網上合作研究中的隱私權保護策略

〔摘 要〕一方面隨著科研環境的日益復雜，網上合作科研成為科研的主要發展趨勢；另一方面，隨著網絡環境的日益復雜，網上合作科研成員的隱私權受到很大的挑戰。分別從法律、技術、自律等三方面提出了隱私保護策略。

〔關鍵詞〕合作科研；隱私；網上合作；科研

〔中圖分類號〕G250.72 〔文獻標識碼〕A 〔文章編號〕1008-0821（2012）10-0029-03

隨著社會環境的變化、網絡技術的發展以及科研項目的復雜程度加大等，傳統的“層級式”的學術團體模式已經不能滿足科研團體的研究需要。基于Internet的跨地域、跨時空甚至是跨越國界的網上合作研究（Computer Supported Collaborative Research）越來越成為科研團體的寵兒，并且也將成為科研工作的一種主要模式。世界各國政府都非常重視網上協作科研平臺的搭建，紛紛斥巨資搭建平臺，以促進學科間的交流，共享數據及設備資源。我國教育部自1999年起在全國重點高校建立了一系列網上合作研究中心，極大地促進了我國網上合作研究工作的步伐[1]。然而在網上合作研究中心促進我國實現科研資源共享的同時，也帶來了隱私泄露的安全隱患。

鑒于目前我國對于網上合作研究中的研究還主要集中在網上合作研究中心支撐平臺的設計上，對于其隱私保護方面的研究幾乎沒有涉及，本文提出了一種隱私保護模型。

1 網上合作研究平臺

當前，網上合作研究平臺是一種能夠實現資源共享，并能為特殊需要提供擴展功能的分布式計算機協同（CSCW）系統[2]。通過網上合作，可以突破學科、地域、時間等的限制，共享研究設備、數據、專業人才等，實現優勢資源的組合，將優勢資源組織在一起共同完成項目的研究。例如，我國核科學與核技術網上合作研究中心，以在核科學和核技術領域擁有優良的科研基礎的北京大學、清華大學、四川大學、蘭州大學為成員單位，形成高水平的科研團體，并聯合其他科研院所，開展全國范圍內乃至世界范圍的網上合作研究，以推動我國核科學和核技術的發展[3]。

網上合作研究平臺的研究合作是基于項目展開的。基于項目產生科研團隊，項目組成員在項目內展開合作研究。所以，網上合作研究中資源共享的模式可以分為：項目組內部的資源共享、項目組之間的資源共享以及網上合作研究平臺與平臺間的資源共享。

2 網上合作研究平臺隱私保護的需要

網上合作研究平臺給科研工作者的工作和資源共享的同時，也使得個人隱私的侵權行為比以往任何時候更加容易和快速的多。科研工作者的個人信息以及工作信息一旦上網，就成為了網絡信息資源，而網絡隱私目前面臨著嚴重威脅，網絡隱私侵權問題是網絡信息資源所面臨的重大問題之一，是一個比較敏感的問題。雖然網上合作研究平臺中的信息，包括研究者的個人信息和工作信息相對于網絡上的其他資源而言，得到了比較充分的保護，但這并不能保證網上合作研究平臺中的個人隱私可以完全不受侵犯。網上合作研究平臺中的相當部分信息是有必要公開共享的，這樣才有利于合作科研的開展，才會充分發揮網上合作研究平臺的作用。但是，隨著共享范圍的擴大，隱私權問題就越有可能得不到保障，所以，網上合作科研平臺中個人隱私保護是相當必要的。

當前，網上合作研究平臺對于信息的隱私保護方式主要是基于角色的訪問控制。平臺是基于角色來設計的，通過對用戶的角色分配（包括系統管理員、項目管理員、項目成員、普通用戶等），進行不同角色類型用戶的權限授權，用戶根據自己的權限對平臺資源進行操作，實現平臺的安全運行。

但是僅僅通過這種簡單的角色訪問控制方式是很難實現對科研用戶隱私信息的有效保護的。而且由于網上合作研究平臺中的項目一般都是最具創新性的科研項目，其參與研究成員往往也都是最具權威的科研單位或人員，平臺中所涉及的隱私權甚至會關乎到社會公共權益和國家權益，所以其隱私的安全性就顯得更為重要。因此，如何有效地保護網上合作研究中的隱私信息，是更好地建設網上合作研究平臺亟待解決的一個問題。

3 網上合作研究平臺隱私保護策略

網上合作研究平臺的隱私保護策略應該包括法律、管理以及技術等3個方面，單靠某一單方面的努力要實現對隱私權的有效保護難度是很大的。

3.1 加強隱私權的立法保護

我國目前尚未有對個人隱私保護的專門立法，民法中也沒有把隱私權作為一項獨立的人格權，對于隱私權的相關規定散見于多部法律、行政法規和部門規章中，這種保護是相當脆弱的。

2008年以來，“信息系統個人信息保護標準”的制定一直是工業和信息化部的重點工作。2012年4月12日，工業和信息化部正式宣布，《信息安全技術公共及商用服務信息系統個人信息保護指南》已編制完成，現正按照國家標準審批程序上報國家標準化管理委員會批準。該標準主要包括：“個人一般信息”、“個人敏感信息“、“個人信息主體”等專用術語和基本概念的定義、信息系統個人信息處理原則、對信息系統個人信息處理過程“收集”、“加工”、“轉移”、“刪除”4個階段的個人保護行為進行了規范及要求。該標準將成為我國第一項個人隱私保護方面的專項標準。除政府機關等行使公共管理職責的機構以外的各類組織和機構，在利用信息系統處理個人信息過程中的個人信息保護都適用這個標準[4]。

我國應基于《信息安全技術公共及商用服務信息系統個人信息保護指南》的制定和出臺以及執行，進一步加強我國個人隱私保護的立法。只有通過具有強制力的個人隱私保護法律的制定，使得個人隱私保護有法可依，才能打好個人隱私保護的基礎。

3.2 加強網上合作研究平臺的技術保護

在最新編制完成的《信息安全技術公共及商用信息系統個人信息保護指南》中，將個人信息分為個人一般信息和個人敏感信息，并提出了默許同意和明示同意的概念。對于個人一般信息的處理可以建立在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。但對于個人敏感信息，則需要建立在明示同意的基礎上，在收集和利用之前，必須首先獲得個人信息主體明確的授權[5]。

為了解決網上合作研究平臺的隱私保護問題，提出了一個隱私保護模型。

圖1 隱私保護模型[6]

該模型（見圖1）的具體應用流程包括：

（1）共享請求者向平臺發出共享信息請求；

（2）平臺服務器對請求者進行身份認證，并對其身份進行解析：

①若請求者的角色非法，則拒絕其共享信息的請求；

②若請求者為合法角色身份，通過了角色驗證，則進行第（3）步操作；

（3）對請求共享信息集合進行解析，根據隱私策略文件中的策略，執行相應的操作，進行簡單的決策：

①若請求共享信息集合中的信息不包含隱私信息，即屬于共享范圍內的信息，則授權請求共享者共享信息；

②若請求共享集合中的信息僅包含項目隱私，且其角色若為項目組內部成員，則授權共享請求者共享信息；

③若既非①也非②，則進行第（4）步操作；

（4）對于隱私策略文件不能執行的稍微復雜的隱私操作授權，則詢問用戶：

①用戶拒絕請求者的共享請求，則拒絕；

②用戶允許請求者共享請求共享集合，則執行第（5）步操作；

（5）對用戶允許共享的含有個人隱私或項目隱私的集合進行最小化隱私處理，形成具有隱私保護功能的共享信息集合（見圖2）：首先判斷集合中隱私的類別，若集合中含有個人隱私，則對隱私進行轉換處理：將表示個人身份的隱私用字母或數字等序號代替，將與身份有關的信息如身體狀況、愛好等進行匿名化處理；若含有的是項目隱私，進行業務模擬，將請求共享信息集合中包含的所有子集來進行業務模擬，找出能滿足共享請求者要求的最小子集并輸出。經過此步驟形成隱私最小化的共享集合，并授權請求共享者共享此集合。

圖2 隱私處理模型[7]

（6）請求共享者根據平臺的“授權”或“拒絕”權限，對信息集合進行操作。

當然，任何策略都不是萬能的，犯罪者還是會千方百計地得手。我們還應該從各個方面采用先進的技術來規避風險。比如，我們可以借鑒物聯網平臺中對數據流向的控制：對共享的數據設置生命周期、劃分層次，避免其無線傳播而造成隱私的公開[8]。任何技術也都不是萬能的，都不能完全規避隱私侵權風險。最根本的還是要讓用戶從根本上意識到隱私保護的重要性。所以網上合作研究平臺應該不斷地提醒用戶，并在可能造成隱私侵權時對用戶進行風險提醒。從最初環節保護科研用戶的隱私。

3.3 加強網上合作研究平臺用戶隱私的自律性

無論是法律手段還是技術手段，都不可能應對復雜多變的現實，更不可能解決網上合作研究平臺中出現的所有隱私問題。所以還要依靠網上合作研究平臺的自律來促進資源共享中平臺與個人隱私保護的沖突。美國是主要依靠自律保護隱私的成功例子，我們應該借鑒美國的成功經驗。

對于用戶個人而言，也應該提高自身的隱私保護意識，既實現有效地保護個人的隱私，同時也保證不侵犯他人的隱私。比如，在注冊時盡量不要使用真名，對于有關的個人一般信息盡量空填，盡量使用匿名瀏覽，以及手工刪除Cookie等。對于平臺而言，應該制定網上合作研究平臺用戶隱私保護聲明，如各級用戶擁有的權力、信息共享的范圍、侵權的責任等，并在平臺顯著位置掛出。同時，平臺還應該加強管理人員的職業道德教育和隱私教育，提高其隱私意識，對工作中接觸到的用戶的信息進行嚴格保密。

4 結 論

科研團隊網上協作科研平臺的構建在我國還處于探索階段，其中的隱私權保護問題更是一個新的問題。我國在科研團隊網上協作科研成員隱私權保護方法上，應該積極借鑒發達國家比較成熟的經驗。只有使得科研成員的隱私權得到切實的保護，才能有效地促進科研團隊網上協作科研的健康發展。

參考文獻

[1]于書紅.高校科研團隊網上協作研究平臺的設計與應用[D].浙江：浙江師范大學，2005.

[2]劉勇，徐從富.基于遠程動態編譯方式的網上合作研究平臺[J].計算機應用與軟件，2004，21（8）：21-22.

[3]教育部網上合作研究中心項目可行性研究報告[EB/OL].http：∥gci.nst.pku.edu.cn/proposal.php，2012-03-11.

[4]劉陶，朱璇，等.信息系統個人信息保護與標準化[J].信息技術與標準化，2012，（1）：18-21.

[5]中國計算機安全.《信息安全技術公共及商用服務信息系統個人信息保護指南》已編制完成[EB/OL].http：∥www.infosec.org.cn/news/newsview.php？newsid=15776，2012-04-29.

[6]何涇沙，徐菲，等.用戶為中心的訪問控制隱私保護方法：中國，CN 102111407 A[P].2011-06-29.

[7]呂欣，高楓.電子政務信息資源共享中的隱私保護方法[J].計算機應用，2012，32（1）：82-85.

[8]婁雨，檀小璐.物聯網共享平臺中的隱私保護[J].信息科技，2011，（10）：162-163.

（本文責任編輯：孫國雷）