1、一、概述隨著物聯網技術不斷進步，世界的聯系從未像當今如此緊密，但同時在安全、隱私和利益等方面也帶來了風險與治理挑戰。世界經濟論壇和全球物聯網理事會發起，與普華永道合作完成了互聯世界狀況（2020 版）報告，根據該報告研究結果，世界經濟論壇與全球物聯網理事會合作制定了全球行動計劃（文末簡述了五項行動內容），希望互聯世界鼓勵采用網絡安全方法，在服務落后地區加快采用互聯系統，并加強整個物聯網生態體系的數據共享。（一）發揮優勢物聯網在抗擊新冠肺炎疫情應用方面，通過使用智能手機和物聯網傳感器提高了追蹤密切接觸者的效率；通過使用清潔和消毒機器人實現了對患者的遠程監控。物聯網還使供應鏈更具彈性以及加快了與通

2、信和運輸相關的各種公共部門項目建設。（二）新的機遇物聯網會產生深遠的經濟和社會效益。生產制造企業可以在工廠車間收集數據以提高效率和產能，也可以為他們制造的產品配備傳感器以進行預測性維護并提供一系列售后服務。（三）三大物聯網1、消費物聯網該領域涵蓋為消費者使用而設計的應用，例如智能家居設備、與互聯網連接的家電、可穿戴設備，以及互聯的健康監測設備等。2、企業物聯網該領域的應用包括智能工廠、互聯的供應鏈、支持連接互聯網的機械設備、智能建筑管理系統，以及精細農業等。3、公共空間物聯網此類別包括公共場所中的所有應用，例如用于交通和照明管理的智慧城市技術、公共安全解決方案以及車隊管理系統等。（四）新冠肺炎

3、疫情的影響新冠肺炎疫情使得許多企業和智慧城市項目已被擱置，不過，一旦全球進入新冠肺炎疫情過后，預計物聯網市場的增長速度將超過預期，這主要是因為潛在需求的釋放和加大了對技術的新投資，以及企業和政府都決心最大程度地降低疫情對未來的影響。圖 1：互聯物聯網的增長率（五）衡量影響以下為三個物聯網領域中有關感知風險級別和物聯網治理水平的五個風險方面：隱私與信任、安全與保障、互聯互通與系統架構、社會效益與公平、經濟可行性。三、重新審視與三大物聯網的關系（一）衡量風險調查結果表明，在消費者物聯網領域中，安全與保障和隱私與信任這兩方面可能構成最大程度的風險（參見圖 3）。安全與保障方面治理問題主要是立法缺乏系

4、統性以及許多數據安全法律并不適用于物聯網安全問題。此外，物聯網設備制造商和服務供應商在其物聯網產品和服務中設計了各種各樣的安全協議，而且內部關于這些要遵守的協議的選擇也可能不一致。同時，消費者普遍缺乏必要的意識、知識和經驗來正確處理自身面臨的物聯網安全風險。圖 3：調查結果概覽（二）治理狀況受訪者認為，行業和政府正在努力應對隱私和安全風險，并且治理措施日益受到關注。因此，受訪者認為這兩方面的治理水平要高于其他三方面（見圖 4）。同時，受訪者認為，當前社會效益與公平方面的治理差距最大（見圖 4）。圖 4：調查結果（三）治理存在的不足受訪者還提出了其他幾個更普遍的治理問題。比如，許多國家已經實施了

5、嚴格的法規以限制跨境數據交換，這使跨國公司難以整合從物聯網中獲取的數據；此外，智慧城市技術等用于公共空間領域的物聯網應用，往往在缺乏監管與民主參與的情況下就進行了評估與部署；物聯網硬件的環境影響以及由此產生的電子垃圾也未得到解決。五、隱私與信任（一）固有風險本報告將物聯網環境中的隱私與信任定義為：物聯網設備和系統保護其用戶的個人活動和數據免受監視、濫用和盜竊，目的是使用戶確信他們的個人活動不會被監控，且適當地收集、存儲和使用他們的個人信息。物聯網與其他數字系統之間的以下四個重要區別使這項任務變得十分困難：一是廣泛性，物聯網應用設備越來越普及。二是緊密性，物聯網設備越來越緊密地與人們的生活融為一

6、體。三是精細度，物聯網設備能夠以更高的精細度從現實世界收集信息。四是實時數據，物聯網設備捕獲的許多數據都是實時傳輸和分析的，這給隱私保護帶來了更大的挑戰。（二）數據需求大多數終端用戶許可協議（EULA）和服務條款（ToS）允許與第三方共享設備數據，以提高產品功能、安全性并改進服務。然而，在多數情況下，數據可能會用于其他商業目的，包括將個人數據出售給第三方。新冠肺炎疫情引發了另一個問題，即需要在個人隱私與有效追蹤和控制疫情之間取得平衡。世界衛生組織（WHO）發布了有關如何在道德規范內部署接觸者跟蹤技術，同時平衡隱私保護和其他權利的指導原則。（三）風險加劇隱私法規在很大程度上已成為全球性的問題，而

7、根本挑戰是全球對個人數據的定義尚未達成共識。全球各相關方正在不斷努力，以應對相關問題。網絡合同是一項使得網絡世界安全的全球行動計劃，由來自代表政府、公司和公民社會的 80 多個組織承諾指導數字政策議程。同時，行業標準和政府發布的建議逐漸成為重要的工具。此外，“從設計入手保護隱私”原則正逐漸成為一種更普遍的行業自我監管方法。（四）信任與透明度盡管尊重用戶隱私很重要，但只是建立信任的一個要素。在整個數據價值鏈中，提高透明度也至關重要。實際上，最終要靠企業在信譽方面進行競爭以贏得客戶，建立信任。（五）相關討論1、企業物聯網企業物聯網應用程序生成的數據隱私，以及確定數據的所有權，也已成為潛在的風險。與

8、消費者物聯網數據一樣，由于數據價值鏈缺乏透明度，可能難以確保企業數據隱私的保護。2、消費物聯網許多治理機構為消費者物聯網設備開發“信任標記”和隱私 “營養標簽”確保數據價值鏈的透明，與消費者物聯網應用的終端用戶建立信任。然而在物聯網開發企業的優先事項中，或者在政府對企業的監督中，隱私并不是一個十分受重視的優先事項。3、公共空間物聯網公共空間物聯網應用的主要治理挑戰在于，需要政府能夠證明這些系統使用、收益的合理性，并使人們同意接受監控。唯一的解決方案可能是提高透明度和問責制。四、安全與保障本報告定義的“安全與保障威脅”是對物聯網進行任何潛在或實際網絡攻擊，而攻擊可能會造成物理、心理、經濟損失或其

9、他負面后果。（一）物聯網商業化的風險互聯性會引起設備被入侵和反向控制的風險，從而可能導致重大的人身安全威脅，或損毀關鍵基礎設施。物聯網的技術漏洞并不是唯一要關注的問題，構成風險的一個重要因素是公眾缺乏風險意識以及未能遵守安全設計與流程。（二）物聯網與傳統網絡的區別首先，互聯物聯網設備、路由器等邊緣設備的數量龐大，為黑客提供了成千上萬個攻擊點，且大多設備具有不同的安全性能、功能和保護級別，因此幾乎不可能開發覆蓋全行業的安全協議。其次，物聯網系統捕獲和傳輸的個人或企業數據的數量大、價值高，在物聯網缺乏足夠保護的情況下，入侵一臺物聯網設備可以使黑客能夠利用該設備的網絡連接其他互聯設備。第三，物聯網的

10、復雜性，即物聯網由眾多復雜的軟件程序控制的數十億個網絡傳感器和執行器構成，使得保護物聯網和確定攻擊來源變得十分困難，多方之間存在一系列互相關聯的合同，因此很難弄清是哪方的過失。圖 5：物聯網與傳統數字系統在安全與保障上的主要區別（三）物聯網安全治理現狀當前隱私和數據安全方面的法律，以及要求對數據泄露進行通知的法規可能需要完善。此外，物聯網安全往往是在安全事件發生后才去解決而非主動應對。物聯網安全治理工作缺乏系統 性，還沒有全球公認的物聯網安全認證計劃。全球的治理差距仍然存在，無論是政府、行業、企業還是個人，都應共同努力，落實安全保障措施（見圖 6）。圖 6：物聯網安全與保障方面的協作（四）相關

11、討論1、企業物聯網2019 年，有四分之一的受調查機構由于使用了屬于第三方的不安全物聯網設備，有過數據泄露并受到網絡攻擊的情況，企業必須將安全性納入風險框架中，落實治理。2、消費物聯網許多消費者對于在購買物聯網設備時要尋找什么樣的安全功能，或者在購買后如何配置和維護其物聯網系統的安全性方面缺乏必要的知識和技能。更復雜的是，如果物聯網設備安全性受到損害，目前的責任標準并不明確，不清楚物聯網設備制造商是否應對安全功能的缺陷承擔責任。3、公共空間物聯網在整個公共領域，缺乏網絡安全意識、資源和培訓來適當地保護物聯網系統免受網絡攻擊。在物聯網項目的整個生命周期，無論是采購、部署，運營與維護，建立安全保障

12、措施至關重要。六、社會效益與公平本報告將社會效益和公平定義為：使物聯網設備和系統能夠平等地造福和保護所有相關方的能力，而不論其地理或社會經濟因素、連通性或其他方面如何。（一）經濟風險從國家與全球層面看，經濟發展、收入、互聯網使用等其他因素的差異，造成了“數字鴻溝”，使人們無法平等享受數字世界帶來的便利。物聯網的興起加劇了數字鴻溝并進一步拉開了經濟差距，例如遠程監控和控制灌溉、基于傳感器的施肥和撒藥等物聯網應用使農民能夠引入精準農業應用。（二）開展目標分析物聯網帶來的能力方面差異，造成了進一步的風險。但是，物聯網、人工智能和機器人技術等通過自動化導致工作被代替的威脅，可能會成為最嚴重的社會風險。

13、（三）彌合社會效益與公平的治理差距當前并沒有正式的全面治理機制，不過一些地方市政當局也已采取有效方法來嘗試應對，如洛杉磯市正在采取積極措施，確保新技術在全市而非僅在特定區域范圍內推廣，以防止出現數字鴻溝。（四）相關討論1、企業物聯網企業物聯網的部署通常是復雜且昂貴的。一般來說，大型企業具有引進先進物聯網的意愿、知識與資金。這可能會進一步擴大大型企業、小企業和當地少數民族擁有的企業之間的差距。2、消費物聯網盡管捕獲和分析追蹤數據的應用程序是免費的，但代價卻是，企業可以通過將數據出售給第三方來盈利。因此，在線服務如雨后春筍般涌現，如讓用戶支付額外費用以確認自己的數據未被收集并未被出售給第三方，那么

14、，不愿或無法支付額外費用的人可能會淪為隱私保護的二等公民。另一個風險是，在制定業務和策略決策時，可能會將那些未通過傳感器連接和監控的人排除在服務范圍之外，使這些原本就弱勢的群體進一步邊緣化。3、公共空間物聯網從公共空間中的物聯網應用程序收集數據有望產生可觀的社會效益。政府已經采取了許多舉措來收集和使用“智慧城市”數據，例如空氣質量和交通流量數據。同時，公眾必須參與將公共資金用于公共物聯網項目的相關決策，這一點至關重要。七、互聯互通與系統架構（一）各層級的復雜性目前，物聯網的每一層級都存在各種各樣的不兼容。1、數據層物聯網的許多組件、產品和系統使用不同的數據結構、數據接口標準和消息傳遞格式進行通

15、信，這可能導致在系統之間交換數據時出現兼容性問題。2、通信層有許多標準和專有技術可用于將物聯網設備連接到網絡，大多數物聯網設備通常只支持其中一種通信技術。3、平臺層物聯網平臺均依賴于互不兼容的操作系統、編程語言和數據結構。因此，即使存在許多可用的選項，卻使開發人員無法創建跨平臺和跨領域的物聯網應用程序。（二）互聯互通至關重要物聯網設備的平均壽命預計為 10 年，原有傳感器可能不會很快被淘汰。因此，如果從一開始就沒有實現并保持互聯互通，那么后期成本可能會很高。（三）支離破碎的治理目前，設計治理機制以促進物聯網互聯互通的工作是支離破碎的，而且大多都是區域性的。一些行業機構和地區政府提供了他們自己的

16、框架， 例如 OneM2M、Alljoyn、IoTivity 和 OMA LWM2M 以及中國電子技術標準化研究院發布了工業物聯網互聯互通白皮書。政府中的信息技術（IT）團隊通常規模很小，而小型項目沒有動力來確保實現互聯互通。（四）相關討論1、企業物聯網為企業設計的物聯網系統主要限于某些特定行業；有些行業有標準協議，而另一些則沒有。即使有可用的標準，仍然難以確保不同供應商的組件之間的兼容性，而且不同的企業可能對同一標準有不同的解釋。2、消費物聯網在消費物聯網參與者中，當前的趨勢是谷歌、蘋果和亞馬遜等大型科技企業在建立自己的物聯網生態體系，并防止或限制其物聯網設備的跨平臺功能。3、公共空間物聯網

17、政府實施物聯網智慧城市項目時面臨的重大風險之一就是數據互聯互通，由于數據格式的差異，不同城市中類似項目所產生的數據無法整合和交換。八、經濟可行性（一）風險評估大多數企業根據投資回報率（ROI）來計算新技術實施的價值，許多物聯網項目都會進行這種分析。然而，實現合理投資回報率存在潛在復雜性、過程漫長。除此之外，某些物聯網案例可能無法單獨充分體現物聯網的全部價值，但是如果將它們組合在一起創建一個數據生態體系，那么投資回報率也將變得更加可觀和直觀。最后，目前大多數物聯網解決方案不會共享或貨幣化，但將其與其他來源的數據合并或為其開發新用途，可產生可觀的收益，改善項目的長期財務可持續性。（二）投資回報率之

18、外許多基于投資回報率做出投資決策的企業都推遲了實施物聯網項目，可能是一個錯誤決定，理由如下：首先，物聯網的益處未必局限于標準的成本效益分析，必須從戰略層面加以考慮，例如，數字化工廠效率的提升是否足以幫助企業防止產能過剩。其次，企業還應考慮物聯網可以實現的新業務模型范圍。最后，企業需要考慮其競爭環境。如果企業處在能第一時間感受到物聯網戰術和戰略優勢的行業，那么最大的經濟風險也許是沒有及時引入物聯網。（三）經濟可行性的治理事實上，大多數旨在提高物聯網項目經濟可行性的工作主要是區域性或本地化，除此之外，對公眾和行業各相關方缺乏對物聯網價值的宣傳，使人們無法看到應用程序能提供的投資回報。（四）相關討論

19、1、企業物聯網企業存在如下關鍵的經濟可行性風險與影響。首先，相對較快地實現足夠的投資回報率。其次，企業用戶對物聯網的期望與物聯網解決方案供應商能提供的服務之間仍然存在巨大的差距。最后，許多企業缺乏統一的物聯網戰略和路線圖，導致不同部門構建冗余且不兼容的物聯網系統，帶來互聯互通挑戰且增加成本。2、消費物聯網對于挖掘消費者物聯網作為經濟增長和創新來源，建立信任至關重要。從消費者的角度來看，提升消費者物聯網設備的互聯互通也可能會改善其經濟可持續性。3、公共空間物聯網在公共空間中實施物聯網面臨若干重大經濟風險。首先是供應商的財務穩定性。其次，在評估和選擇物聯網供應商時，信息之間可能會存在很大的不對稱性

20、，使得公共實體可能處于相當不利的地位。第三，管理和流程故障通常會阻礙物聯網數據的有效利用。最后，城市很難通過智慧城市應用獲利。受訪者一致認為，通過在項目的整個生命周期內制定可持續發展計劃（包括供應商管理、市場營銷、技術實施和維護），可以降低智慧城市項目的風險。九、復雜系統的治理（一）地域差異圖 7、圖 8 和圖 9 中的熱度圖說明了全球范圍內以及六個主要地區內企業、公共空間和消費者領域內的風險程度和治理差距的大小。圖 7：調查結果：按地區劃分的風險等級圖 8：調查結果：按地區劃分的治理情況圖 9：調查結果：按地區劃分的治理差距（二）相關方差異圖 10、圖 11 和圖 12 中的熱度圖說明了三個

21、不同部門的受訪者所認為的企業、公共空間和消費者領域的風險程度和差距大小。圖 10：調查結果：按部門劃分的風險等級圖 11：調查結果：按部門劃分的治理水平圖 12：調查結果：按部門劃分的治理差距企業參與者認為，在所有五個風險中，物聯網在消費者和公共空間領域的風險明顯較低，而由于政府和公共部門、民間團體負責監督和保護消費者和個人的利益，其受訪者卻認為物聯網存在較高的風險和較大的治理差距。這種差異反映了物聯網生態體系的不同部門存在不同觀點。（三）主要問題與主題本報告對調查結果進行分析，與各相關方進行訪談，確定了消費者、企業和公共空間三個物聯網領域中，各領域在隱私與信任、安全與保障、互聯互通與系統架構

22、、社會效益與公平、經濟可行性五個方面的風險程度以及治理水平和治理差距。（四）靈活的治理方式對物聯網風險的治理在全球范圍內達成完全一致可能極具挑戰性，但可以嘗試制定出更好的機制，以建設性的方式討論相關問題，如日本推出“大阪軌道”，促進建立“基于信任的數據自由流動”的總體框架。（五）隱私和安全法規支離破碎隱私保護和網絡安全相關的法規在全球范圍內支離破碎，除此之外，大多數現行法規都是通用的，并不針對物聯網風險。各國政府和行業領導者應為任何互聯的物聯網設備進行強制性最低安全要求法規規制。（六）商業模式缺乏透明度如果要大規模采用物聯網，對物聯網的信任則不可或缺，而收集的數據類型及其處理方式的完全公開透明，對于建立這種信任至關重要，如在其使用條款和條件中包含有關數據銷售和傳輸方面的規定。（七）人才短缺物聯