從疫情期間的數(shù)據(jù)使用看信息安全與數(shù)據(jù)隱私保護(hù)

◆白娟

從疫情期間的數(shù)據(jù)使用看信息安全與數(shù)據(jù)隱私保護(hù)

◆白娟

（北京第二外國語學(xué)院 北京 100024）

大數(shù)據(jù)技術(shù)給疫情防控工作提供了有效的技術(shù)手段，但與此同時(shí)，出現(xiàn)了一定程度上的個(gè)人信息泄漏和傳播，造成對個(gè)人隱私的侵犯。在此情況下，使用數(shù)據(jù)的各方要加強(qiáng)對信息安全保護(hù)的意識(shí)，采取技術(shù)手段加強(qiáng)對數(shù)據(jù)保護(hù)的監(jiān)督與管理，注重用戶數(shù)據(jù)安全，加強(qiáng)數(shù)據(jù)隱私保護(hù)，為信息系統(tǒng)健康平穩(wěn)運(yùn)行和疫情防控工作提供堅(jiān)實(shí)保障。

疫情防控；個(gè)人數(shù)據(jù)；信息安全

2020上半年，新冠肺炎疫情席卷全國以及世界各地，自１月24日起，我國31省區(qū)市陸續(xù)啟動(dòng)重大突發(fā)公共衛(wèi)生事件一級響應(yīng)，全國范圍全面進(jìn)入緊張的疫情防控工作中。

為有效進(jìn)行新冠肺炎的疫情防治工作，勢必要對民眾的個(gè)人數(shù)據(jù)進(jìn)行收集、整理和分析，尤其對傳染病人、疑似傳染病人和密切接觸人員的身份信息、蹤跡信息、健康信息的掌握就成為疫情排查工作的關(guān)鍵步驟，在疫情防控工作中，各地區(qū)充分利用大數(shù)據(jù)技術(shù)，開展人員的篩查、追蹤、軌跡分析等相關(guān)工作，有效提高了疫情防治的工作效率。

然而，各地及相關(guān)機(jī)構(gòu)在開展人員軌跡分析及疫情分析防治過程中，不斷暴露出數(shù)據(jù)泄漏、人員隱私數(shù)據(jù)曝光、個(gè)人遭到周圍圍攻等情況，有的地方將包含個(gè)人姓名、電話、住址、身份證號(hào)等敏感信息的數(shù)據(jù)在微信群或朋友圈中轉(zhuǎn)發(fā)，給當(dāng)事人造成歧視、電話短信騷擾等情況，給個(gè)人造成極大的傷害，也暴露出信息安全工作的不足以及數(shù)據(jù)意識(shí)淡漠等問題。因此，急需要對數(shù)據(jù)隱私及信息安全工作加強(qiáng)重視，切實(shí)保護(hù)人民群眾合法權(quán)利。

1 疫情防控中的數(shù)據(jù)使用和相關(guān)問題分析

基于在防控特殊階段、存在一定程度上的個(gè)人信息丟失、泄漏、傳播等情況，中央網(wǎng)信辦在2020年2月4日發(fā)布了《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)做好聯(lián)防聯(lián)控工作的通知》，明確數(shù)據(jù)使用范圍和原則、界定使用標(biāo)準(zhǔn)，具體包括如下：

最小范圍原則：堅(jiān)持最小范圍收集信息。

數(shù)據(jù)專用原則：確保數(shù)據(jù)專用于疫情防控工作。

信息安全原則：采取技術(shù)和管理手段，防止收據(jù)被竊取、被泄露。

違法舉報(bào)原則：對于違規(guī)收集及使用個(gè)人信息的行為，可通過法律手段加強(qiáng)信息保護(hù)與管理，包括及時(shí)向網(wǎng)信、公安部門舉報(bào)等。

從以上可以看到，個(gè)人信息保護(hù)已到刻不容緩的地步，要解決好個(gè)人信息保護(hù)與數(shù)據(jù)挖掘利用之間的突出矛盾問題，習(xí)近平總書記在全面依法治國委員會(huì)第三次會(huì)議上強(qiáng)調(diào)，“疫情防控越是到最吃勁的時(shí)候，越要堅(jiān)持依法防控”。要以法律法規(guī)為準(zhǔn)繩、為規(guī)矩，推進(jìn)疫情防控工作與個(gè)人信息保護(hù)工作同步向前。

2 信息泄漏途徑及相關(guān)分析

通過調(diào)查防控期間數(shù)據(jù)情況發(fā)現(xiàn)，信息泄漏呈現(xiàn)以下特點(diǎn)：一是泄露的信息類型以個(gè)人敏感信息為主，包括身份證號(hào)碼、電話號(hào)碼、家庭住址、行蹤等關(guān)鍵信息。二是泄露途徑包括主動(dòng)泄漏和被動(dòng)不慎泄漏，主動(dòng)泄漏只由于管理方原因，私自傳播用戶個(gè)人信息，被動(dòng)泄漏指在數(shù)據(jù)轉(zhuǎn)發(fā)過程中，由于丟失或被截獲，造成的個(gè)人信息泄漏。三是由于數(shù)據(jù)采集范圍不斷擴(kuò)大，導(dǎo)致泄漏數(shù)據(jù)量呈現(xiàn)高速增長趨勢，需要引起警惕，應(yīng)持續(xù)關(guān)注信息安全，降低敏感信息泄露的可能性。

通過比較分析可以看到，信息泄漏主要包括非技術(shù)手段和技術(shù)手段這兩大途徑：

2.1 非技術(shù)手段

（1）有意識(shí)的主動(dòng)泄密：掌握數(shù)據(jù)人員在有意泄密，出于個(gè)人情緒發(fā)泄，或者出售敏感信息，肆意將個(gè)人信息公之于眾，造成對數(shù)據(jù)擁有者本人的傷害或不必要的侵?jǐn)_，干擾社會(huì)秩序。

（2）非有意識(shí)泄密：由于工作人員保密意識(shí)不強(qiáng)，因疏忽大意造成信息泄漏，比如不該通過微信傳播的數(shù)據(jù)而采用微信發(fā)送等，或者因?yàn)榇鎯?chǔ)設(shè)備丟失等原因造成的數(shù)據(jù)泄漏。

2.2 技術(shù)手段

（1）權(quán)限失控：由于部分?jǐn)?shù)據(jù)的使用權(quán)限劃分簡陋、精細(xì)度不夠，隨之而帶來數(shù)據(jù)的不當(dāng)使用以及相應(yīng)的信息泄露。需要進(jìn)行嚴(yán)格精細(xì)的權(quán)限劃分，才能確保數(shù)據(jù)安全可控。

（2）軟件漏洞：由于各種軟件或操作系統(tǒng)，存在一定的漏洞或BUG，給各種不法之人造成了可乘之機(jī)，使得黑客可以利用已存在的漏洞攻擊人員防控系統(tǒng)，進(jìn)而獲取關(guān)鍵信息。

3 強(qiáng)化對數(shù)據(jù)安全以及隱私保護(hù)的措施

3.1 采用技術(shù)手段對數(shù)據(jù)進(jìn)行保護(hù)

通過技術(shù)手段，對重要敏感數(shù)據(jù)進(jìn)行處理，從而起到數(shù)據(jù)保護(hù)的目標(biāo)。數(shù)據(jù)的技術(shù)保護(hù)手段主要包括數(shù)據(jù)脫敏、數(shù)據(jù)加密和數(shù)據(jù)限制發(fā)布。

（1）數(shù)據(jù)脫敏：數(shù)據(jù)脫敏是指對敏感數(shù)據(jù)進(jìn)行變形處理，在給定的規(guī)則、策略下對數(shù)據(jù)進(jìn)行變換、修改原始數(shù)據(jù)的技術(shù)機(jī)制，達(dá)到保護(hù)數(shù)據(jù)安全的目的。數(shù)據(jù)脫敏從技術(shù)上分為靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏兩種，在實(shí)際使用中以靜態(tài)脫敏為主。

（2）數(shù)據(jù)加密：指通過密碼技術(shù)對信息進(jìn)行加密，實(shí)現(xiàn)信息隱蔽，達(dá)到保護(hù)數(shù)據(jù)的目標(biāo)。數(shù)據(jù)加密技術(shù)包括對稱加密算法、非對稱加密算法和散列算法。

（3）數(shù)據(jù)限制發(fā)布：數(shù)據(jù)限制發(fā)布指有選擇地發(fā)布原始數(shù)據(jù)、不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)，實(shí)現(xiàn)隱私保護(hù)。

信息保護(hù)的可行性和即時(shí)性都不同于傳統(tǒng)行業(yè)，技術(shù)要求高于其他行業(yè)。同時(shí)，由于新技術(shù)的不斷涌現(xiàn)，信息安全的監(jiān)管是一個(gè)實(shí)時(shí)的動(dòng)態(tài)博弈過程，真可謂魔高一尺、道高一丈。

3.2 采用相關(guān)法律體系實(shí)現(xiàn)數(shù)據(jù)保護(hù)的目標(biāo)

通過對國內(nèi)外相關(guān)信息保護(hù)法規(guī)比較可以看到，不同國家對數(shù)據(jù)及信息的保護(hù)范圍、保護(hù)手段有不同的界定。

3.2.1歐盟GDPR《通用數(shù)據(jù)保護(hù)條例》

該條例賦予歐盟公民更多的個(gè)人數(shù)據(jù)控制權(quán)，另外對收集、處理和存儲(chǔ)個(gè)人數(shù)據(jù)的公司提出更高的責(zé)任要求。從該條例通過起，除非有明確的法律依據(jù)，否則企業(yè)將不再被允許收集或處理一個(gè)歐洲公民的消費(fèi)者數(shù)據(jù)。如果沒有提供適當(dāng)通知或管理辦法，公司也將被禁止使用以前收集的數(shù)據(jù)。

GDPR的出臺(tái)是為了保護(hù)個(gè)人權(quán)益，對企業(yè)提出了較高的門檻要求。但隨之出現(xiàn)的，很多中小企業(yè)由于無法承受高昂的合規(guī)成本而放棄數(shù)據(jù)使用和技術(shù)創(chuàng)新，而谷歌、臉書等一些大型公司卻形成了一定的數(shù)據(jù)壟斷，從而使立法的目的沒有真正實(shí)現(xiàn)。

3.2.2美國《隱私權(quán)法》

《隱私權(quán)法》于1974年在美國參眾兩院通過，主要原則包括：（1）行政機(jī)關(guān)不應(yīng)該保有秘密的個(gè)人信息記錄；（2）個(gè)人有權(quán)知道自己被行政機(jī)關(guān)記錄的個(gè)人信息及其使用情況；（3）為某一目的而采集的公民個(gè)人信息，未經(jīng)本人許可，不得用于其他目的；（4）個(gè)人有權(quán)查詢和請求修改關(guān)于自己的個(gè)人信息記錄；（5）任何采集、保有、使用或傳播個(gè)人信息的機(jī)構(gòu)，必須保證該信息可靠地用于既定目的，合理地預(yù)防該信息的濫用。該法案主要對政府機(jī)構(gòu)處理個(gè)人信息的行為進(jìn)行了規(guī)范和界定。此后，美國立法機(jī)構(gòu)又出臺(tái)制訂了《電腦匹配與隱私權(quán)法》及《網(wǎng)上兒童隱私權(quán)保護(hù)法》等相關(guān)法案。

3.2.3我國的相關(guān)法規(guī)

《網(wǎng)絡(luò)安全法》是我國重要的一部規(guī)范網(wǎng)絡(luò)行為、維護(hù)網(wǎng)絡(luò)空間主權(quán)、保護(hù)公民及法人合法權(quán)益的法律法規(guī)，它要求網(wǎng)絡(luò)運(yùn)營者應(yīng)對其收集和保存的個(gè)人信息嚴(yán)格保密，不得隨意泄露或擅自向他人提供，另外網(wǎng)絡(luò)運(yùn)營者還應(yīng)當(dāng)采取一切必要措施，確保用戶個(gè)人信息不受他人非法侵害。《網(wǎng)絡(luò)安全法》的出臺(tái)對于維護(hù)國家安全和社會(huì)公共利益具有重要意義。

近期，國家已經(jīng)就《中華人民共和國個(gè)人信息保護(hù)法》（草案）進(jìn)行征求意見，草案中明確規(guī)定“自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益”以及“處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞剑裱\信原則，不得通過欺詐、誤導(dǎo)等方式處理個(gè)人信息”。從草案的發(fā)布可以看出，制定個(gè)人信息保護(hù)法是進(jìn)一步加強(qiáng)個(gè)人信息保護(hù)法制保障的客觀要求，是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要，也是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措。《草案》確立了以“告知—同意”為核心的個(gè)人信息處理一系列規(guī)則，另外，對基于個(gè)人同意以外合法處理個(gè)人信息的情形做了規(guī)定。

就安全保護(hù)步驟而言，通常的做法是先立法、后打擊。而信息安全不僅要立法和打擊，更重要的是要規(guī)范數(shù)據(jù)使用范圍。目前，我國數(shù)據(jù)的主要用途在于數(shù)據(jù)采集和數(shù)據(jù)挖掘，如客戶畫像、互聯(lián)網(wǎng)+產(chǎn)業(yè)的信息推送等。建設(shè)數(shù)據(jù)使用規(guī)范體系，對原始數(shù)據(jù)的抓取資質(zhì)、爬取內(nèi)容、數(shù)據(jù)交易的合法途徑、數(shù)據(jù)存儲(chǔ)的統(tǒng)一管理機(jī)制、數(shù)據(jù)挖掘算法、軟件的開發(fā)規(guī)范等進(jìn)行有效約束，是信息安全建設(shè)的核心內(nèi)容。

同時(shí)，要建設(shè)數(shù)據(jù)安全的長效機(jī)制。建立數(shù)據(jù)安全領(lǐng)域的有效激勵(lì)機(jī)制和長效保障機(jī)制，確保相關(guān)法規(guī)在實(shí)踐層面得到有效執(zhí)行，將理論層面和實(shí)踐層面有機(jī)結(jié)合，形成一種合力，才是解決問題的根本之道。

3.3 增強(qiáng)對信息安全和數(shù)據(jù)保護(hù)的監(jiān)督和管理

一方面，網(wǎng)信管理部門要依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)條例》等相關(guān)規(guī)定，及時(shí)處置違法收集、使用、公開個(gè)人信息的行為，對于涉及犯罪的相關(guān)行為，公安機(jī)關(guān)要依法嚴(yán)厲打擊。

另一方面，要提高全民的數(shù)據(jù)安全意識(shí)，使公眾不僅要有自我保護(hù)和數(shù)據(jù)保護(hù)的意識(shí)，更重要的是要有參與數(shù)據(jù)安全建設(shè)的意識(shí)。政府、金融機(jī)構(gòu)等對于基礎(chǔ)數(shù)據(jù)的采集和使用是否合理，要以是否符合公共利益、是否為應(yīng)對公共突發(fā)事件、是否為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全等標(biāo)準(zhǔn)作為判定條件。

3.4 提升公民對個(gè)人數(shù)據(jù)保護(hù)的意識(shí)

在移動(dòng)計(jì)算、云計(jì)算和社交網(wǎng)絡(luò)時(shí)代，數(shù)據(jù)安全的保護(hù)面臨著更多的挑戰(zhàn)。信息保護(hù)意識(shí)需要不斷提高，對于個(gè)人而言，應(yīng)從以下幾個(gè)方面做好安全防范措施：1.在密碼中混合使用數(shù)字、大小寫字母和標(biāo)點(diǎn)符號(hào)，并且定期更改密碼。2.不要在所有網(wǎng)站上使用相同的密碼。3.提高警惕，上網(wǎng)瀏覽時(shí)不要隨意亂點(diǎn)，防范惡意鏈接和附件。4.不要發(fā)布敏感或機(jī)密的信息，發(fā)布或分享信息前，確認(rèn)自己的權(quán)限。5.啟用軟件的安全設(shè)置，在保護(hù)好身份安全的同時(shí)保護(hù)好隱私安全。6.強(qiáng)化個(gè)人數(shù)據(jù)安全保密意識(shí)教育，增強(qiáng)防范意識(shí)。

4 結(jié)語

隨著信息化的不斷發(fā)展，數(shù)據(jù)日益成為社會(huì)的重要資產(chǎn)。對于如何確保數(shù)據(jù)安全和信息安全，尤其涉及敏感隱私信息，都是擺在公眾面前的重要課題。一旦做好信息防護(hù)，不僅能夠有效避免數(shù)據(jù)泄露的危害，還能夠大幅提高相關(guān)管理部門的信任度，營造安全穩(wěn)定的信息環(huán)境。

每年1月28日，是國際數(shù)據(jù)保護(hù)日，也稱數(shù)據(jù)隱私保護(hù)日。設(shè)置目的是鼓勵(lì)人們關(guān)注數(shù)據(jù)隱私，以實(shí)際行動(dòng)來保護(hù)在線個(gè)人信息安全。我國也不斷增強(qiáng)相關(guān)法律法規(guī)的出臺(tái)，確保公民的個(gè)人信息受法律保護(hù)，任何未經(jīng)授權(quán)、不符合法律規(guī)范的侵權(quán)行為，必將受到法律的嚴(yán)懲。

[1]閆曉麗.大數(shù)據(jù)分析與個(gè)人隱私保護(hù)[J].中國信息安全，2014（3）：105-107.

[2]王樹義，朱娜.移動(dòng)社交媒體用戶隱私保護(hù)對策研究[J].情報(bào)理論與實(shí)踐，2013，36（7）：36-37.

[3]匡文波.大數(shù)據(jù)時(shí)代的個(gè)人隱私[J].中國廣播，2015（6）：12-13.

[4]周瑩.大數(shù)據(jù)時(shí)代公民個(gè)人信息保護(hù)的問題及對策研究[J].現(xiàn)代營銷，2019（1）：77.

[5]朱佳佳.大數(shù)據(jù)時(shí)代下的個(gè)人信息保護(hù)[J].通化師范學(xué)院學(xué)報(bào)（人文社會(huì)科學(xué)），2019，40（1）：123-124.

[6]馬特. 隱私權(quán)研究——以體系構(gòu)建為中心[M]. 北京：中國人民大學(xué)出版社，2014.