智慧城市是運用物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù),促進(jìn)城市規(guī)劃、建設(shè)、管理和服務(wù)智慧化的新理念和新模式,是把新一代信息技術(shù)充分運用在城市的各行各業(yè)之中的城市信息化高級形態(tài)。伴隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的推進(jìn)以及國家“十三五”規(guī)劃創(chuàng)新、協(xié)調(diào)、綠色、開放、共享發(fā)展理念的提出,我國智慧城市建設(shè)正在加快推進(jìn)步伐。智慧城市建設(shè)覆蓋的行業(yè)眾多,電力、交通、醫(yī)療等領(lǐng)域均承載著大量的敏感信息,這些涉及個人、企業(yè)、政府的敏感信息一旦泄露,將對公民個人權(quán)益、企業(yè)商業(yè)利益、國家信息安全帶來不可估量的危害。因此,應(yīng)妥善協(xié)調(diào)智慧城市發(fā)展與敏感信息保護(hù),積極探索新形勢下的敏感信息保護(hù)思路,構(gòu)建安全、可信的智慧城市健康發(fā)展環(huán)境。

 
  敏感信息類型多樣特點顯著
 
  智慧城市應(yīng)用范圍廣,包括智慧政務(wù)、智慧交通、智慧醫(yī)療、智慧物流、智慧教育、智慧社區(qū)、智慧公共服務(wù)等眾多細(xì)分領(lǐng)域,在從事這些應(yīng)用的建設(shè)、管理以及提供服務(wù)的過程中,均會大量采集、存儲、傳輸、使用敏感信息。與此同時,由于智慧城市建設(shè)集成了移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等眾多新一代信息技術(shù),這些敏感信息因此具備數(shù)據(jù)量大、數(shù)據(jù)類型多、采集節(jié)點復(fù)雜、傳輸途徑多、使用范圍廣等眾多新特點。
 
  目前,國際范圍內(nèi)對于智慧城市涉及的敏感信息尚沒有通用的分級分類標(biāo)準(zhǔn)。從信息的產(chǎn)生者角度考慮,可以按照產(chǎn)生敏感信息的主體進(jìn)行分類,智慧城市敏感信息包括個人、企業(yè)、政府的敏感信息。政府敏感信息包括政府內(nèi)部管理信息和政府行政信息;企業(yè)敏感信息包括企業(yè)商業(yè)秘密和企業(yè)運行信息;個人敏感信息包括自然人身份和標(biāo)識信息、個人虛擬身份信息以及包括個人健康信息、位置信息等在內(nèi)的使用智慧城市服務(wù)相關(guān)信息。
 
  敏感信息保護(hù)面臨多重風(fēng)險
 
  智慧城市總體架構(gòu)由感知和延伸層、網(wǎng)絡(luò)和信息設(shè)施層、數(shù)據(jù)和平臺層、應(yīng)用層組成,四層架構(gòu)的實現(xiàn)需要在感知、網(wǎng)絡(luò)、計算、存儲等多方面進(jìn)行軟硬件設(shè)備和系統(tǒng)建設(shè),依托于這些基礎(chǔ)設(shè)施和信息技術(shù)的建設(shè)實施,智慧城市信息的采集、傳輸、存儲、使用得以實現(xiàn)。在智慧城市運行的過程中,這些基礎(chǔ)設(shè)施面臨的安全風(fēng)險給智慧城市敏感信息保護(hù)帶來了很大的挑戰(zhàn)。
 
  在感知和延伸層,傳感器節(jié)點極易成為不法分子的攻擊對象,數(shù)據(jù)包的跟蹤截獲將可能導(dǎo)致敏感信息泄露。在網(wǎng)絡(luò)和信息設(shè)施層,專用網(wǎng)、公眾網(wǎng)、計算和存儲設(shè)施均面臨著大量的攻擊威脅,一旦網(wǎng)絡(luò)和基礎(chǔ)設(shè)施被攻擊劫持將可能導(dǎo)致敏感信息泄露。在數(shù)據(jù)和平臺層,基礎(chǔ)數(shù)據(jù)庫、行業(yè)數(shù)據(jù)庫、公共支撐平臺等基礎(chǔ)平臺的數(shù)據(jù)安全保障是決定敏感信息能否得到有效保護(hù)的關(guān)鍵。在應(yīng)用層,接入智慧城市的行業(yè)終端眾多,業(yè)務(wù)系統(tǒng)管理認(rèn)證機(jī)制和安全防護(hù)策略建設(shè)參差不齊,業(yè)務(wù)應(yīng)用敏感信息同樣面臨巨大風(fēng)險。
 
  四維度推進(jìn)信息保護(hù)工作
 
  ——推動敏感信息保護(hù)法律法規(guī)建設(shè)
 
  智慧城市離不開公民的參與,公民個人信息是智慧城市敏感信息的重要組成部分。我國目前尚沒有獨立的個人信息保護(hù)立法,相關(guān)條款分散在眾多法律文件中。眾多行業(yè)部門的政府規(guī)章對于個人信息提出了明確的原則性要求,但配套細(xì)化的標(biāo)準(zhǔn)文件還需完善。
 
  建議推動《網(wǎng)絡(luò)安全法》、《個人信息保護(hù)法》等法律規(guī)定盡快出臺,對政府、企業(yè)、個人的敏感信息保護(hù)提出法律條文規(guī)定,并結(jié)合未來信息服務(wù)多樣化特性,體系化推進(jìn)政府規(guī)章、條令以及行業(yè)管理辦法的制定,提出細(xì)化到智慧城市服務(wù)的管理要求,確保智慧城市敏感信息保護(hù)的有法可依。
 
  ——制定與智慧城市產(chǎn)業(yè)發(fā)展相適應(yīng)的敏感信息保護(hù)監(jiān)管策略
 
  建議國家智慧城市建設(shè)相關(guān)部門建立聯(lián)合管理機(jī)制,統(tǒng)籌智慧城市信息安全管理,強(qiáng)化信息采集、傳輸、存儲、使用的全生命周期監(jiān)管,制定智慧城市敏感信息保護(hù)規(guī)則,合理定義智慧城市敏感信息范圍和邊界,明確智慧城市敏感信息的保護(hù)要求和開放規(guī)則。
 
  與此同時,建立常態(tài)監(jiān)測機(jī)制,強(qiáng)化智慧城市敏感信息保護(hù)監(jiān)測,對智慧城市信息使用規(guī)范性進(jìn)行常態(tài)監(jiān)測,及時發(fā)現(xiàn)和解決問題,引導(dǎo)智慧城市產(chǎn)業(yè)健康發(fā)展。
 
  ——推進(jìn)敏感信息保護(hù)標(biāo)準(zhǔn)體系與技術(shù)支撐手段建設(shè)
 
  建議推動智慧城市敏感信息保護(hù)標(biāo)準(zhǔn)體系建設(shè),強(qiáng)化敏感信息保護(hù)標(biāo)準(zhǔn)指引,細(xì)化管理和技術(shù)標(biāo)準(zhǔn)要求。加快對智慧城市敏感信息分類、智慧城市服務(wù)敏感信息保護(hù)等方面的標(biāo)準(zhǔn)研究。
 
  與此同時,強(qiáng)化智慧城市敏感信息保護(hù)技術(shù)支撐保障,加強(qiáng)對智慧城市傳感器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲服務(wù)器等重要基礎(chǔ)設(shè)施的安全防護(hù)。推動配套檢測技術(shù)建立,完善智慧城市檢測認(rèn)證體系,通過科學(xué)規(guī)范的安全檢測有效抵御智慧城市敏感信息安全風(fēng)險。
 
  ——倡導(dǎo)行業(yè)自律意識和公民個人信息保護(hù)意識提升
 
  建議通過聯(lián)盟或行業(yè)協(xié)會的力量,推動智慧城市相關(guān)企業(yè)增強(qiáng)敏感信息保護(hù)自律意識。加強(qiáng)對智慧城市全產(chǎn)業(yè)鏈的敏感信息保護(hù)法規(guī)政策宣貫,包括對設(shè)備供應(yīng)方、基礎(chǔ)設(shè)施建設(shè)方、企業(yè)運營管理方、應(yīng)用服務(wù)提供方等利益相關(guān)方的政策宣貫,推動智慧城市行業(yè)敏感信息保護(hù)自律,促進(jìn)行業(yè)內(nèi)形成良好的敏感信息保護(hù)氛圍。
 
  與此同時,結(jié)合智慧城市可能遇到的個人信息保護(hù)問題和案例,加強(qiáng)對公民的宣傳教育,提升公民的個人信息保護(hù)意識,進(jìn)而從源頭抵御個人信息泄露風(fēng)險,遏制從事個人信息倒賣的灰色產(chǎn)業(yè)鏈發(fā)展,促進(jìn)智慧城市的敏感信息保護(hù)。
 
  發(fā)達(dá)國家如何保護(hù)智慧城市敏感信息?
 
  在2009年IBM首次提出“智慧地球”概念后,世界范圍內(nèi)掀起了“智慧城市”建設(shè)的熱潮,美國、歐盟、日本等發(fā)達(dá)國家和地區(qū)積極投入智慧城市建設(shè)。截至目前,美歐日等國家雖然沒有專門針對智慧城市涉及的敏感信息進(jìn)行保護(hù)機(jī)制建設(shè),但這些國家在政府敏感數(shù)據(jù)和個人敏感信息保護(hù)方面的法律法規(guī)、監(jiān)管機(jī)制建設(shè)相比我國更為完善,對于我國加強(qiáng)智慧城市敏感信息保護(hù)具有重要的借鑒意義。
 
  美國針對“敏感信息”專門制定管理法規(guī),建立了嚴(yán)密的“敏感信息”管理權(quán)責(zé)體系。美國“敏感信息”管理法規(guī)的全稱是《受控非密信息》13556號總統(tǒng)令,2010年11月4日由奧巴馬總統(tǒng)發(fā)布,強(qiáng)調(diào)美國“敏感信息”管理涉及從安全、隱私到商業(yè)利益的方方面面。美國“敏感信息”管理總統(tǒng)令旨在聯(lián)邦政府建立公開、統(tǒng)一的“敏感信息”管理框架,指定美國檔案與文件管理局為“敏感信息”管理部門,要求其協(xié)調(diào)聯(lián)邦政府相關(guān)行政部門建立“敏感信息”類別,并根據(jù)需要建立子類別。與此同時,總統(tǒng)令要求建立“敏感信息”在保護(hù)、傳播、教育培訓(xùn)、爭議調(diào)解等方面的規(guī)范標(biāo)準(zhǔn)建立,要求政府各機(jī)構(gòu)公開發(fā)布其掌握的“敏感信息”類別及子類別,促進(jìn)“敏感信息”的流程規(guī)范和透明化管理。
 
  歐盟依托完備的法律,嚴(yán)格保護(hù)歐洲公民個人信息。歐盟針對所有成員國發(fā)布了《關(guān)于在電子通信領(lǐng)域個人數(shù)據(jù)處理及保護(hù)隱私權(quán)的指令》,并且在1995年出臺《歐盟個人數(shù)據(jù)保護(hù)指令》,協(xié)調(diào)各國國內(nèi)法以確保個人信息在歐盟范圍內(nèi)的全面保護(hù)和安全的自由流動。2016年4月14日,歐洲議會正式宣布投票支持新的數(shù)據(jù)保護(hù)法《通用數(shù)據(jù)保護(hù)規(guī)則》,要求歐盟的所有公司必須負(fù)責(zé)個人數(shù)據(jù)保護(hù)。在新的數(shù)據(jù)保護(hù)規(guī)則下,公司必須確保在默認(rèn)狀態(tài)下自己的產(chǎn)品和服務(wù)盡可能少的獲取和處理個人信息。公司必須獲得用戶“清晰明確的”同意才能處理他們的個人數(shù)據(jù),并且數(shù)據(jù)將用于什么用途必須以“清晰直白的語言”陳述清楚。除了針對公司更加嚴(yán)格的規(guī)則,《通用數(shù)據(jù)保護(hù)規(guī)則》還讓歐盟公民對自己的個人數(shù)據(jù)獲得更大的控制權(quán),包括“數(shù)據(jù)可攜帶性”和“被遺忘權(quán)”。此外,歐盟和美國正在研究Privacy Shield隱私保護(hù)法案,取代已經(jīng)失效的安全港協(xié)議,主導(dǎo)大西洋兩岸個人數(shù)據(jù)的移動和使用。
 
(作者:于潤東,中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所)
責(zé)任編輯:admin