物聯網是指通過傳感網絡，實時采集所需信息，將所采集的信息匯聚至網關終端，然后通過無線網絡運程將其順利地傳輸至指定的應用系統中，以實現人類對物品的遠程控制。物聯網一般分為三個層次：感知層、網絡層、應用層。感知層主要是利用傳感器、攝像機和RFID識別器等設備采集數據。感知層是物聯網三層結構中最為脆弱的一層，其采集的數據如果缺乏有效保護，容易被非法手段獲取、監聽和干擾；網絡層是將感知層獲取的數據長距離傳輸至應用層，往往也存在著非法接入、信息盜取和篡改以及假冒攻擊等安全隱患；應用層則是對數據進行應用，實現物的智能化。病毒、黑客或者惡意軟件繞過了相關安全技術防范后，就可能惡意操縱他人物品，侵犯他人隱私。物聯網時代信息安全保護至關重要，除了通過技術手段來解決，更需要法律上的保障。

當前我國物聯網信息安全保護立法情況

我國積極推進信息安全立法。物聯網時代，信息安全涉及到個人隱私、企業商業秘密以及國家和社會的重大利益，亟需立法保護。我國針對這一問題雖然沒有專門的立法，但是多部法律均對這一問題進行了規定?！吨腥A人民共和國憲法》（以下簡稱《憲法》）第四十條規定：“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。”這一規定為物聯網時代信息安全保護提供了根本依據。除了《憲法》之外，《中華人民共和國國家安全法》《中華人民共和國保守國家秘密法》《中華人民共和國電子簽名法》和《中華人民共和國著作權法》等法律對網絡安全問題均有涉及。另外，在刑法領域，《中華人民共和國刑法》也規定了五種網絡犯罪，將信息安全問題納入了刑法保護范疇。

我國物聯網信息安全保護立法存在不足。首先是法規分散、不成體系。我國關于信息安全的規定分布在多部法律法規之中，至今沒有一部專門針對信息安全問題的基本法，沒有形成一個完整的法律體系，并且相關規定，過于繁雜。其次是部門立法、行業立法現象普遍。我國多個政府部門或者行業都對信息安全問題出臺了相關的部門規章或者行業自律管理辦法，但是各部門或者各行業往往是立足于本部門或本行業的利益進行立法，因各方利益沖突，會導致相關規定沖突。最后是立法存在滯后，無法適應物聯網時代的新挑戰。目前，我國相關法律法規對信息、信息資源等相關概念缺乏明確的界定，并且對于物聯網時代的一些新的侵犯信息安全的行為沒能及時予以規定，更沒有明確各方的權利義務，難以適應物聯網時代的發展，可操作性不強。

國際上物聯網信息安全保護法律保障有關經驗

美國較早地推進了信息安全保護。美國采取的是分散立法模式，即沒有一部針對信息保護的基本法，而是通過各個部門、各個行業根據自身的特點，頒布相應的法案來保護信息安全。美國早在1974年就指定了《隱私權法》，是世界上第一個通過立法保護個人信息的國家。2015年，美國發布了《消費者隱私權利法（草案）》，該法案為對個人信息的保護提供了原則性的規定，創造性的把“場景導向”與“風險導向”理念引入了個人信息的保護。美國還頒布了《禁止利用電子計算機犯罪法》，對黑客的行為和行為的性質進行了區分。另外，美國各州對信息安全問題也有各自的立法。如，2018年臉書數據泄露后，美國加州頒布了《2018年加州消費者隱私法》，該法案既強調個人對個人信息的控制權，又高度關注產業利益。

歐盟專門提出了物聯網行動計劃。2009年，歐盟委員會向歐盟議會、理事會、歐洲經濟和社會委員會及地區委員會遞交了《歐洲物聯網行動計劃》（以下簡稱“歐洲計劃”），“歐洲計劃”提出要完善隱私及個人數據保護且要嚴格執行數據保護有關法律法規，首次從法律層面把物聯網時代的信息安全問題上升到新的高度?！皻W洲計劃”第三條提出了“芯片沉默”的權利，即個人是否有能力在任何時間斷開他們與網絡環境的連接。簡單地說，就是個人對其個人信息是否有控制權。此外，歐盟制定了《一般數據保護條例》，并于2016年5月24日生效。此條例完善了個人數據概念、明確了數據主體的權利、設置了監督主體并加大了處罰力度。

多措并舉加快推進我國物聯網信息安全法律保障

借鑒國外經驗，完善我國物聯網信息安全相關法律法規。一方面，要整體規劃，合理分工。應當從國家層面做好物聯網時代信息安全立法的整體規劃，構建科學合理的法律框架，引導各部門、各行業合理分工，促進信息安全立法沿著正確的軌道推進。另一方面，推進專門立法，研究制定《信息保護法》。雖然我國諸多法律法規對信息安全問題均有涉及，但是我國至今沒有對這一問題進行專門立法。物聯網時代，信息安全至關重要。我國也應當立足于物聯網時代信息安全的新挑戰，出臺專門的《信息保護法》，減少消除物聯網時代信息泄露所帶來的困擾。

規范好物聯網相關主體權利義務。一方面，對于物聯網企業而言，首先要履行告知義務，在提供物聯網服務前應告知用戶在使用過程會獲取其相關的個人信息、獲取信息的用途以及相應的后果。同時，物聯網企業還要提供一個安全的網絡環境，應堵住安全漏洞，防止用戶信息泄露。最后，物聯網企業還應當履行好保密義務，未經用戶授權，不得隨意對外公布相關信息。若物聯網企業基于故意或過失而導致用戶信息泄露，應當承擔相應的責任。另一方面，對于物聯網用戶而言，要遵守物聯網相關管理規定，以合法合理的方式使用物聯網，不能違反規定，惡意使用物聯網。此外，要如實提供個人信息并注意個人信息保護。在物聯網企業履行告知義務后，用戶一旦接受相應條款，須如實填寫自己的相關信息，更不能在未經他人授權的情況下，擅自上傳他人信息，造成相應后果的，應當承擔相應責任。

加強政府對物聯網信息安全的監管。物聯網時代，信息安全會面臨更大的挑戰，政府應當加強監管。比如，可以研究成立一個處理信息安全問題的專門機關，專門負責信息安全領域的市場規范和執法監管，并賦予該機關相應的處罰權，從而加大信息安全侵權行為的違法成本。物聯網作為國家的重要創新產業，即將迎來井噴式發展。在這個過程中，政府要做好物聯網發展的相關引導規范，對不良行為加強監管。要運用多種手段解決物聯網時代信息安全問題，除了技術上的突破之外，要注意運用好法律武器，為物聯網時代營造一個良好的法治環境。