從疫情期間的數據使用看信息安全與數據隱私保護

◆白娟

從疫情期間的數據使用看信息安全與數據隱私保護

◆白娟

（北京第二外國語學院 北京 100024）

大數據技術給疫情防控工作提供了有效的技術手段，但與此同時，出現了一定程度上的個人信息泄漏和傳播，造成對個人隱私的侵犯。在此情況下，使用數據的各方要加強對信息安全保護的意識，采取技術手段加強對數據保護的監督與管理，注重用戶數據安全，加強數據隱私保護，為信息系統健康平穩運行和疫情防控工作提供堅實保障。

疫情防控；個人數據；信息安全

2020上半年，新冠肺炎疫情席卷全國以及世界各地，自１月24日起，我國31省區市陸續啟動重大突發公共衛生事件一級響應，全國范圍全面進入緊張的疫情防控工作中。

為有效進行新冠肺炎的疫情防治工作，勢必要對民眾的個人數據進行收集、整理和分析，尤其對傳染病人、疑似傳染病人和密切接觸人員的身份信息、蹤跡信息、健康信息的掌握就成為疫情排查工作的關鍵步驟，在疫情防控工作中，各地區充分利用大數據技術，開展人員的篩查、追蹤、軌跡分析等相關工作，有效提高了疫情防治的工作效率。

然而，各地及相關機構在開展人員軌跡分析及疫情分析防治過程中，不斷暴露出數據泄漏、人員隱私數據曝光、個人遭到周圍圍攻等情況，有的地方將包含個人姓名、電話、住址、身份證號等敏感信息的數據在微信群或朋友圈中轉發，給當事人造成歧視、電話短信騷擾等情況，給個人造成極大的傷害，也暴露出信息安全工作的不足以及數據意識淡漠等問題。因此，急需要對數據隱私及信息安全工作加強重視，切實保護人民群眾合法權利。

1 疫情防控中的數據使用和相關問題分析

基于在防控特殊階段、存在一定程度上的個人信息丟失、泄漏、傳播等情況，中央網信辦在2020年2月4日發布了《關于做好個人信息保護利用大數據做好聯防聯控工作的通知》，明確數據使用范圍和原則、界定使用標準，具體包括如下：

最小范圍原則：堅持最小范圍收集信息。

數據專用原則：確保數據專用于疫情防控工作。

信息安全原則：采取技術和管理手段，防止收據被竊取、被泄露。

違法舉報原則：對于違規收集及使用個人信息的行為，可通過法律手段加強信息保護與管理，包括及時向網信、公安部門舉報等。

從以上可以看到，個人信息保護已到刻不容緩的地步，要解決好個人信息保護與數據挖掘利用之間的突出矛盾問題，習近平總書記在全面依法治國委員會第三次會議上強調，“疫情防控越是到最吃勁的時候，越要堅持依法防控”。要以法律法規為準繩、為規矩，推進疫情防控工作與個人信息保護工作同步向前。

2 信息泄漏途徑及相關分析

通過調查防控期間數據情況發現，信息泄漏呈現以下特點：一是泄露的信息類型以個人敏感信息為主，包括身份證號碼、電話號碼、家庭住址、行蹤等關鍵信息。二是泄露途徑包括主動泄漏和被動不慎泄漏，主動泄漏只由于管理方原因，私自傳播用戶個人信息，被動泄漏指在數據轉發過程中，由于丟失或被截獲，造成的個人信息泄漏。三是由于數據采集范圍不斷擴大，導致泄漏數據量呈現高速增長趨勢，需要引起警惕，應持續關注信息安全，降低敏感信息泄露的可能性。

通過比較分析可以看到，信息泄漏主要包括非技術手段和技術手段這兩大途徑：

2.1 非技術手段

（1）有意識的主動泄密：掌握數據人員在有意泄密，出于個人情緒發泄，或者出售敏感信息，肆意將個人信息公之于眾，造成對數據擁有者本人的傷害或不必要的侵擾，干擾社會秩序。

（2）非有意識泄密：由于工作人員保密意識不強，因疏忽大意造成信息泄漏，比如不該通過微信傳播的數據而采用微信發送等，或者因為存儲設備丟失等原因造成的數據泄漏。

2.2 技術手段

（1）權限失控：由于部分數據的使用權限劃分簡陋、精細度不夠，隨之而帶來數據的不當使用以及相應的信息泄露。需要進行嚴格精細的權限劃分，才能確保數據安全可控。

（2）軟件漏洞：由于各種軟件或操作系統，存在一定的漏洞或BUG，給各種不法之人造成了可乘之機，使得黑客可以利用已存在的漏洞攻擊人員防控系統，進而獲取關鍵信息。

3 強化對數據安全以及隱私保護的措施

3.1 采用技術手段對數據進行保護

通過技術手段，對重要敏感數據進行處理，從而起到數據保護的目標。數據的技術保護手段主要包括數據脫敏、數據加密和數據限制發布。

（1）數據脫敏：數據脫敏是指對敏感數據進行變形處理，在給定的規則、策略下對數據進行變換、修改原始數據的技術機制，達到保護數據安全的目的。數據脫敏從技術上分為靜態數據脫敏和動態數據脫敏兩種，在實際使用中以靜態脫敏為主。

（2）數據加密：指通過密碼技術對信息進行加密，實現信息隱蔽，達到保護數據的目標。數據加密技術包括對稱加密算法、非對稱加密算法和散列算法。

（3）數據限制發布：數據限制發布指有選擇地發布原始數據、不發布或者發布精度較低的敏感數據，實現隱私保護。

信息保護的可行性和即時性都不同于傳統行業，技術要求高于其他行業。同時，由于新技術的不斷涌現，信息安全的監管是一個實時的動態博弈過程，真可謂魔高一尺、道高一丈。

3.2 采用相關法律體系實現數據保護的目標

通過對國內外相關信息保護法規比較可以看到，不同國家對數據及信息的保護范圍、保護手段有不同的界定。

3.2.1歐盟GDPR《通用數據保護條例》

該條例賦予歐盟公民更多的個人數據控制權，另外對收集、處理和存儲個人數據的公司提出更高的責任要求。從該條例通過起，除非有明確的法律依據，否則企業將不再被允許收集或處理一個歐洲公民的消費者數據。如果沒有提供適當通知或管理辦法，公司也將被禁止使用以前收集的數據。

GDPR的出臺是為了保護個人權益，對企業提出了較高的門檻要求。但隨之出現的，很多中小企業由于無法承受高昂的合規成本而放棄數據使用和技術創新，而谷歌、臉書等一些大型公司卻形成了一定的數據壟斷，從而使立法的目的沒有真正實現。

3.2.2美國《隱私權法》

《隱私權法》于1974年在美國參眾兩院通過，主要原則包括：（1）行政機關不應該保有秘密的個人信息記錄；（2）個人有權知道自己被行政機關記錄的個人信息及其使用情況；（3）為某一目的而采集的公民個人信息，未經本人許可，不得用于其他目的；（4）個人有權查詢和請求修改關于自己的個人信息記錄；（5）任何采集、保有、使用或傳播個人信息的機構，必須保證該信息可靠地用于既定目的，合理地預防該信息的濫用。該法案主要對政府機構處理個人信息的行為進行了規范和界定。此后，美國立法機構又出臺制訂了《電腦匹配與隱私權法》及《網上兒童隱私權保護法》等相關法案。

3.2.3我國的相關法規

《網絡安全法》是我國重要的一部規范網絡行為、維護網絡空間主權、保護公民及法人合法權益的法律法規，它要求網絡運營者應對其收集和保存的個人信息嚴格保密，不得隨意泄露或擅自向他人提供，另外網絡運營者還應當采取一切必要措施，確保用戶個人信息不受他人非法侵害。《網絡安全法》的出臺對于維護國家安全和社會公共利益具有重要意義。

近期，國家已經就《中華人民共和國個人信息保護法》（草案）進行征求意見，草案中明確規定“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益”以及“處理個人信息應當采用合法、正當的方式，遵循誠信原則，不得通過欺詐、誤導等方式處理個人信息”。從草案的發布可以看出，制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求，是維護網絡空間良好生態的現實需要，也是促進數字經濟健康發展的重要舉措。《草案》確立了以“告知—同意”為核心的個人信息處理一系列規則，另外，對基于個人同意以外合法處理個人信息的情形做了規定。

就安全保護步驟而言，通常的做法是先立法、后打擊。而信息安全不僅要立法和打擊，更重要的是要規范數據使用范圍。目前，我國數據的主要用途在于數據采集和數據挖掘，如客戶畫像、互聯網+產業的信息推送等。建設數據使用規范體系，對原始數據的抓取資質、爬取內容、數據交易的合法途徑、數據存儲的統一管理機制、數據挖掘算法、軟件的開發規范等進行有效約束，是信息安全建設的核心內容。

同時，要建設數據安全的長效機制。建立數據安全領域的有效激勵機制和長效保障機制，確保相關法規在實踐層面得到有效執行，將理論層面和實踐層面有機結合，形成一種合力，才是解決問題的根本之道。

3.3 增強對信息安全和數據保護的監督和管理

一方面，網信管理部門要依據《中華人民共和國網絡安全法》、《個人信息保護條例》等相關規定，及時處置違法收集、使用、公開個人信息的行為，對于涉及犯罪的相關行為，公安機關要依法嚴厲打擊。

另一方面，要提高全民的數據安全意識，使公眾不僅要有自我保護和數據保護的意識，更重要的是要有參與數據安全建設的意識。政府、金融機構等對于基礎數據的采集和使用是否合理，要以是否符合公共利益、是否為應對公共突發事件、是否為保護自然人的生命健康和財產安全等標準作為判定條件。

3.4 提升公民對個人數據保護的意識

在移動計算、云計算和社交網絡時代，數據安全的保護面臨著更多的挑戰。信息保護意識需要不斷提高，對于個人而言，應從以下幾個方面做好安全防范措施：1.在密碼中混合使用數字、大小寫字母和標點符號，并且定期更改密碼。2.不要在所有網站上使用相同的密碼。3.提高警惕，上網瀏覽時不要隨意亂點，防范惡意鏈接和附件。4.不要發布敏感或機密的信息，發布或分享信息前，確認自己的權限。5.啟用軟件的安全設置，在保護好身份安全的同時保護好隱私安全。6.強化個人數據安全保密意識教育，增強防范意識。

4 結語

隨著信息化的不斷發展，數據日益成為社會的重要資產。對于如何確保數據安全和信息安全，尤其涉及敏感隱私信息，都是擺在公眾面前的重要課題。一旦做好信息防護，不僅能夠有效避免數據泄露的危害，還能夠大幅提高相關管理部門的信任度，營造安全穩定的信息環境。

每年1月28日，是國際數據保護日，也稱數據隱私保護日。設置目的是鼓勵人們關注數據隱私，以實際行動來保護在線個人信息安全。我國也不斷增強相關法律法規的出臺，確保公民的個人信息受法律保護，任何未經授權、不符合法律規范的侵權行為，必將受到法律的嚴懲。

[1]閆曉麗.大數據分析與個人隱私保護[J].中國信息安全，2014（3）：105-107.

[2]王樹義，朱娜.移動社交媒體用戶隱私保護對策研究[J].情報理論與實踐，2013，36（7）：36-37.

[3]匡文波.大數據時代的個人隱私[J].中國廣播，2015（6）：12-13.

[4]周瑩.大數據時代公民個人信息保護的問題及對策研究[J].現代營銷，2019（1）：77.

[5]朱佳佳.大數據時代下的個人信息保護[J].通化師范學院學報（人文社會科學），2019，40（1）：123-124.

[6]馬特. 隱私權研究——以體系構建為中心[M]. 北京：中國人民大學出版社，2014.