对经济影响的分析物联网行业GDPR之下

文摘

欧盟GDPR生效5月25日,2018年。根据本条例,加强立法比现有的指令可以执行。物联网产业,尤其是在各种行业中,预计将深受GDPR因为它使用多样化和大量的个人信息。本文首先分析物联网产业如何处理个人信息和总结为什么GDPR影响。然后纸使用的成本定义戈登和勒布模型来估计GDPR如何影响成本的物联网企业定性和定量地估计使用统计和法律基地。从定性的角度,GDPR影响戈登的预防成本和法律成本和勒布模型。量化的观点表明,物联网企业的成本后GDPR平均增加3到4倍,如果大多数由18倍。这项研究最终可用于态势感知的经济对某些行业的影响。

1。介绍

2016年4月14日,欧洲议会通过了通用数据保护监管(GDPR)。本条例加强隐私权的信息实体,确保个人信息是欧盟成员国中自由转移。预计欧洲公民来控制他们的个人信息并创建一个高水平的隐私保护在欧盟。与GDPR的引入,公司处理个人信息预计将严重影响。在各种各样的行业,本文关注的是物联网产业从用户收集并分析大量的信息。

物联网行业用于各种领域,例如汽车、安全监测、医疗、智能家居、T2T无线网络。据Gartner的数据,将会有112亿互联网的“东西”,2018 (1]。这意味着,每一个“东西”商店,再加工,销售超过500亿个人信息。然而,Statista发布的统计数据,39%的欧洲消费者完全否认他们有足够的信息收集的个人信息物联网制造商(2]。根据这一现状,物联网产业,大大转移控制个人信息的使用,将深受GDPR,重要的是要提高认识的情况对某些行业的经济影响。

本文的更新和修订版本之前的研究(3]。部分2本文的背景,介绍了GDPR特征和物联网的安全与隐私问题。部分3分析物联网如何处理个人信息,部分4检查为什么GDPR影响物联网产业。部分5分析公司成本下GDPR确定的经济影响物联网行业通过戈登和勒布模型。部分6介绍了相关研究的经济影响GDPR和比较它与纸。最后,部分中描述的结论7。

2。背景

本部分首先描述了GDPR不同于现有的指令。因此,一个人可以知道哪些行业违反规定。此外,它描述了物联网产业的安全问题是GDPR强烈相关。

2.1。一般数据保护规定

基本上,欧盟立法分为指令和法规。虽然指令提供了实现的具体成果,每个成员国都有决定权过渡到国家标准的指令。另一方面,规定所有成员国具有法律约束力和生效日期规定所有成员国(4]。由于GDPR, 1995年数据保护指令(95/46 / EC),于1995年保护个人信息,将被取代。以下是关键元素区分GDPR和指令。

首先,个人信息的定义进一步扩大(4]。根据GDPR第四条,个人信息确认或身份信息主题相关的所有信息。位置信息,在线标识符,以及遗传信息的定义,并不包括在数据保护指令包括1995人。

第二,将会有一个双重制裁制度在点球大战中(4]。违反GDPR,这被认为是一个小规模的情况下,可能导致罚款1000万或2%的公司的全球营业额(哪个更大)。最严重的违反可能导致罚款2000万或4%的公司的全球营业额(哪个更大)。这是可被判处的最高刑罚最严重的违反,如果客户的数据处理等不足或者同意公司的设计理念违反个人信息的核心。

第三,同意,要求GDPR,钢筋在指令(4]。如果需要同意,应提供明确、具体的信息,应该使用一个简单和容易的语言。这个话题也有权在任何时候撤回同意。

2.2。物联网安全问题

物联网已经成为一个越来越有吸引力的目标全球黑客。最近的研究分类和描述各种物联网环境中出现的安全问题具有异质性和大规模的对象。Zhi-Kai张等人分类这些问题识别、身份验证、轻量级密码系统和软件漏洞分析(5]。

这些技术安全问题威胁到物联网设备,包含私人信息。即使这些各种漏洞的发生,最重要的事情是安全更新问题。根据惠普的新闻,一个物联网设备(平均25漏洞6]。也有很多研究证实,物联网设备的漏洞暴露给攻击者(7- - - - - -9]。如前所述,物联网设备的数量将超过十亿,当然,漏洞的数量将是巨大得多。因为有各种设备安全更新,用户不可避免地不知所措与更新。这导致天漏洞不断生成,和各种黑客攻击事件可能会发生。即使公司提供了自动更新,他们经常停止当他们专注于构建下一个设备,让客户稍微过时的硬件,可以成为一个安全风险。

在这种情况下,不同的研究正在进行中,以解决物联网环境的安全问题。平张等人研究了移动互联网用户的潜在的隐私风险,并提出了一个可扩展的系统基于一个公共云服务隐藏移动用户的网络位置和交通的另一方10]。凌Bugra Gedik和刘认识到privacy-aware位置信息的管理是一项非常重要的任务在广泛应用的基于位置的服务(11]。他们使用一个灵活的个性化隐私框架支持位置匿名为范围广泛的移动客户提供上下文敏感的隐私需求。天一歌等人发现,智能家居不可避免地导致安全和隐私问题(12]。他们提出一种改进的稳定和隐私保护智能家居系统的通信协议。在该方案中,数据传输在智能家居系统保护的对称加密方案和密钥生成的混沌系统。

2.3。物联网隐私问题

本节描述在物联网隐私问题是什么。以下部分描述物联网如何处理个人信息,但这一章解释了粗糙的隐私问题发生在物联网环境。由于个人的身体特征和状态之间的密切相关性,采用cyber-physical-social系统(独立主办)不可避免地一直受到用户的隐私问题(13]。第一步是收集数据。在互联网上,信息用户行为收集同时上网。物联网将分析不仅搜索历史,而且个人用户的各种生活模式。因此,更加多样化和敏感信息可以收集。也有数据收集策略对于每一个物联网设备,包括每一个“东西”的访问控制策略和类型的数据。这可能冲突的文章GDPR建立控制策略。

此外,数字遗忘的过程,要求删除个人信息可能是困难的14]。处理个人信息的过程之一,是当前的趋势让人们忘记的权利。如果一个人请求删除信息,技术上很难完全删除它,因为它有很多不同和大量的个人信息在物联网的情况下,它是必要的修改信息持有的公司。

3所示。物联网如何处理个人信息吗

本节分析物联网产业如何处理个人信息,表明GDPR下的行业。下面小节所描述的个人信息的使用特性可能与GDPR冲突的物联网设备。

3.1。使用和物联网设备之间交换信息

每个端点在物联网环境中,“东西”,自动传输数据,与其他通信端点和一起工作。在物联网中,“东西”偶尔贸易和代表用户操作。例如,如果一个智能冰箱食物缺乏感知,它连接到互联网和为用户购买必需品。在这种情况下,信息利用率是自动化和用户信息交换各种科目。GDPR,管理个人信息的使用,可以把物联网的优势递减的结果。

3.2。分析物联网的信息聚合

目前,物联网制造商在物联网环境中收集大量的信息生成和研究方法来分析大量的数据,以便更好地理解系统和用户的行为。带来更多的价值和收益,物联网制造商似乎无关紧要的分析数据,确定消费者行为之间的关系和使用模式。换句话说,数据从一个端点不太可能导致隐私问题,但数据收集和汇总各端点可以触发隐私问题。因此,该聚合信息有可能被包括在个人信息的扩展定义的GDPR适用和对应于个人信息控制域。

例如,Vizio、电子产品开发公司,最近被罚款220万美元没有同意使用content-aware软件来追踪用户模式。公司出售1100万年物联网电视安装了一个软件程序故意跟踪客户的详细的观看习惯。他们有关特定家庭统计数据和信息卖给第三方营销人员。Vizio坚称,他们从不配对电视数据与个人身份的信息,比如姓名或联系信息。然而,数据收集分析个人电视习惯的信息,所以它被认为是敏感信息,被罚款。如果应用GDPR,罚款2.92亿美元,先前的判断(超过100倍3]。

4所示。为什么物联网产业受到GDPR

本节分析了物联网的特点以及GDPR规定外,前面介绍,并解释为什么物联网产业由GDPR强烈影响。

4.1。同意

所需的个人信息在物联网环境中不仅是敏感信息,但也有大量。虽然没有特定于物联网领域隐私保护法律,联邦贸易委员会(FTC)正在进行安全与隐私保护政策讨论物联网环境中(15]。联邦贸易委员会提供评论侵犯隐私的担忧的物联网设备和信息保护的方向与物联网有关的活动通过“好处,挑战,和潜在的角色为政府在培育物联网的优势16]。”

在这个声明中,美国联邦贸易委员会说,物联网设备能够收集、传输和共享敏感的消费者信息对他们的身体和生活习惯是危险的,当结合收集的信息从其他设备。由于物联网的个人信息的收集和共享特征,有可能同意更多的困难的过程。另外,当考虑T2T中分享个人信息和个人信息利用的公司,我们可以看到,同意困难得多。根据GDPR,有条件,有必要通知收集个人信息的目的简单易懂的同意条款和简化过程。通过干扰同意过程,消费者将更加羞于收集敏感和多样化的个人信息,而这些法规将产生重大的经济影响。

4.2。赔偿的权利

补偿是一篇文章,直接关系到所有公司以及物联网公司,但物联网产业的原因有很大的影响是一个攻击向量可以导致各种类型的个人信息泄漏。从业务的角度来看,如果公司符合GDPR的规定,公司可以获得权利,不补偿。然而,物联网公司很难获得这些权利。有一个高概率,它将无法跟上的安全更新大量的设备,和保护个人信息的条件,每个设备收集要比其他行业的公司。

5。态势感知测量GDPR下物联网行业的经济影响

本节分析了物联网产业的经济影响。本文使用的成本定义戈登和勒布模型来估计GDPR如何影响物联网企业的成本定性定量地估计,使用统计和法律基础。

根据戈登和勒布模型,可以计算出的损失如下:直接成本、间接成本,显性成本和隐性成本(17]。首先,直接成本是指直接损失成本由特定的侵权事件引起的。换句话说,它的硬件或软件失去是因为一个意外。另一方面,间接成本是指预防成本产生抑制信息安全漏洞。此外,显性成本明确可见的成本是由于特定的侵权侵犯。显性成本包括preinvestment成本避免损害和损失成本和成本恢复损害赔偿由侵权引起的。相反,隐性成本不包括损害成本造成的侵权,但损害成本之后可能出现的情况。这包括,例如,法律责任的侵权事件的成本,包括股价下跌或减少销售由于影响公司的声誉下降。使用戈登和勒布模型,分析和表示定义成本由于GDPR预计会改变。

根据第82条(权利补偿和责任),任何人遭受物质或非物质损害由于违反GDPR规则有权要求赔偿损害赔偿(4]。特别是,该指令只提到赔偿;然而,GDPR可以弥补金钱和nonpecuniary损失。

第83条解释的一般条件实施行政罚款,不自动应用并对每个案件。因此,它超出了准确的测量罚款的可能性,由于特征的实施和缺乏判断力。然而,利用戈登和勒布的定义模型,提出了某些成本的增加的元素。本文在这方面,82年和83年导致增加诉讼费戈登和勒布的模型。

此外,文章37、38和39描述名称,状态,和义务的数据保护官员(数,分别。控制器和处理器必须指定一个DPO在以下三种情况:(1)公共当局,(2)大规模监测规范的、系统的智能实体,和(3)大规模处理敏感信息或犯罪记录。此外,DPO也应该深入理解GDPR和个人信息处理任务和专业知识在国家隐私法。自指定DPOs是强制性的,必须证明他们的品质,文章37、38、39会影响预防成本。

总之,GDPR影响两个成本(戈登的法律成本和预防成本)和勒伯模型上面写的。为了分析GDPR的经济影响,损失的估计成本GDPR应该前后比较。波耐蒙研究所(Ponemon Institute)根据2016年,打破记录的平均数量达到24089人(18]。研究的基础上,本文选择四个平均违约情况下个人资料分析GDPR在物联网行业的经济影响。

表1提供多少信息数据发生了违约和年营业额多少公司已针对每种情况。本文首先估计多少4例,不管GDPR,导致公司的成本损失。波耐蒙研究所(Ponemon Institute)根据每个数据泄漏的平均成本(人均)的数据泄露在过去的四年是150美元(18]。数据泄露的人均成本包括直接和间接费用的突破口。基于这一研究结果,估计四个病例的成本可以通过违反个人数据的数量乘以人均平均数据违约成本。为了分析GDPR如何影响,然后分析成本假设GDPR应用例子。如图1,两个组件的成本戈登和勒布,导出了模型GDPR影响法律成本和预防成本。本文假定每个违反GDPR被认为是一个较小的侵权的情况下,由于一个平均水平的情况下,导致罚款1000万或2%的公司的全球营业额(哪个更大)。考虑到这些成本,图2显示了灾难性的一家公司的潜在成本。

不像其他的情况下,公司的成本增加3到4倍,B公司的成本预计将增加约18.6倍,因为GDPR的规定。GDPR决定好基于公司的年营业额,基于公司的总销售额,而不是单个部门或公司的销售,违反了规定。这是一个测量获得惩罚性处罚通过阻止虚假的公司或附属公司使用方法来规避监管。因此,大型的企业年营业额可能被罚款超过1000万。

数据泄露事件对经济的影响可以决策的一个重要指标。“态势感知(SA)”是一个重要的概念在这个决策过程。SA过程意味着承认事件发生的时间和环境因素和响应未来的威胁。这个过程是作为一个框架来应对威胁等灾难,金融,和网络安全。SA的代表框架是基于Endsley的模型。Endsley模型由识别的元素的环境在时间和空间的体积,对意义的理解和预测状态的过程在不久的将来条件(19]。GDPR的经济影响,这可以从数据泄露事件出现,可以从SA预计未来条件和用来预测损失。

6。相关的工作

有几个研究GDPR的经济影响。Hofheinz保罗和迈克尔·曼丁哥人认为GDPR是“监管墙”扩大隐私(20.]。他们说GDPR将产生重大影响的机会我们公司在欧盟提供数字服务。几项研究已经得出结论,GDPR将对经济有害不仅为外国公司也在欧洲。克里斯腾森Laurits等人认为GDPR欧盟将提高企业的生产成本20%。这可能导致就业率下降了0.3%,下降3%公司21]。Avi戈德法布和凯瑟琳·e·塔克表示,GDPR可能伤害数字广告的效率,阻碍其产生收入的能力通过数字内容(22]。本文首先解释了为什么一个特定的行业,物联网,是受GDPR,它是有意义的衡量损失大小来衡量GDPR下物联网行业的风险。

7所示。结论

GDPR和其监管范围的影响加剧了紧张的公司。在这种紧张和担忧,本文首先表明GDPR的应用,物联网产业GDPR影响部分3和4。部分5使用的成本定义戈登和勒布模型来估计GDPR如何影响成本的物联网企业定性和使用统计和定量估计的法律基础。虽然有一个约束进步有限的数据,分析了某些行业的经济影响法律的变化两个方面(定性和定量),因此识别行业容易受到法律的变化。

2015年Icontrol状态的智能家居的研究发现,44%的美国人“非常担心”自己的信息被盗的可能性,从他们的智能家居和27%的人“有点担心23]。“这些公众使用物联网展示人的心理问题。在这些问题面前,GDPR将添加到用户的个人信息的安全。然而,企业将不得不准备和回应为了找到一种方法来GDPR下充分利用物联网的功能。

最后,态势感知是一个决策过程的重要一步。本研究可用于态势感知的经济对某些行业的影响。我们的下一个研究是开发研究建立物联网风险管理框架来预测和基于公平的方法降低风险,而不是简单地测量事故后的损失。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作是由国防采办项目管理和国防科学研究所根据合同UD060048AD。

引用

1. r . van der Meulen,”Gartner说84亿连接的事情将在2017年使用,较2016年增长了31%,”2017年,http://www.gartner.com/newsroom/id/3598917。视图:谷歌学术搜索
2. Statista”级别的协议关于物联网(物联网)制造商充分告知消费者信息的设备可以收集在2016年在欧洲,”2016年,https://www.statista.com/statistics/609021/trust-in-iot-device-manufacturers-eu/。视图:谷歌学术搜索
3. j . Seo k金,m .公园,公园,和k·李,“对经济影响的分析物联网GDPR下”学报2017年国际会议信息和通信技术融合(ICTC)IEEE,页879 - 881年,济州岛,韩国,2017年10月。视图:谷歌学术搜索
4. c .欧盟的“监管(欧盟)的欧洲议会和理事会2016/679,”2016年,http://data.consilium.europa.eu/doc/document/st - 5419 - 2016 - init/en/pdf。视图:谷歌学术搜索
5. Z.-K。张,m . c . y .赵C.-W。王,C.-W。许,C.-K。陈,s . Shieh“物联网安全:持续的挑战和研究机会,”学报2014年IEEE第七届国际会议在面向服务的计算和应用程序(SOCA)IEEE,页230 - 234年,2014年11月日本,松江。视图:谷歌学术搜索
6. k·罗林森,”惠普的研究显示70%的物联网设备容易受到攻击,”2014年,http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676 .WjJ_ld9l_BV。视图:谷歌学术搜索
7. 损失,j . Zaddach A . Francillon d . Balzarotti和s . Antipolis”大规模的安全分析嵌入式软体,”USENIX安全研讨会学报》上圣地亚哥,页95 - 110,美国,2014年8月。视图:谷歌学术搜索
8. P.-Y。陈,S.-M。程,K.-C。陈”,在物联网信息融合来保卫故意袭击,”IEEE物联网,1卷,不。4、337 - 348年,2014页。视图:谷歌学术搜索
9. 诉沙玛,k·李,美国Kwon et al .,“零日攻击的共识框架可靠性和缓解在物联网中,“安全性和通信网络卷,2017篇文章ID 4749085, 24页,2017。视图:出版商的网站|谷歌学术搜索
10. 张平,m . Durresi和a . Durresi”增强的互联网使用公共云流动和隐私,”移动信息系统卷,2017篇文章ID 4725858, 11页,2017年。视图:出版商的网站|谷歌学术搜索
11. b . Gedik和l .刘”与个性化k-anonymity位置隐私保护:体系结构和算法,”IEEE移动计算,7卷,不。1队,2008页。视图:出版商的网站|谷歌学术搜索
12. t .歌曲,r·李美,j . Yu x, x和,“隐私保护通信协议对于物联网在智能家居中的应用,”IEEE物联网,4卷,不。6,1844 - 1852年,2017页。视图:出版商的网站|谷歌学术搜索
13. 郑x、z Cai j . Yu c . Wang和y,“遵循但不跟踪:隐私保存概要文件发布在cyber-physical社会系统中,“IEEE物联网,4卷,不。6,1868 - 1878年,2017页。视图:出版商的网站|谷歌学术搜索
14. t .徐、j·b·比和m . Potkonjak”安全物联网系统:设计挑战和机遇,”学报2014年IEEE计算机辅助设计/ ACM国际会议上IEEE出版社,页417 - 423年,2014年11月,美国圣何塞。视图:谷歌学术搜索
15. 联邦贸易委员会,物联网:隐私和安全在一个连接的世界FTC,华盛顿,美国,2015年。
16. r·哈格曼”的好处,挑战,和潜在的角色为政府在促进物联网的发展,“2016人。视图:谷歌学术搜索
17. l·a·戈登和m·p·勒布”信息安全投资的经济。”ACM交易信息和系统安全(TISSEC),5卷,不。4、438 - 457年,2002页。视图:出版商的网站|谷歌学术搜索
18. 波耐蒙研究所,2017成本的数据违反研究波耐蒙研究所(Ponemon Institute),特拉弗斯城,MI,美国,2017年。
19. m . r . Endsley”情况的理论意识在动态系统中,“人为因素,37卷,不。1、32 - 64年,1995页。视图:出版商的网站|谷歌学术搜索
20. p . Hofheinz m·曼德尔,“桥接数据差异:数码创新可以推动经济增长和创造就业,”里斯本Council-Progressive政策研究所政策简报15卷,2014。视图:谷歌学术搜索
21. l·克里斯滕森a . Colciago f·埃特和g . Rafert在欧盟数据保护监管的影响美国Intertic, Intertic政策文件,2013年。
22. a·戈德法布和c·e·塔克,”隐私监管和在线广告,”管理科学卷,57号1,57 - 71,2011页。视图:出版商的网站|谷歌学术搜索
23. Icontrol网络,Icontrol智能家居的状态报告美国奥斯汀,Icontrol网络,TX, 2015。

版权

版权©2018 Junwoo Seo et al。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。