小米实践之路：AIoT平台企业的安全隐私合规实践指南！｜iLaw

作者：宋文宽

小米信息安全与隐私委员会秘书长

编者按

“AIoT”即“AI+IoT”，指的是人工智能技术与物联网在实际应用中的落地融合。随着互联设备的增加，AIoT领域的安全和隐私风险也在不断扩大，其中安全事件（比如数据泄漏，服务不可用等）造成的影响也在逐年增长。快速扩大的安全风险，逐步提升的用户安全隐私意识，以及日趋严格的法律法规要求，使得信息安全与隐私保护成为了每个AIoT平台企业的生命线。

本文结合小米集团AIoT安全隐私保护实践，从全球立法、消费物联网安全风险、平台企业的合规路径三个方面展开分析，共同探讨安全隐私的合规路径，以期为AIoT平台企业提供相关的实务指引。

✨温馨提示：

文末附《小米安全隐私实践白皮书合集》（6份）以及“数据合规实务交流群”入群方式，如有需要，可自行获取！

一、全球物联网安全立法与合规启示

（一）什么是AIoT？

AIoT（人工智能物联网）=AI（人工智能）+IoT（物联网）。

AIoT融合AI技术和IoT技术，通过物联网产生、收集来自不同维度的、海量的数据存储于云端、边缘端，再通过大数据分析，以及更高形式的人工智能，实现万物数据化、万物智联化。（来源于：百度百科）

（二）当前全球物联网与安全立法相关的重要内容

基于在工业革命积累的优势，欧洲和美国的物联网发展较为迅速，配套的政策法规也较为完备，因此，欧洲和美国相关的隐私立法以及网络安全立法，对我们有重要的参考价值。

欧洲已经有Radio Equipment Directive还有Cyber Security Act以及最近一两周在欧洲非常火的Cyber Resilience Act，都在大量讨论物联网。

• 为适应欧盟新立法框架（New Legislative Framework，NLF），2014年5月22日，欧盟官方期刊(L 153/62)公布了新版本的无线电设备指令2014/53/EU，用以替换原有的无线电及电信终端设备指令1999/5/EC。2018年6月12日起，无线电设备投放市场前，制造商应针对低水平符合基本要求的无线电设备在中心系统进行设备类型注册登记。
• 2019年6月27日，欧盟2019年《网络安全法案》正式施行。这是欧盟继《一般数据保护条例》（GDPR）、《非个人数据自由流动条例》之后又一部重磅网络安全顶层设计法律。其规制内容主要为上述欧盟机构在处理个人用户、组织和企业网络安全问题的过程中加强网络安全结构、增强对数字技术的掌控、确保网络安全应当遵守的法律规制，旨在促进卫生、能源、金融和运输等关键部门的经济,特别是促进内部市场的运作。
• 欧盟的《网络弹性法案》（Cyber ResilienCE Act）提案，要求了所有连接设备的基线网络安全标准和更严格的关键产品符合性评估程序。企业将必须证明它们满足网络安全的基本要求，从而将攻击风险降至最低。不遵守规定的企业将被处以最高1500万欧元的罚款，或相当于上一年全球营业额的2.5%，以更高的金额为准。

美国其实已经有相关的法案，而且已经明确授权国家标准与技术研究院（National Institute of Standards and Technology，NIST）主导物联网的安全风险和隐私风险有关的研究活动。

在“消费者数据隐私”领域，欧洲有GDPR，而美国没有统一联邦法案，而是各州在医疗、金融领域制定了一些相关规范。

在“网络安全”领域，欧盟有“The EU Cybersecurity Act”（已经在欧盟和英国生效）以及“The NIS Directive”；美国有“The IoT Cybersecurity Improvement Act” （《物联网网络安全改进法案》，2020年12月法案通过），该法案要求美国国家标准与技术研究院 (NIST) 和管理和预算办公室 (OMB) 采取特定步骤来提高物联网 (IoT) 设备的网络安全。

二、物联网的网络安全与隐私保护场景

（一）IoT产品的安全风险建模

1. 传感器（Transducer Capabilities）

第一个关键词：Sensing

第二个关键词：Actuating，其实是把云端指令反向翻译成能够开关的动作。

2. 数据处理（Data Capabilities）

第一个关键词：Data Processing

第二个关键词：Data Storing

数据处理包括广义的数据处理与狭义的数据处理。通常理解的数据处理即为狭义的数据处理，只关注“处理”这一行为，并没有意识到“处理”前后的“数据存储（Data Storing）”也是数据处理的一部分。

3. 接口安全（Interface Capabilities）

接口包括三个层面：App、人机交互、网络。

几乎市面上所有产品都会有人机交互的界面，还有网络支撑云端的数据传输系统。

4. 支撑功能（Supporting Capabilities）

物联网最大的一个问题就是设备的管理，因为物联网中的设备往往没有统一的序列号。另外网络能力的问题、隐私保护能力的问题也非常棘手。所谓“千里之堤，溃于蚁穴”，这些都是IoT产品在进行安全风险建模时需要着重考虑的支撑功能问题。

（二）IoT产品的安全风险场景

1. 初始化/更新

如果设备的初始化过程没有设计好，就容易具有“侵入性”。初始化时会加载各种密钥与云端连接，很多实际的安全风险都在这个阶段发生，恶意App往往会在此时乘虚而入。如果没有做好初始化设计，也可能会遇到在启动时恶意加载的情况。

2. 互操作性

互操作性是指用户与云端签订协议，这种协议在增加便利性的同时也增加了风险产生的可能。

3. 标识和加密

物联网的每个芯片或者每一个物联网的场景并没有唯一的硬件序列号，也就是一个相对分散的领域，所以统一标识便非常困难，更不用说加密了。

4. 服务自发现和启动

为了让用户在使用上更加简便，很多 IoT 产品拥有一键联网和自动识别的功能，这些便利性的功能在降低使用难度的同时也带来了潜在的安全风险——如果这个功能过于简单，可能会导致产品连接到非预期用户的 App 上，造成巨大的隐私风险。

在 IoT 产品本身和使用过程中，会存在硬件和云接口的应用，所以除了上述四类场景外，IoT 产品的安全风险场景还包括硬件安全 TPM/TEE 及云接口安全等等。

（三）IoT产品安全方案的局限性

1. CPU限制

产品越高端、越智能，对CPU的要求就越高。而越好的CPU，采购价格也更高，因此生产研发的成本也随之提高，不可避免地对产品售价产生影响。超过消费者心理预期的高价格会使得产品相对过剩。因此，既要安全性能好，又要价位合适，是对开发者和商家提出的巨大考验。

2. 电池限制

智能产品与普通产品相比，同样的电量，智能产品需要进行更复杂的计算工作，耗电的速度也更快。电池效能与电池蓄电能力也是对开发者和商家的挑战之一。

3. 边界限制

产品的智能化带来的不仅是生活的便利，也带来了隐私泄露的风险。在酒店的家具中安装监控器就暴露了这一问题。因此产品防护设备的运用场景也逐渐的多元化。网络边界在物联网中的地位也越来越重要。

现阶段，所有设备端的数据处理（包括接口）都在远端用户手里，采取物理防护非常难且不易产生效果。

（四）IoT产品的隐私风险

1. IoT设备缺少交互界面，知情同意更加困难，用户透明原则难以实现。

2. 数据收集从线上延展到线下场景，模糊了公共和个人空间的界限，可能会侵犯个人身体和情感的隐私信息，公共对隐私的防护意识会提升。

3. IoT设备融入日常生活，数据会暴露我们意想不到的信息，甚至用户无法掌控，当设备逐渐被智能化，用户将不得不选择IoT产品。

4. IoT在儿童等群体的隐私保护上更加困难，父母作为监护人需要更多的知情权和控制权，IoT产品的智能特性和数据收集的隐蔽性导致用户拒绝的可能性和选择权降低。

三、物联网平台的安全隐私合规路径

（一）合规安全的利益相关方

1. 用户

用户对产品所要求的是“安全感”，且产品的安全特性在具体的行业领域是公开透明的、是被政府所监督规制的。用户也不希望在使用该产品的过程中自己的数据隐私会被侵犯，同样，对于企业来讲，一旦有侵犯数据的事件，前期积攒的声誉即刻崩塌。

考虑用户侧的需求，可以在产品的适用初期进行用户适用，并从用户的反馈中找到前期研发过程中可能被忽略、遗漏、不重视的合规点，这虽然耗费时间成本高，也可能使前期所付出的努力一场空，但所得到的投资回报是丰厚的。

2. 业务

业务方即开发者，或者是企业内部的业务团队，他们需要的安全要求是简单可执行的、成熟的合规方案，不是纸上谈兵，也不是专业法律术语，而是有参考的、可理解的，最好有开源的代码可供参考。在最后提交代码时建议一并提供加密的工具，保护知识产权，以免遭恶意网络攻击。

3. 监督

监督方所需要的安全要求是目前行业实践的公开标准或者共同认可的标准与规范。因为监管受到的挑战主要是来自用户，用户的痛点就是监管方所要监管制力的点。

监管不仅仅需要标准的规范，最好还需要有公开的商业机构能够进行第三方认证，为监管工作提供依据保障。

（二）降低攻击面，缩减攻击链

以小米的技术架构为例。

小米的底层架构以米家认证的安全芯片以及固件安全为基础，在这之上，就需要根据隐私风险、安全风险进行分类分级，签订“WIFI安全协议”、“BLE安全协议”、“Zigbee安全协议”、“NFC安全协议”等协议，而在第三层就是开发SDK，包括安全SDK（代码），如此，不管什么设备，底层架构是一样的，联网模块是一样的，代码也是一样的，虽然版本不一样，但只需要按照版本去缩减攻击面既可。

（三）安全引擎、软件模块与AIoT智能安全评估

如何保证过往发布的产品是安全的，这就需要有自动化的平台，这个平台有着各种自动化的能力，有App动态安全引擎、物联网安全引擎，以及网络安全引擎。网络安全引擎主要解决局域网中的自动探测，包括脚本执行功能。

App 的很多的风险其实在云端。首先要依靠上述三个硬件引擎的支撑，还需要有三个软件的不同功能模块——云端的调度、动态的跟踪和固件扫描。 最终，智能评估通过自动调度，通过调用不同的引擎，执行不同的安全评估剧本，产出预警筛查报告的输出。

（四）小米自动化隐私合规检测

1. 实验室评估报告

证据对于产品的上线至关重要。因为目前国内现有的监管合规体系不仅关注结果的合规性，还关注制度过程的合规性，这就需要在被检查时能够提供产品安全合规的评估报告以及产品的安全测试报告与隐私合规测试的辅助报告。如此，即使最终产品出现了风险，也能够去溯源监管或处罚的依据，举证内部企业无过错。

2. 物联网产品安全基线

物联网产品安全基线涵括了领域内需要考虑的风险场景，以及对应的指导案例，通过案例指导具体的合规实践活动。

3. IoT隐私白皮书

目前小米的隐私白皮已经写了六款产品的数据收集和使用报告。还在“隐私原则”、“用户请求和投诉”、“隐私设计”、“隐私治理”、“国际数据传输”、“隐私认证”这六方面进行了详细的解读。

4. 漏洞相应与披露流程

在 IoT 领域，国际标准里面最重要的一条就是有漏洞要及时地响应，要及时地打补丁，公布补丁推送。

目前FTC（美国联邦贸易委员会） 的处罚，很多中国厂商、台湾厂商都是因为打补丁不及时，或者没有强制推送补丁而被处罚。FTC 认为漏洞披露还需要进到安全防护提醒义务，要推送给用户补丁，甚至在危险场景要强制用户安装补丁。另外，遇到安全事件要及时披露。

目前小米的漏洞相应步骤与披露流程如下：

（1）漏洞接受。持续监控漏洞的接受渠道，及时查看和分配已接受的漏洞。

（2）漏洞验证。安全工程师将对漏洞的有效性进行技术验证，确认漏洞的可利用程度和潜在影响。

（3）确认漏洞修复方案。安全工程师将制定漏洞修复方案或风险缓解措施，并对其进行有效性验证。

（4）确认受影响范围。进一步排查所有可能受影响的产品，明确受漏洞影响的产品范围。

（5）披露漏洞。在确认完成所有漏洞相应流程后，审核并发布该漏洞的安全建议。

我国在 App 安全治理上已经有了一定的经验积累，我们不必过于仰慕西方在网络安全和隐私保护上的概念，而是更应着眼于理解我们自己企业的威胁根因，并进行对症下药。安全隐私保护绝不是一场“救火”式的游戏，而应该融入到AIoT平台生态建设的方方面面。从前瞻性视角出发完善安全隐私治理体系，对于AIoT平台破解隐私泄露等合规难题至关重要，同时在产品设计之初便融入安全理念，能够更加好地保护企业的网络安全和用户的隐私权益。

END

另外，本文配套资料

也已备好啰！

《小米安全隐私实践白皮书合集》6份

扫描上方入群二维码

联系小助理，即可免费领取

希望对你有帮助～

■

THE END.

Copyright©2022iLaw.All rights reserved.

本内容及配图设计为iLaw原创版权所有，任何个人或公司未经授权严禁转载使用。

如需转载请微信联络 @ilawhegui3