區塊鏈賦能突發公共衛生事件開放數據隱私保護研究

周 鑫 張 靜 謝 津 劉海鷗

(1.燕山大學經濟管理學院，河北 秦皇島 066004；2.河北環境工程學院，河北 秦皇島 066100)

2020年初新冠肺炎疫情暴發，突發公共衛生事件的復雜性與不確定性給國家治理帶來了嚴峻考驗，凸顯了政府數據開放共享過程中的隱私安全問題[1]。突發公共衛生事件開放數據與隱私風險之間的矛盾成為數據化治理手段持續健康應用的阻礙，如何保障數據隱私安全對推進我國突發公共衛生事件數字化精準治理具有重要意義。本文的研究目的旨在深入貫徹黨的十九屆四中全會與六中全會精神，“探索建立適應區塊鏈技術機制的安全保障體系，加強對區塊鏈安全風險的研究和分析”，同時落實習近平總書記和黨中央、國務院關于做好突發事件防控工作的安排部署，全面挖掘區塊鏈理論在突發公共衛生事件開放數據隱私保護與數據化精準治理中的應用價值，克服傳統管理體系的技術弊端，突破現有突發公共衛生事件數據開放共享的難點和痛點，提高突發公共衛生事件事態防控的效率，具有一定的理論意義與應用價值。

1 研究現狀

1.1 突發公共衛生事件開放數據與隱私保護

開放數據是指社會大眾不受版權、專利等限制，可自由獲取、利用、分發，且能保持信息原始性的數據。在突發公共衛生事件中，開放數據是公民了解事態發展最新動向的主要來源，對公民的工作和生活起到至關重要的作用[2]。我國各級政府及相應疾控部門有權調用與突發公共衛生事件相關的公民數據，但同時也必須做好公民的個人信息及隱私的數據保護工作。在開放數據的研究中，Harrison P W等[3]通過探討新冠疫情數據開放平臺搜索、可視化、反饋等功能，指出開放數據集可以使研究人員快速獲取相關數據，推動新冠病毒的研究工作。Shuja J等[4]通過對新冠肺炎疫情開源數據集的全面調查，指出了數據驅動人工智能的挑戰及對策，并為新冠病毒的研究指出新的方向。Hua J L等[5]以報紙和社交媒體等數字平臺為基礎，分析了中國在抗擊新冠肺炎疫情過程中運用的大數據技術，并指出信息流行問題是未來緩解全球問題的重要方向之一。趙蓉英等[6]通過對人民網、人民日報、央視新聞等官方媒體公眾號在突發公共衛生事件期間發布的推送消息分析，揭示了官媒開放數據在疫情期間的公眾影響力與輿情監控力。丁紅發等[7]從數據生命周期的角度，構建了政府數據開放過程五階段模型，并從技術和管理兩個維度，分析了各個環節存在的數據安全和隱私保護問題，針對性地提出若干對策建議。郝文強[8]基于TOE理論框架展開省級政府疫情數據質量的影響因素分析，發現疫情期間政府開放數據質量受部門聯動、政策支持、領導動員等多因素共同影響。在數據隱私問題的研究中，Abeler J等[9]認為，在新冠肺炎肆虐全球期間，相比個人自由的一定限制和全球不濟的經濟發展狀況來說，對數據保護的弱化可能更可取，但作者通過數據最小化分析，以提高相應數據處理系統的有效性和效率，對公民的隱私信息進行最大程度的保護。Kolfschooten H等[10]以歐盟為主要研究對象，指出在追蹤疫情接觸者的相關數據時，公共衛生事件措施和個人權利難以平衡。Li J等[11]闡述了一種基于智能合同和英特爾軟件保護擴展(SGX)的分布式隱私保護方法，以克服大數據在公共衛生領域應用的挑戰，并對其可行性進行論證分析。曾子明等[12]構建了疫情管控中的公共衛生突發事件情報體系，并在后續的管控保障體系中提出可利用自動脫敏技術將患者的隱私信息進行替換，以此保障患者的隱私安全。梅傲等[13]在研究日本突發公共衛生事件信息管理過程中指出，政府不僅應當及時、多方、持續發布最新疫情信息，也需注重個人隱私的保護。此外，占南[14]指出，疫情防控過程中，“去隱私化”問題要引起重視，應用大數據技術進行應急執法時要注意控制信息的末端傳播，從法制的角度控制隱私泄露流傳的途徑，從而保障數據安全。

1.2 區塊鏈在突發公共衛生事件中的賦能應用

區塊鏈技術在全球健康衛生事件中的賦能應用引起世界各國的高度關注，多位學者從不同角度進行了研究。Marbouh D等[15]通過分析區塊鏈技術在新冠肺炎疫情期間的應用，提出可以跟蹤外來新冠肺炎數據的跟蹤系統，并驗證了其經濟上的可行性，保證了數據的安全性、完整性、透明性和可追溯性。Jabarulla M Y等[16]在回顧新冠疫情期間面臨的數字醫療服務挑戰基礎上，構建了一個基于區塊鏈賦能的醫療體系框架，旨在實現疫情數據的全程跟蹤與安全管理。Bhattacharya S等[17]指出，在全球衛生緊急情況下，通過區塊鏈技術賦能可以共享患者數據、識別居民健康、促進快速決策，從而加強疾病監測系統，實現遠程監管，減輕全球疾病發病率和死亡率。此外，Ricci L等[18]融合了區塊鏈技術與密碼學技術，展開對新冠肺炎疫情期間位置、距離等因素影響下的密切接觸者追蹤以及疫苗接種證書認證與管理研究，為疫情期間的疫苗注射工作提供了指導。國內研究中，顏嘉麒等[19]在系統性回顧我國傳染病的預警方法與系統基礎上，引入區塊鏈技術并構建基于區塊鏈的傳染病預警與數據共享系統，拓寬了區塊鏈在傳染疾病領域中的賦能應用。陳曉紅等[20]在探討我國現行公共衛生安全應急情報體系后，構建了基于聯盟鏈的公共衛生安全應急情報共享模型，并以南京市疫情為例對聯盟鏈中應急情報的流轉過程進行了模擬與驗證。胡劍等[21]利用區塊鏈技術特性構建了重大公共衛生事件應急情報體系，通過區塊鏈賦能情報信息的安全存儲、開放共享、追蹤溯源、聯動預警等，為提升國家應急治理能力提供了參考。

綜上所述，國內外既有研究成果為本文提供了重要的思維啟迪與內容借鑒。但是已有研究還存在可拓展的空間：一是針對突發公共衛生事件這一特殊背景下隱私安全問題成因與對策的研究較為匱乏，以數據生命周期為視角，探討突發公共衛生事件在數據生命周期各環節中的障礙及對策研究不足；二是關于區塊鏈賦能突發公共衛生事件開放數據隱私保護的理論闡釋力不足，未能基于技術與管理雙重視角構筑平衡突發公共衛生事件開放數據與隱私保護矛盾的賦能機制，而政府開放數據的隱私保護問題是信息系統與公共管理領域共同關注的話題，亟需結合技術應用與管理手段雙重層面協同探討區塊鏈賦能突發公共衛生事件開放數據隱私保護機制。鑒于此，本文從區塊鏈賦能視角出發，構建融合區塊鏈技術的突發公共衛生事件開放數據隱私保護模式，在此基礎上展開隱私保護的管理制度設計以彌補技術應用的局限性，通過技術與管理的雙重路徑為數字社會背景下突發公共衛生事件開放數據隱私保護提供實踐指引。

2 突發公共衛生事件開放數據隱私風險及其區塊鏈賦能機理

2.1 突發公共衛生事件開放數據面臨的隱私風險

政策、技術、文化、商業環境等多維度因素引發了突發公共衛生事件開放數據的隱私泄露風險，這種風險存在于開放數據的全生命周期[22]。下文將按照數據采集與存儲、數據管理與維護、數據開放與共享以及數據利用與增值的數據生命周期演化過程，對突發公共衛生事件開放數據可能存在的隱私泄露風險進行梳理。

1)數據采集與存儲——行為規范監管失靈。突發公共衛生事件治理過程中，參加數據收集的組織不僅包括各級政府部門、有權對疫情相關信息進行收集的醫療機構、依法進行組織管理的基層自治組織，還包括能夠通過大數據分析技術對病毒傳播進行溯源和預測的各類商業組織、各種有助于疫情防控的應用程序開發者、對來訪人員進行登記的各類公共場所經營管理者等。眾多組織部門不僅會造成個人信息多方保存和多層管理的亂象，還意味著數據控制方的數據素養并不一致，存在數據控制方信息安全意識薄弱等問題[23]。很多數據采集者可能并未意識到所收集的個人信息存在隱私敏感性，缺乏信息安全保護的責任感，在數據操作監管審計缺位的情況下，也不乏數據的惡意使用現象。數據的多方采集與保管為數據安全的監管帶來了極大的不可控性，加劇了個人信息數據面臨的隱私泄露風險，數據控制方的數據操作規范管理對數據隱私保護有著重要意義。

2)數據管理與維護——保存處理標準模糊。突發公共衛生事件治理過程中所收集的數據不僅體量大，其數據格式種類也呈現多元異質的特點，所涉及的隱私敏感程度也不一致，給數據管理單位帶來了巨大壓力。部分國家(地區)已出臺專業詳細的一體化數據管理標準，但我國仍缺乏統一完備的政務數據管理標準，數據格式與存儲標準不盡一致，不同類型、不同隱私敏感程度的數據也缺乏差異化管理制度。部分地區或部門單獨制定了相關的數據分級分類指南，但區域、治理需求等差異化導致這些標準在文件格式、內容結構、處理流程等方面存在一定異質性，全國范圍的數據采集、存儲、開放、安全等標準難以實現融合統一。這種規范性標準的缺失不僅導致開放過程中數據管理無章可循，造成數據的重復收集，增加了隱私風險防范難度，也不利于大規模的數據共享與分析，為開放數據價值的深度挖掘造成了障礙。

3)數據開放與共享——安全傳輸意識薄弱。突發公共衛生事件的數字化治理涉及海量數據的共享傳輸問題，數據傳輸環節可能由于操作不當或被惡意攻擊導致數據被篡改，面臨較大安全風險[24]。如工信、交通運輸、海關、衛生健康等部門以及酒店住宿企業掌握了大量與人口流動、公共衛生相關的數據，這些部門之間及時、準確、充分的數據共享有助于疫情防控預案的制定。疫情期間國家政務服務平臺推出的“防疫健康信息碼”通過將這些部門的數據集聚起來，對疫情期間的人口流動進行了有效管控，不僅提升了疫情防控效率，也方便了疫情期間公眾的出行。“健康碼”在全國范圍內推廣使用的過程中匯集了海量公民個人數據，這些數據通常涉及公民出行軌跡、醫療健康甚至家庭住址等極其敏感的隱私信息，對數據傳輸共享過程提出了更高的安全要求。目前針對數據傳輸過程的安全保障能力仍然是有限的，數據傳輸過程中的安全事故頻發。如何保護隱私數據的安全傳輸并維護數據的真實性和準確性是突發公共衛生事件開放數據隱私保護亟待解決的問題。

4)數據利用與增值——追蹤溯源實現困難。疫情常態化防控背景下，開放數據是一個持續進行的動態過程，各類數據管理主體需要持續性地向開放數據平臺輸送更新數據，這一動態過程可能導致兩方面的隱私泄露風險。縱向來看，某次開放的數據集可能不存在隱私泄露風險，但隨著開放數據的持續更新和累積，聚集和使用大量不同時間內產生的同類數據可能會泄露某些隱私信息；橫向來看，某部門公布的數據可能不具有隱私安全威脅，但結合其他部門公布的同時間段數據，就可能產生隱私風險。數據增值過程中，多部門數據匯合和持續積累可能導致本來難以被發現的隱私信息被顯性化，這種隱私隱患目前是難以追蹤溯源的。在這種情況下開放數據，各數據使用主體無需對數據操作負責，因此難以對數據使用過程中的不正當行為進行有效監管，當隱私泄露事故發生時，無法通過有效的溯源追蹤排查事故產生原因，也無法對泄露隱私的服務主體進行追責與處罰，加大了隱私管理的難度。

2.2 突發公共衛生事件開放數據隱私保護的區塊鏈賦能機理

區塊鏈是一種由分布式存儲、共識機制、智能合約等組合而成的綜合性技術體系，各項基礎技術與隱私保護需求的適配性構成了區塊鏈對突發公共衛生事件開放數據隱私保護的賦能機理，具體如圖1所示。其中，共識機制為數據收集、更新等行為的合規性審計賦能，智能合約為數據上傳者與數據訪問者的資格核查賦能，哈希算法和非對稱加密為數據安全傳輸賦能，鏈式時間戳為數據追蹤溯源賦能。

1)共識機制賦能數據操作審計。區塊鏈采用了共識機制來達成一種可信任的環境，目前區塊鏈系統中較為經典的共識機制主要是由一種被稱為“工作量證明(Proof of Work)”的一致性協議來實現。在這種機制下，攻擊者必須掌握51%及以上的算力才有可能對區塊鏈進行偽造、篡改，而算力的限制導致這種攻擊往往難以實現。因此，共識機制大大降低了區塊鏈上某一節點對信息進行偽造、篡改等不規范操作的可能性。除工作量證明機制外，目前主要的共識機制還包括權益證明(PoS)以及授權股份證明(DPoS)。授權股份證明是一種去中心化的民主方式，這種機制在提高效率的同時也降低了能源損耗。本文基于授權股份證明機制對數據上傳、更新等行為進行規范監督。系統根據數據提供方節點的數據操作歷史初步評估其綜合信譽，信譽達標節點的數據操作行為可在區塊鏈網絡中形成共識。每一輪共識結束后都會重新評估所有節點的歷史信譽，為了避免忽視新節點以及短期內行為共識在少數節點內的集中，當前歷史信譽尚未達標的節點仍擁有一次“突圍”機會，即由達標節點對未達標節點本次行為的規范性投票。擁有投票權的節點按標準對候選節點的數據操作行為評估投票，所有節點投票權重相同且同時擁有支持票和反對票，各投票節點之間可以相互制約與監督，達到票數閾值的數據操作行為是合法有效的。

2)非對稱加密賦能數據安全傳輸。區塊鏈中的哈希算法與非對稱加密技術保障了數據傳輸過程中的安全可靠性。哈希運算能夠對任意長度的輸入輸出一個固定長度的字符串，對于任意一項輸入，通過哈希運算可以快速得到一個哈希值，但已知某個輸入的哈希值，卻很難反推出該輸入內容，如果輸入值被稍做改動，產生的哈希值也會與原來有著天壤之別，這些特征使得基于哈希運算的數據加密有著極高的安全性。另外，區塊鏈網絡中的任一節點都擁有一對公私秘鑰，在進行數據傳輸時通過公私秘鑰來對數據進行加密和解密。基于區塊鏈密碼學技術的數據傳輸安全保障機制如圖2所示。首先，節點A在傳輸數據之前，使用哈希算法得到待傳輸數據的哈希值a，再使用節點B提供的公鑰對該哈希值a進行加密，得到數據密文；然后，節點A將數據密文與原始數據打包在一起，傳輸給節點B，節點B接收到數據包裹之后，使用自身私鑰對數據密文進行解密，得到哈希值a，并對接收到的原始數據再次進行哈希計算得到哈希值b；最后，節點B比較哈希值a與哈希值b，若兩者相等，則說明數據在傳輸過程未被攻擊篡改。在哈希算法和非對稱加密技術的支撐下，只有數據接收方才可以對所傳輸的數據進行查看和驗證。

圖2 基于非對稱加密的數據傳輸安全保障過程

3)智能合約賦能數據訪問控制。智能合約是一種以程序代碼形式定義的數字合約，其執行條件限制被提前制定好，當執行條件被觸發時，區塊鏈上的節點就遵循制定好的規則運行合約。只要將智能合約部署到區塊鏈系統中，合約就能按照一定的觸發條件自動執行，這種自動化的執行方式是無法被任一方改變的。在突發公共衛生事件開放數據過程中，數據采集、保管、處理部門眾多，為了提高數據存儲、使用規范性約束的管控效率，可以應用智能合約來實現對節點上鏈的控制，只有符合條件的用戶才能在區塊鏈系統內上傳數據或訪問數據，在保證數據向突發公共衛生事件利益相關者開放使用的同時，大大提高了數據的私密性。基于智能合約的節點上鏈控制流程如圖3所示。首先，按照相關資質審核、訪問目的、訪問數據量等指標制定訪問條件；然后，在智能合約中寫入執行數據訪問的條件和有效的數據訪問周期，并將合約上鏈；最后，只有符合訪問權限的用戶才能通過審核，在有效的訪問周期內對數據實施上傳或使用等訪問操作。智能合約的創建和調用都將存儲在區塊鏈內，數據提供方節點可以看到自身數據的被訪問記錄和被處理情況，提高了節點對數據使用情況的掌控感，加強了對數據使用方行為的監督。

圖3 基于智能合約的訪問控制

4)鏈式時間戳賦能數據追蹤溯源。區塊鏈數據庫中任何數據處理都會通過唯一的時間戳記錄到鏈上，各區塊按照時間順序相互連接，形成一個可追溯驗證的鏈式數據結構。區塊鏈中每個區塊的時間戳都納入了上一區塊的時間戳，從而前后逐步加強形成一個嵌套式的時間戳鏈條，而且鑒于區塊鏈的加密特性，這些時間戳都是不可篡改的。區塊鏈中的數據區塊按照上述方式前后相連，每個數據區塊的編輯歷史都被完整地記錄下來并擴散至各個節點，因此，通過此鏈式結構可以對任意數據的使用情況進行追蹤溯源。實現數據追蹤溯源，能夠在隱私泄露事故發生時確定數據在何時何地被誰泄漏，及時制定相應的應急方案，并快速進行追責，從而將事故風險降到最低。借助時間戳技術，將各子鏈數據地址及其操作記錄完整記錄于區塊鏈中，再將其依照時間順序相連。區塊鏈的特殊結構使得鏈上數據只能被增加而不能被刪除，當對數據的任何修改操作產生后，這種行為及其操作時間都會以操作源數據的形式被后一區塊保留記錄。數據從被收集到利用的全過程都通過鏈式結構和時間戳完整記錄下來，從而使數據的追蹤溯源成為可能。基于時間戳的溯源機制具體如圖4所示。

3 基于區塊鏈賦能的突發公共衛生事件開放數據隱私保護模式

針對突發公共衛生事件開放數據過程中存在的隱私泄露風險，本文構建了基于區塊鏈賦能的突發公共衛生事件開放數據隱私保護模式，并對該模式的運行機制進行分析。

3.1 突發公共衛生事件開放數據隱私保護模式構建

突發公共衛生事件開放數據涉及政府、企業、基層組織等多元主體的參與，包括數據的采集存儲、管理維護、開放共享以及利用增值。開放數據隱私保護以釋放數據價值并兼顧隱私安全為目標，僅考慮開放增值而置隱私安全問題不顧或過度保護隱私而限制數據利用都會妨礙突發公共衛生事件的有效治理。區塊鏈的技術特點與數據操作審計難、安全傳輸難、追蹤溯源難等隱私泄露風險的解決具有高度耦合性，在開放數據的同時可有效保護隱私安全。基于區塊鏈賦能的突發公共衛生事件開放數據隱私保護模式架構主要包括區塊鏈系統、開放數據平臺、數據應用機制與管理機制，具體如圖5所示。

在圖5中，區塊鏈系統是該隱私保護模式的核心結構，主要分為網絡層、交易層、共識層和合約層。網絡層承擔了各區塊之間互聯互通、信息傳遞的功能，采用以點對點網絡結構為基礎、子鏈和主鏈相互補充的網絡結構，子鏈負責數據的存儲、管理與傳輸，主鏈的作用在于存儲數據摘要、操作源信息以及實現各子鏈、系統之間的聯通管理。各數據控制主體需要建立用于本部門數據存儲的子區塊鏈，再通過主區塊鏈實現對各子鏈的聯通管理，從而緩解了主鏈的數據存儲壓力。交易層負責數據的傳輸共享，采用非對稱加密、哈希算法等密碼學技術實現數據的安全傳輸，提高網絡層的安全性。共識層實現數據上傳、更新、修改等管理行為的審計，通過共識機制來實現對各子鏈節點數據管理行為的規范性約束，只有得到鏈上各節點認可的數據管理行為及其產生的結果是有效的，這種認可的評判標準主要通過授權股權證明機制來實現。合約層封裝了與數據訪問控制相關的智能合約，通過合約對數據提供者和數據使用者的身份資質進行規定，只有符合要求的主體能夠對數據實施采集、共享、使用等訪問操作。

政府數據開放平臺通過嵌入區塊鏈系統來保障數據管理的安全性。以新冠肺炎疫情為例，政府開放數據平臺中的數據集包括患者數據、密接者數據、疫苗接種數據、居民健康情況數據、公眾行程

數據、公共場所人員流動數據、防控物資數據等。政府開放數據平臺的利益相關者可以分為數據提供方與數據使用方，數據提供方指通過采集、共享等方式對數據進行收集、上鏈、分發的對象，數據使用方指通過對數據實施相關處理分析流程，從而挖掘數據價值并最終服務于突發公共衛生事件治理的對象。數據提供方可以分為政府組織以及商業團體、社會團體、醫療機構、基層管理者等非政府組織或個體，數據使用方可以是政府及受到政府委托的科研機構、商業組織，也可以是得到許可并具備一定數據處理能力的社會公益組織。數據應用機制保證了政府數據開放的價值實現，在不同應用場景下，符合要求的數據使用方通過審核后請求訪問數據，獲取數據訪問地址后利用系統中的統計分析工具對數據集實施價值挖掘操作，數據分析結果通過可視化工具展示給數據使用方，數據使用方可以將數據分析結果下載存儲并應用，但并不能直接下載源數據。整個過程中的所有數據使用操作完全在系統中進行，并都將轉化成格式統一的操作源數據通過主鏈記錄下來。以政府監管為主導的管理機制承擔各利益相關者的數據收集應用行為的統籌管理以及數據開放平臺與區塊鏈系統的更新維護義務，社會公眾的監督作為補充有權向政府舉報不規范的開放數據使用行為和隱私泄露事故。

3.2 突發公共衛生事件開放數據隱私保護模式的運行機制

突發公共衛生事件開放數據隱私保護模式的運行機制是指在突發公共衛生事件背景下，該模式主要構成要素之間的相互關系及其共同實現數據開放與隱私保護平衡這一基本目標的作用機理和運行方式，剖析運行機制有助于厘清該隱私保護模式的運作原理和后續的改進優化。在本文構建的隱私保護模式中，以政府開放數據平臺為核心，區塊鏈賦能的隱私保護為主要目標，基于政府開放數據平臺的數據應用為動力，政府和公眾構成的管理機制為保障，四者環環相扣，共同作用于突發公共衛生事件開放數據與隱私保護的平衡共生，隱私保護機制和利益平衡機制是實現數據隱私安全和數據價值釋放的主要方式。

1)隱私保護機制。智能合約、共識機制、非對稱加密與時間戳等區塊鏈基礎技術保障數據獲取、數據采集上鏈、數據傳輸與追蹤溯源環節的隱私保護，管理機制對數據應用環節的隱私泄露風險進行負責，二者共同構成隱私保護機制。在技術賦能的隱私保護中，采用共識機制對其數據采集上鏈行為進行審計，整個系統中不存在任何能夠私自修改數據的節點，避免了傳統數據管理系統中“超級管理員”的漏洞。基于非對稱加密和哈希運算的傳輸加密機制使得準確判斷數據是否被安全傳輸成為可能。智能合約從準入門檻上保證了數據使用方的合格化管理，當數據需求方通過開放數據平臺獲取數據時，首先需要輸入向政府部門申辦的資格認證信息，智能合約再根據認證信息和已有條件對該對象的數據獲取資格進行審查。審查通過后該數據需求方的相關信息將被記錄上鏈，并實現對數據的獲取。鏈式時間戳結構實現了數據及其操作行為的全面記錄，只要確定了隱私泄露事故的發生時間，就能通過對該時間點之前的數據操作行為遍歷而確定相關責任方，這種事后督查機制確保了隱私泄露事故的精準打擊并起到警示作用。數據應用環節中的數據使用管理權已經分發到數據使用方，難以再通過技術保障隱私安全，此時主要通過政府與公眾的監管作用對數據使用方的行為進行規范約束。

2)利益平衡機制。利益平衡機制是指在開放數據過程中實現隱私保護與數據增值雙重目標，平衡個體與集體之間利益沖突的機制。本模式中子鏈與主鏈的數據存儲結構提高了開放數據管理效率，各種區塊鏈基礎技術的應用適應了開放數據過程中的隱私保護需求，相關監管機制的建立為政府開放數據平臺的安全運行和數據應用環節的規范化提供保障，在合理融入區塊鏈技術體系的基礎上實現了開放數據利用與隱私保護雙重需求的相對平衡構筑。在數據采集管理階段，醫療機構、通信運營商、交通部門、社區管理組織以及各類基層組織將本部門數據通過子區塊鏈存儲，并將數據存儲地址的哈希值上傳至主鏈，通過審核的子鏈擁有接入主區塊鏈的資格，主區塊鏈存儲各子鏈的哈希地址和數據摘要。在數據訪問階段，審核通過的數據使用方由系統發放一對公鑰和私鑰，并以此為基礎實施數據訪問利用。使用方在主鏈中上傳數據使用需求并獲取相應的數據源地址，再向該地址發送公鑰，數據提供方節點收到公鑰后將數據加密打包傳輸給使用方，使用方使用私鑰解密驗證數據。在數據利用階段，使用方對數據的處理仍在系統中進行，節點通過系統提供的數據分析工具處理數據并下載數據分析結果。所有數據上傳、訪問與分析處理行為都以格式統一的操作源信息記錄在主鏈中，平臺一旦發生數據安全事故，即可利用區塊鏈的時間戳特征回溯追蹤責任方。監管機構對開放數據平臺和區塊鏈系統的運行與維護負責，并對數據從采集管理到開放應用中所有環節的規范運行作出監督管理。上述流程形成了數據安全開放應用的閉環管理，在隱私安全的基本保障下最大程度地展開數據增值活動，對個體和集體的利益需求實現了兼顧。

4 突發公共衛生事件開放數據隱私保護的管理制度設計

突發公共衛生事件開放數據隱私保護面臨技術、文化、政策等多元挑戰，應該進一步促進隱私保護模式在管理層面的有效銜接，實現以法律法規、政策制度為根基的基本約束，形成技術、管理制度等多元手段相結合的綜合治理體系。

4.1 基礎層：完善數據審查制度

數據集的真實完整性是數據隱私保護的基礎，數據失真的原因主要包括數據采集主體的有意偽造和瞞報漏報等行為以及數據采集手段的局限性。采集手段方面，一些社會組織可能仍在采用手工記錄手段進行數據采集，紙質數據不僅增加了數據整理、處理、保存的難度，也難以在各部門間共享，導致數據的重復收集，增加隱私泄露風險。因此，一方面應該盡早普及電子化數據收集手段，設計開發通用的數據收集小程序或移動端APP，實現多渠道數據的靈活采集；另一方面，相關部門需要加強對數據的審查，對數據的來源和完整性進行核實，嚴厲打擊偽造、漏報、瞞報數據等行為，制定有效追責制度，保證上鏈數據的真實完整性。為了提高數據審查的效率，可以對數據進行分類分級管理，按照數據是否涉及個人隱私信息以及疫情防控工作對該類數據開放的需求這兩個維度對數據進行分類管理。在完善數據分類制度的基礎上，再建立個人隱私數據泄露風險評估機制來實施數據分級管理，對數據集進行隱私泄露風險評估，對隱私安全風險等級較高以及疫情防控工作需求較大的數據集，需要加強審查力度。

4.2 應用層：規范數據使用制度

通過智能合約可以實現數據使用方的資格審核，對于通過數據使用權限審核的機構組織，也要對其后續使用制定嚴格規范的規章制度。首先，不斷細化和完善相關法律法規，實現突發公共衛生事件數據使用有法可依、有章可循，明確界定開放數據的隱私邊界；對因公共利益而必須開放的隱私數據，嚴格制定其開放和使用的規范。其次，加強數據管理人員的隱私保護意識，與數據管理相關的工作人員會直接接觸公眾讓渡的隱私數據，這部分工作人員對隱私保護的責任感尤為重要。相關單位應該對內部相關工作人員定期展開數據隱私保護教育，政府部門在向其他社會部門委托數據分析處理任務時，也應及時下達隱私安全須知。最后，疫情防控的動態化演變特征對數據的時效性有一定要求，常態化防控背景下不僅需要持續收集數據，同時也會產生大量失效數據，合理處理使用過的數據成為規范數據使用的必要環節。在開放數據以及疫情演進各階段，應在對數據價值進行科學判斷的基礎上，對數據進行合理規范的處理。對于無用數據要及時進行安全銷毀，防止因處理不及時致使公眾個人信息在疫情結束后遭黑客攻擊而被泄露；對于未來可能再次利用的數據，應進行脫敏化、去隱私化處理后再統一歸檔管理。

4.3 監督層：強化監管問責制度

開放數據平臺的監管需要政府、社會公眾等多元主體的共同參與，多元主體的參與會造成隱私保護監管責任分散現象，應明確各主體的監管責任與義務，制定合理的獎勵懲罰制度，防止出現因責任模糊與激勵缺失導致的監管缺位現象。為了進一步提高隱私保護監管的責任集中度，可建立一個獨立的隱私保護監管機構，加強對數據使用行為的監督。當公眾遭到隱私侵犯或發現泄露個人信息、侵犯個人隱私等違法行為時，可以向該機構進行投訴，該機構負責對隱私侵犯事故進行調查、曝光和處罰等。獨立隱私保護監管機構的引入不僅拓寬了公眾對隱私保護的訴權渠道，也緩解了政府的監管治理壓力。另外，要重視隱私侵權責任主體的問責與處罰。相關法律法規的完善是落實問責制度的基礎，不僅要明確規定對隱私侵犯責任方的問責方式與懲罰措施，更要進一步細化隱私侵犯的責任認定方式與依據，對突發公共衛生事件治理背景下的數據采集、應用等過程中的“隱私侵犯紅燈”作出詳細說明，合理考量突發公共衛生事件開放數據過程中公共利益與個人隱私的邊界。對于既成事實的隱私泄露和侵犯事故，執法部門應按照法律法規對責任主體進行問責和處罰，保證相關規定的威懾力。

4.4 生態層：培育健康開放環境

在健康的數據開放應用環境下，隱私保護的壓力不應僅由政府承擔，行業內部的自律與自治以及公眾自身的隱私保護能力也是突發公共衛生事件開放數據隱私保護的重要力量。開放數據涉及的數據采集、存儲、應用主體廣泛眾多，如果行業內部形成統一的個人隱私保護規范，就能大大降低監管成本。因此，相關部門應該引導行業自覺遵守隱私安全規范，抵制被曝出有意以公眾隱私數據謀取私利的企業，達到行業內部自律自治的目的。另外，公眾自身的隱私保護意識和能力對預防隱私侵犯帶來的傷害和損失至關重要，參考我國對“反詐”的宣傳教育，相關部門也應該向公眾普及隱私侵犯的常見方式與后果，宣傳疫情等突發公共衛生事件治理時期合理的個人信息收集范圍，提高公眾的隱私保護意識和隱私泄露警惕性。最后，由于個人隱私保護與突發公共衛生事件的治理目標在短期內不具有正相關性，且需要投入一定成本，導致各單位缺乏足夠的動力去落實隱私保護要求，對此可以增加適當的激勵措施，對積極加強隱私保護的主體進行合理獎勵，激發各單位對隱私保護的積極性，提高公眾對疫情期間開放數據利用的信任，達到數據開放與隱私保護激勵相容的雙贏效果。

5 結 語

突發公共衛生事件開放數據與隱私風險之間的矛盾成為數據化治理手段持續健康應用的阻礙。針對開放數據面臨的隱私泄露風險，本文將區塊鏈技術應用于突發公共衛生事件情境，構建了基于區塊鏈賦能的突發公共衛生事件開放數據隱私保護模式，并針對技術賦能的局限性展開了管理制度設計，為保護突發公共衛生事件開放數據隱私提供了技術與管理并驅的綜合治理方案。需要指出的是，現階段區塊鏈的社會化應用尚未形成成熟體系，其在開放數據隱私保護方面的應用仍需要更多的理論研究和應用探索，擬在后續研究中不斷完善。