级别旨在建立系统之间的物理和逻辑联系的机制（即代理、对象、设备、进程等）；

（2）网络互操作性级别：这一级别涉及在各种网络上使所有多个物理和逻辑上相连的系统进行通信和信息交换的机制；

（3）语法互操作性级别：这个级别涉及到对连接系统之间的所有消息中的数据结构的理解。

物联网不是一个孤立和静态的通信实体之间的互动系统。而是一个复杂和动态的环境，所有联网的实体都不能完全控制整个互动和通信系统。EDPB曾对物联网的架构带来的风险和数据的结构性共享及存储方式发出警告：用户可能并不知晓数据会被其他参与者共享，用户如果不关闭设备的大部分功能就无法阻止数据的进一步传输。但物联网可以通过这种方式使设备制造商和商业伙伴建立或获得非常详细的用户档案。这种情况引发了有关同意的新问题：“用于获得个人同意的传统机制可能难以在物联网中应用，导致基于信息匮乏或者事实上无法根据偏好提供微调同意的‘低质量’同意”。

物联网的结构性数据共享可能影响传统机制和传统的数据保护概念（如知情同意）的方式，可以通过物联网架构层面上的功能来进一步说明。我们将在下一节中分别探讨这些层次。

2.2物联网的三层架构

物联网层次描述了在架构层面上执行的功能。物联网的分层模型可以按照不同的功能方面来表示。在本文中，我们将只考虑三层模型，对上文的三个层面相对应。物联网三层架构如下：

（1）传感器-执行器层，由传感器和执行器组成，执行事物识别、资源/服务发现和执行控制；

（2）网络层，包括网络的接口、网关、通信通道和信息管理；

（3）应用层，支持嵌入式接口以提供不同的功能，并为用户提供某些服务。

物联网的三层及其连接性和互操作性的设计问题，即物联网架构，会引起价值和选择的问题。Ning将其称为“社会属性”或“社会影响因素”对物联网的层级和层次产生影响。他们对物联网的物理通信实体，或者环境和社会条件的影响特别相关。影响物联网环境和社会条件的集体因素包括国家或超国家的物联网管理层，并且会影响到物联网的所有层次。

影响物理通信实体的社会因素包括通信实体在其中交互的时空维度、影响实体本身的行为和趋势。任何单个实体的状态或属性都与一群互动方的运作相互交织在一起，信息通信技术的日益普及与“实体至上”向“互动至上”的转变相辅相成。关键是要牢记这些代理、对象或设备之间的基本的连接性，以及网络和语法互操作性的水平。在物联网的逻辑连接和互操作性级别的基础上，一个复杂的、动态的物理通信实体环境随之而来。它们必须（能够）相互连接、沟通和理解。

结构性数据共享将是对《一般数据保护条例》（“GDPR”）的考验。数据越来越多地在物理通信实体之间进行结构性共享，因此隐私和数据保护问题可能出现在物联网的所有级别和层次。法律的基本概念也随之受到了压力。必须创建新的机制应对物联网的第一个法律挑战，因为该领域传统上采用的经典机制不足以应对新环境中可能出现的缺少数据控制的问题。而智能事物、计算或脑电图过滤器的使用按照目前的方法可能会受到限制。

3.物联网和群体

物联网的第二个法律挑战与大数据以及它们可能如何影响当前的隐私和数据保护框架有关。数据可能并不是共享的，而是“属于”一个群体。大数据的风险和挑战也会影响物联网。这意味着数据的收集和处理可能越来越多地处理群体的数据。考虑到数据挖掘或特征分析等技术和群体的分类模式，作为群体成员的个人更容易成为攻击的目标。在数据保护领域，针对个人伤害的传统类型的保护，应该辅之以对处理和使用群体数据的风险和威胁的分析，这些风险和威胁可能会给我们大多数人带来新型伤害。本节的分析分为三个部分：群体的概念，群体隐私和群体数据保护之间的区别，以及欧盟新法规的进展。

3.1群体的概念

按照当前的定义，数据保护仅涉及个人数据。1995年《数据保护指令》（“《95指令》”）和GDPR都对个人数据进行了规定。此外，法律已经保护了个人与其他数据主体共同拥有的某些类型的数据。如《95指令》对揭示种族或民族血统的个人数据的处理。同样地，GDPR第9（1）条在关于“有关健康或性生活的数据”之外，增加对遗传数据的处理。

虽然GDPR的重点仍然是如何保护个人数据，但这种数据是与其他数据主体共享的，个人可以作为该特定群体的成员而被锁定。EPDB第29条工作组强调改变数据保护的区别：“在这种情况下，识别或验证个人并不重要，重要的是将他/她自动分配到某一类别。”但是，如果侵犯隐私的目标是群体或类别本身该怎么办？我们应该如何把握住群体的概念？

法律应该赋予群体保留和培养其身份的权利，但是，我们要避免对合法保护共享数据群体的想法产生双重误解。首先，“身份”与保护自然群体无关。其次，对这种群体身份的保护需要两种不同的方式，通过这两种方式，我们可假设作为社团或群体的权利。在第一种情况下，群体权利附属于一个实体，例组织、公司或国家，作为一个拥有自己权利的个人和自治实体。在集体权利的情况下，个人分享一些利益或信仰，形成一个权利持有团体。

3.2群体隐私和群体数据保护

我们可以根据隐私和数据保护之间的区别来构想隐私和数据保护之间的关系。虽然二者经常重叠，但有些隐私案例并不涉及数据处理，而是考虑对个人数据本身的保护。 

隐私和数据保护的某些要素在不同国家存在着区别。例如，在美国，大型公民会员组织可以合法地要求享有结社隐私权。在“美国童子军诉戴尔案”（Boy Scouts of America v. Dale）中，美国最高法院承认，作为一个单一的、统一的所有人，团体的隐私可以与个人的隐私相提并论。

这一立场与欧洲的观点并不一致。欧洲人权法院的判例迄今尚未承认团体和其他“法人”根据《欧洲人权公约》第8条提出诉讼的权利，第8条规定的隐私权更多的是个人性质而不是团体性质。《欧洲人权公约》规定，为了合法地诉称其权利受到侵犯，包括协会在内的申请人必须证明案件涉及某种损害，且这种损害是保护团体不受国家的伤害。这里指的并不是对大型公民会员协会的社团权利的保护，而是在私人生活领域对政府和国家进行司法救济的程序性权利。

在2014年一份的裁决中，欧盟法院接受了某些奥地利和爱尔兰组织的诉讼请求，认为它们是权利被侵犯的受害者。必须将这项权利设想为个人行使自己权利的形式的理由，即作为一种集体权利，而不是群体本身的权利，似乎是合理的。反思一下无论个人同意与否，对个人数据的处理都是合法的，例如现行《95指令》第7(d)条，“为保护数据主体的重要利益而必须进行的处理”。集团权利作为社团（而不是群体）数据权利，在结构上由社团成员共享，将在没有合理理由的情况下大量增加，使个人的同意成为不必要或多余的。因此，我们应该如何构思物联网中新的群体（而非社团）数据保护权？

3.3展望未来

当前的物联网和大数据趋势将越来越多地引发影响群体案件，因此，个人数据保护框架的现有权利应该得到群体权利的适当补充。这种方法在很大程度上得到了GDPR的认可，但GDPR并没有用类似美国的隐私集团制度来取代个人数据保护，而是用新的集体投诉权进行补充。

欧盟监管新数据保护框架下的集体权利对于解决物联网和大数据趋势带来的挑战效果如何仍未知。困难主要在处理和使用集体数据所引起的伤害、威胁或风险的类型。欧盟规定了大量数据保护影响评估，以确定处理和使用某些类型数据的风险和威胁，其目的十分明确：一方面，为了应对技术革新的步伐，数据保护应该先发制人，以确保隐私保障在收集信息之前就已经开始发挥作用。另一方面，对传统的个人（即个体）数据保护应辅以新一代的集体权利和程序性权利，以便妥善应对物联网的第二个法律挑战。

4.人工智能代理控制

另一个法律挑战是对结构性数据共享的控制问题。这一挑战涉及每个法律框架的支柱，以及每个数据保护框架的基本概念。在本节中，我们旨在强调可能影响数据保护框架的技术融合问题，并增加“人工智能代理”的概念。

在Colin Allen等人研究的基础上，机器人行为的三个特点有助于定义代理的含义，并解释了为什么学者们更经常地将机器人比作动物：

第一，机器人是交互式的，能感知环境，并通过改变自己的属性或内在状态的值对刺激做出反应。

第二，机器人具有自主性，能够在没有外部刺激的情况下改变其内部状态或属性，从而在没有人类直接干预的情况下控制自己的行为。

第三，机器人具有适应性，可以改进自身属性或内在状态变化的规则。

我们将越来越多地与一个可以被感知、控制和编程的网络结构打交道，在这个新的环境中，人工智能代理将为物联网之前的法律挑战增加一层复杂性。为了理解为什么会出现这种情况，下文分析了消费机器人这种特殊的人工智能代理，以及它们如何影响当前数据控制者的职责。

4.1技术融合：物联网中的机器人和数据控制者

家用机器人对我们的私人生活十分了解。新一代机器人所收集和处理的个人信息的数量将取决于个人对待他们的人工代理的方式，在物体识别、导航和任务完成方面的要求。家用机器人将从自己与居住在周围环境的生物的互动中获得知识或技能，因此，在人工智能代理的状态转换系统中会出现更复杂的认知结构。由于物联网中人工智能（AI）和机器人的这种技术融合，应该对隐私和数据保护有新的期待。学者们越来越多地提请注意这种情况可能会影响法律的这些领域。

前文已经将机器人作为结构性数据共享和无处不在的计算的实例进行了研究。此外，我们提到了物理世界和网络世界的物联网集成如何与人工智能和机器人技术的融合相得益彰。这两种情况都是通过逻辑连接和语法上的互操作性对数据进行“智能处理”。因此，法律体系应该如何管理这种技术融合？它们应该如何控制它？

欧盟赞助项目“Robo Law”在2014年提出的指导方针认为，隐私设计原则可以在使该部门符合数据保护要求方面发挥关键作用。根据GDPR第35条，我们应该通过数据保护影响评估来检验该原则的执行情况：首先，应该检查物联网的传感器-执行器层。机器人应该以隐私友好的方式设计，以便将收集和处理的数据量降到最低，并符合最终原则。其次，对于网络层，应在机器人的软件和接口中嵌入一些法律保障措施。这个原则可以扩展到相当多的数据借以在物联网流动的机制之中。第三，对于应用层，“知情同意等要求可以在系统设计中实施”。欧盟项目建议“采用最新的安全措施不应仅仅被视为用户的选择，也应被视为具体的法律责任。很明显，数据的非法处理应该是机器人用户的责任，因为用户是个人数据的‘持有人’”。

然而，家用机器人的最终用户或“人类主人”是否应被视为数据控制者，对非法处理个人数据的行为负责，是有争议的。一些案例表明，个人数据的非法处理可能取决于机器人的设计者和制造商、互联网供应商、应用开发商等。在“万物互联”中，定义谁控制什么，谁应该被视为数据控制者，十分困难。EDPB第29条工作组认为，“控制者是一个功能性的概念，旨在将责任分配给有实际影响的地方，因此是基于事实的而不是形式上的分析”，这“有时可能需要深入而漫长的调查”。在物联网领域，这种事实调查可能会变得更加深入和漫长。

对物联网中机器人、系统、服务、流程、智能物品和小工具的自主行为和决定的控制应区别于对物联网中人工智能体和智能事物行为管理标准的控制。如前所述，在第一种情况下，问题将围绕GDPR第35条，根据技术研究和发展的步伐进行新一代的数据保护影响评估。在第二种情况下，重点是如何在国家或超国家层面定义法律标准。例如，美国和欧盟监管框架之间持续存在的“重大差异……可能使迎合国际市场的制造商难以设计具体的数据保护规则”。

5.物联网的技术与法律标准

正如本文之前所强调的，现在仍然没有“物联网”或“万物网络”的存在。我们缺乏适当的技术标准。然而，这种缺乏标准和可能概述这种标准的协议的情况实际上是一个机会，因为我们有时间来讨论什么样的架构和法律保障应该主导我们未来的交互。除了目前关于协议和技术标准的讨论，我们还必须考虑法律标准的作用。

法律标准可以被认为是一种允许代理人沟通和互动的手段。因此，法律标准应区别于认识标准以及社会标准。物联网的发展并不只涉及技术标准，而是涉及前面提到的所有类型的标准。这些标准之间的相互作用可以被理解为：它们之间的相互竞争，以及它们与市场力量和法律规则等监管体系的相互冲突。

然而，无论我们考虑何种场景，这样的竞争并不是在规范的真空中发生的。考虑到标准是“与权力相关的：它们通常会赋予一些人权力而剥夺其他人的权力”，那么我们的立场应该是什么？我们应该如何控制物联网的标准？

从法律的角度来看，只有一个选择的余地，即要么共享法律标准，要么本地标准将重申竞争优势和国家或超国家的主权，如欧盟的最高地位。此外，法律制定者应该评估社会标准在这方面的作用，因为人们可以在不同的社会需求背景下——即“地理地形和文化”评估物联网服务。标准有时是而且应该是地方性的，以抵制同质化及丰富差异的减少。

除了市场的经济力量、社会规范的约束以及技术标准建立和共享的程度之外，物联网的发展还取决于所有其他标准是支持物联网的统一还是支持物联网的分裂。技术标准和相互竞争的监管体系之间的互动是否会最终导致支持物联网统一或分裂的法律标准是我们要考虑的另一个开放性问题。正如阿利法官强调的那样，“剧烈的技术变革可能会引来大众期望不断变化的时期，并可能最终导致大众态度的重大变化”。欧洲的情况也是如此。

6.结论

本文研究了物联网给隐私和数据保护领域带来的四个法律挑战。第一个挑战涉及在新环境中结构性共享的个人数据，并影响到用于获得同意的“经典机制”。第二个挑战与大数据有关，新一代的集体权利因此而产生。第三个挑战是围绕着人工智能代理日益增长的自主性。最后的挑战是技术的巨大变化。治理物联网的法律标准，以及这些标准如何与其他标准以及相互竞争的监管系统相互作用，都是悬而未决的问题，最终将导致物联网的统一或分裂。

目前关于隐私、数据保护的讨论是一个认真对待物联网的挑战并设想我们希望的新环境的机会。然而，考虑到GDPR等严格的国际标准，还有最后一点需要提示：管理技术革新进程的法律的目标不应妨碍技术革新进程，也不应为了处理这一进程而过分频繁地加以修订。

（完）