◆白娟

從疫情期間的數(shù)據(jù)使用看信息安全與數(shù)據(jù)隱私保護

◆白娟

（北京第二外國語學(xué)院 北京 100024）

大數(shù)據(jù)技術(shù)給疫情防控工作提供了有效的技術(shù)手段，但與此同時，出現(xiàn)了一定程度上的個人信息泄漏和傳播，造成對個人隱私的侵犯。在此情況下，使用數(shù)據(jù)的各方要加強對信息安全保護的意識，采取技術(shù)手段加強對數(shù)據(jù)保護的監(jiān)督與管理，注重用戶數(shù)據(jù)安全，加強數(shù)據(jù)隱私保護，為信息系統(tǒng)健康平穩(wěn)運行和疫情防控工作提供堅實保障。

疫情防控；個人數(shù)據(jù)；信息安全

2020上半年，新冠肺炎疫情席卷全國以及世界各地，自１月24日起，我國31省區(qū)市陸續(xù)啟動重大突發(fā)公共衛(wèi)生事件一級響應(yīng)，全國范圍全面進入緊張的疫情防控工作中。

為有效進行新冠肺炎的疫情防治工作，勢必要對民眾的個人數(shù)據(jù)進行收集、整理和分析，尤其對傳染病人、疑似傳染病人和密切接觸人員的身份信息、蹤跡信息、健康信息的掌握就成為疫情排查工作的關(guān)鍵步驟，在疫情防控工作中，各地區(qū)充分利用大數(shù)據(jù)技術(shù)，開展人員的篩查、追蹤、軌跡分析等相關(guān)工作，有效提高了疫情防治的工作效率。

然而，各地及相關(guān)機構(gòu)在開展人員軌跡分析及疫情分析防治過程中，不斷暴露出數(shù)據(jù)泄漏、人員隱私數(shù)據(jù)曝光、個人遭到周圍圍攻等情況，有的地方將包含個人姓名、電話、住址、身份證號等敏感信息的數(shù)據(jù)在微信群或朋友圈中轉(zhuǎn)發(fā)，給當(dāng)事人造成歧視、電話短信騷擾等情況，給個人造成極大的傷害，也暴露出信息安全工作的不足以及數(shù)據(jù)意識淡漠等問題。因此，急需要對數(shù)據(jù)隱私及信息安全工作加強重視，切實保護人民群眾合法權(quán)利。

1 疫情防控中的數(shù)據(jù)使用和相關(guān)問題分析

基于在防控特殊階段、存在一定程度上的個人信息丟失、泄漏、傳播等情況，中央網(wǎng)信辦在2020年2月4日發(fā)布了《關(guān)于做好個人信息保護利用大數(shù)據(jù)做好聯(lián)防聯(lián)控工作的通知》，明確數(shù)據(jù)使用范圍和原則、界定使用標(biāo)準(zhǔn)，具體包括如下：

最小范圍原則：堅持最小范圍收集信息。

數(shù)據(jù)專用原則：確保數(shù)據(jù)專用于疫情防控工作。

信息安全原則：采取技術(shù)和管理手段，防止收據(jù)被竊取、被泄露。

違法舉報原則：對于違規(guī)收集及使用個人信息的行為，可通過法律手段加強信息保護與管理，包括及時向網(wǎng)信、公安部門舉報等。

從以上可以看到，個人信息保護已到刻不容緩的地步，要解決好個人信息保護與數(shù)據(jù)挖掘利用之間的突出矛盾問題，習(xí)近平總書記在全面依法治國委員會第三次會議上強調(diào)，“疫情防控越是到最吃勁的時候，越要堅持依法防控”。要以法律法規(guī)為準(zhǔn)繩、為規(guī)矩，推進疫情防控工作與個人信息保護工作同步向前。

2 信息泄漏途徑及相關(guān)分析

通過調(diào)查防控期間數(shù)據(jù)情況發(fā)現(xiàn)，信息泄漏呈現(xiàn)以下特點：一是泄露的信息類型以個人敏感信息為主，包括身份證號碼、電話號碼、家庭住址、行蹤等關(guān)鍵信息。二是泄露途徑包括主動泄漏和被動不慎泄漏，主動泄漏只由于管理方原因，私自傳播用戶個人信息，被動泄漏指在數(shù)據(jù)轉(zhuǎn)發(fā)過程中，由于丟失或被截獲，造成的個人信息泄漏。三是由于數(shù)據(jù)采集范圍不斷擴大，導(dǎo)致泄漏數(shù)據(jù)量呈現(xiàn)高速增長趨勢，需要引起警惕，應(yīng)持續(xù)關(guān)注信息安全，降低敏感信息泄露的可能性。

通過比較分析可以看到，信息泄漏主要包括非技術(shù)手段和技術(shù)手段這兩大途徑：

2.1 非技術(shù)手段

（1）有意識的主動泄密：掌握數(shù)據(jù)人員在有意泄密，出于個人情緒發(fā)泄，或者出售敏感信息，肆意將個人信息公之于眾，造成對數(shù)據(jù)擁有者本人的傷害或不必要的侵擾，干擾社會秩序。

（2）非有意識泄密：由于工作人員保密意識不強，因疏忽大意造成信息泄漏，比如不該通過微信傳播的數(shù)據(jù)而采用微信發(fā)送等，或者因為存儲設(shè)備丟失等原因造成的數(shù)據(jù)泄漏。

2.2 技術(shù)手段

（1）權(quán)限失控：由于部分數(shù)據(jù)的使用權(quán)限劃分簡陋、精細度不夠，隨之而帶來數(shù)據(jù)的不當(dāng)使用以及相應(yīng)的信息泄露。需要進行嚴格精細的權(quán)限劃分，才能確保數(shù)據(jù)安全可控。

（2）軟件漏洞：由于各種軟件或操作系統(tǒng)，存在一定的漏洞或BUG，給各種不法之人造成了可乘之機，使得黑客可以利用已存在的漏洞攻擊人員防控系統(tǒng)，進而獲取關(guān)鍵信息。

3 強化對數(shù)據(jù)安全以及隱私保護的措施

3.1 采用技術(shù)手段對數(shù)據(jù)進行保護

通過技術(shù)手段，對重要敏感數(shù)據(jù)進行處理，從而起到數(shù)據(jù)保護的目標(biāo)。數(shù)據(jù)的技術(shù)保護手段主要包括數(shù)據(jù)脫敏、數(shù)據(jù)加密和數(shù)據(jù)限制發(fā)布。

（1）數(shù)據(jù)脫敏：數(shù)據(jù)脫敏是指對敏感數(shù)據(jù)進行變形處理，在給定的規(guī)則、策略下對數(shù)據(jù)進行變換、修改原始數(shù)據(jù)的技術(shù)機制，達到保護數(shù)據(jù)安全的目的。數(shù)據(jù)脫敏從技術(shù)上分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏兩種，在實際使用中以靜態(tài)脫敏為主。

（2）數(shù)據(jù)加密：指通過密碼技術(shù)對信息進行加密，實現(xiàn)信息隱蔽，達到保護數(shù)據(jù)的目標(biāo)。數(shù)據(jù)加密技術(shù)包括對稱加密算法、非對稱加密算法和散列算法。

（3）數(shù)據(jù)限制發(fā)布：數(shù)據(jù)限制發(fā)布指有選擇地發(fā)布原始數(shù)據(jù)、不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)，實現(xiàn)隱私保護。

信息保護的可行性和即時性都不同于傳統(tǒng)行業(yè)，技術(shù)要求高于其他行業(yè)。同時，由于新技術(shù)的不斷涌現(xiàn)，信息安全的監(jiān)管是一個實時的動態(tài)博弈過程，真可謂魔高一尺、道高一丈。

3.2 采用相關(guān)法律體系實現(xiàn)數(shù)據(jù)保護的目標(biāo)

通過對國內(nèi)外相關(guān)信息保護法規(guī)比較可以看到，不同國家對數(shù)據(jù)及信息的保護范圍、保護手段有不同的界定。

3.2.1歐盟GDPR《通用數(shù)據(jù)保護條例》

該條例賦予歐盟公民更多的個人數(shù)據(jù)控制權(quán)，另外對收集、處理和存儲個人數(shù)據(jù)的公司提出更高的責(zé)任要求。從該條例通過起，除非有明確的法律依據(jù)，否則企業(yè)將不再被允許收集或處理一個歐洲公民的消費者數(shù)據(jù)。如果沒有提供適當(dāng)通知或管理辦法，公司也將被禁止使用以前收集的數(shù)據(jù)。

GDPR的出臺是為了保護個人權(quán)益，對企業(yè)提出了較高的門檻要求。但隨之出現(xiàn)的，很多中小企業(yè)由于無法承受高昂的合規(guī)成本而放棄數(shù)據(jù)使用和技術(shù)創(chuàng)新，而谷歌、臉書等一些大型公司卻形成了一定的數(shù)據(jù)壟斷，從而使立法的目的沒有真正實現(xiàn)。

3.2.2美國《隱私權(quán)法》

《隱私權(quán)法》于1974年在美國參眾兩院通過，主要原則包括：（1）行政機關(guān)不應(yīng)該保有秘密的個人信息記錄；（2）個人有權(quán)知道自己被行政機關(guān)記錄的個人信息及其使用情況；（3）為某一目的而采集的公民個人信息，未經(jīng)本人許可，不得用于其他目的；（4）個人有權(quán)查詢和請求修改關(guān)于自己的個人信息記錄；（5）任何采集、保有、使用或傳播個人信息的機構(gòu)，必須保證該信息可靠地用于既定目的，合理地預(yù)防該信息的濫用。該法案主要對政府機構(gòu)處理個人信息的行為進行了規(guī)范和界定。此后，美國立法機構(gòu)又出臺制訂了《電腦匹配與隱私權(quán)法》及《網(wǎng)上兒童隱私權(quán)保護法》等相關(guān)法案。

3.2.3我國的相關(guān)法規(guī)

《網(wǎng)絡(luò)安全法》是我國重要的一部規(guī)范網(wǎng)絡(luò)行為、維護網(wǎng)絡(luò)空間主權(quán)、保護公民及法人合法權(quán)益的法律法規(guī)，它要求網(wǎng)絡(luò)運營者應(yīng)對其收集和保存的個人信息嚴格保密，不得隨意泄露或擅自向他人提供，另外網(wǎng)絡(luò)運營者還應(yīng)當(dāng)采取一切必要措施，確保用戶個人信息不受他人非法侵害?！毒W(wǎng)絡(luò)安全法》的出臺對于維護國家安全和社會公共利益具有重要意義。

近期，國家已經(jīng)就《中華人民共和國個人信息保護法》（草案）進行征求意見，草案中明確規(guī)定“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權(quán)益”以及“處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，遵循誠信原則，不得通過欺詐、誤導(dǎo)等方式處理個人信息”。從草案的發(fā)布可以看出，制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求，是維護網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實需要，也是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措。《草案》確立了以“告知—同意”為核心的個人信息處理一系列規(guī)則，另外，對基于個人同意以外合法處理個人信息的情形做了規(guī)定。

就安全保護步驟而言，通常的做法是先立法、后打擊。而信息安全不僅要立法和打擊，更重要的是要規(guī)范數(shù)據(jù)使用范圍。目前，我國數(shù)據(jù)的主要用途在于數(shù)據(jù)采集和數(shù)據(jù)挖掘，如客戶畫像、互聯(lián)網(wǎng)+產(chǎn)業(yè)的信息推送等。建設(shè)數(shù)據(jù)使用規(guī)范體系，對原始數(shù)據(jù)的抓取資質(zhì)、爬取內(nèi)容、數(shù)據(jù)交易的合法途徑、數(shù)據(jù)存儲的統(tǒng)一管理機制、數(shù)據(jù)挖掘算法、軟件的開發(fā)規(guī)范等進行有效約束，是信息安全建設(shè)的核心內(nèi)容。

同時，要建設(shè)數(shù)據(jù)安全的長效機制。建立數(shù)據(jù)安全領(lǐng)域的有效激勵機制和長效保障機制，確保相關(guān)法規(guī)在實踐層面得到有效執(zhí)行，將理論層面和實踐層面有機結(jié)合，形成一種合力，才是解決問題的根本之道。

3.3 增強對信息安全和數(shù)據(jù)保護的監(jiān)督和管理

一方面，網(wǎng)信管理部門要依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《個人信息保護條例》等相關(guān)規(guī)定，及時處置違法收集、使用、公開個人信息的行為，對于涉及犯罪的相關(guān)行為，公安機關(guān)要依法嚴厲打擊。

另一方面，要提高全民的數(shù)據(jù)安全意識，使公眾不僅要有自我保護和數(shù)據(jù)保護的意識，更重要的是要有參與數(shù)據(jù)安全建設(shè)的意識。政府、金融機構(gòu)等對于基礎(chǔ)數(shù)據(jù)的采集和使用是否合理，要以是否符合公共利益、是否為應(yīng)對公共突發(fā)事件、是否為保護自然人的生命健康和財產(chǎn)安全等標(biāo)準(zhǔn)作為判定條件。

3.4 提升公民對個人數(shù)據(jù)保護的意識

在移動計算、云計算和社交網(wǎng)絡(luò)時代，數(shù)據(jù)安全的保護面臨著更多的挑戰(zhàn)。信息保護意識需要不斷提高，對于個人而言，應(yīng)從以下幾個方面做好安全防范措施：1.在密碼中混合使用數(shù)字、大小寫字母和標(biāo)點符號，并且定期更改密碼。2.不要在所有網(wǎng)站上使用相同的密碼。3.提高警惕，上網(wǎng)瀏覽時不要隨意亂點，防范惡意鏈接和附件。4.不要發(fā)布敏感或機密的信息，發(fā)布或分享信息前，確認自己的權(quán)限。5.啟用軟件的安全設(shè)置，在保護好身份安全的同時保護好隱私安全。6.強化個人數(shù)據(jù)安全保密意識教育，增強防范意識。

4 結(jié)語

隨著信息化的不斷發(fā)展，數(shù)據(jù)日益成為社會的重要資產(chǎn)。對于如何確保數(shù)據(jù)安全和信息安全，尤其涉及敏感隱私信息，都是擺在公眾面前的重要課題。一旦做好信息防護，不僅能夠有效避免數(shù)據(jù)泄露的危害，還能夠大幅提高相關(guān)管理部門的信任度，營造安全穩(wěn)定的信息環(huán)境。

每年1月28日，是國際數(shù)據(jù)保護日，也稱數(shù)據(jù)隱私保護日。設(shè)置目的是鼓勵人們關(guān)注數(shù)據(jù)隱私，以實際行動來保護在線個人信息安全。我國也不斷增強相關(guān)法律法規(guī)的出臺，確保公民的個人信息受法律保護，任何未經(jīng)授權(quán)、不符合法律規(guī)范的侵權(quán)行為，必將受到法律的嚴懲。

[1]閆曉麗.大數(shù)據(jù)分析與個人隱私保護[J].中國信息安全，2014（3）：105-107.

[2]王樹義，朱娜.移動社交媒體用戶隱私保護對策研究[J].情報理論與實踐，2013，36（7）：36-37.

[3]匡文波.大數(shù)據(jù)時代的個人隱私[J].中國廣播，2015（6）：12-13.

[4]周瑩.大數(shù)據(jù)時代公民個人信息保護的問題及對策研究[J].現(xiàn)代營銷，2019（1）：77.

[5]朱佳佳.大數(shù)據(jù)時代下的個人信息保護[J].通化師范學(xué)院學(xué)報（人文社會科學(xué)），2019，40（1）：123-124.

[6]馬特. 隱私權(quán)研究——以體系構(gòu)建為中心[M]. 北京：中國人民大學(xué)出版社，2014.