评论丨疫情防控与个人信息保护初探之四:电信数据的安全规范
运用大数据分析,支撑服务疫情态势研判、疫情防控部署以及对流动人员的疫情监测、精准施策,迫在眉睫。
系列之一:《评论丨传染病疫情防控与个人信息保护初探前言及之一》
系列之二:《评论丨疫情防控与个人信息保护初探系列之二:数据技术的应用路径》
系列之三:《评论丨疫情防控与个人信息保护初探之三:“接触追踪”的数据共享安全规范》
上一篇文章主要分析了利用互联网方面的大数据用于接触追踪的可行思路。实际上,电信运营商掌握的个人信息,对接触追踪也能起到非常重要的作用。本篇主要探讨这方面的实践和数据安全规范。
“进一步做好疫情防控大数据支撑服务工作”
首先注意到工信部已经紧锣密鼓地行动起来了。例如,在这篇报道《工信部调度部署疫情防控大数据支撑服务工作》中,工业和信息化部副部长、部应对新型冠状病毒感染的肺炎疫情防控工作领导小组副组长陈肇雄强调——
“当前,新型冠状病毒感染的肺炎疫情加快蔓延,疫情防控工作已进入关键时期,内防扩散、外防输出任务依然严峻。运用大数据分析,支撑服务疫情态势研判、疫情防控部署以及对流动人员的疫情监测、精准施策,迫在眉睫。信息通信系统要充分认识当前疫情防控形势的严峻性、复杂性和艰巨性,在前期工作基础上,进一步做好疫情防控大数据支撑服务工作,加强联防联控,坚决打赢疫情防控攻坚战。”
另据报道《福建管局调度部署落实疫情防控大数据支撑服务工作》中提到——
“截至25日18时,福建省通信管理局根据工业和信息化部要求,已组织省内三家基础电信企业运用大数据分析,加强对流动人员的疫情监测,收集统计上报相关信息18.6万条,同时,应南平、福州、宁德、漳州等地市人民政府需求,梳理细分所在地市相关信息,助力福建省各市县疫情精准防控。”
国外疫情防控中的电信运营商数据角色
实际上,在国外的疫情防控中,电信运营商所掌握的数据也经常派上重要用场。以下是从数篇国外文献中总结出来的,通话明细记录(Call Detail Records, 简称CDRs)的利用路径。
通话明细记录(Call Detail Records, 简称CDRs),即由电话交换机或其他电信设备产生的数据记录,该数据记录记录了通过该设备的电话呼叫或其他电信交易的详细信息(例如,发短信、连接互联网等)。CDRs主要记录了呼叫或其他电信交易的各种属性,例如发起时间、持续时间、完成状态、源号码和目的地号码等。
对于通过CDRs来开展接触追踪,最重要的是CDRs中的基站位置信息。通过接入的基站信息,就能够获得设备的粗略地理位置。显然,基站信息不如GPS位置信息来得精准。而且在城市地区,由于基站相对密集,因此通过基站位置反推设备的位置信息分辨率更高(通常分辨率高达50–100m),但农村地区由于基站较少,因此反推的设备位置信息分辨率较低。
此外,CDRs需依赖于用户使用其移动通信设备,如果设备处于未使用状态,就不会产生CDRs。但电信运营商也可通过主动发送短消息服务(SMS),来“激活”设备使其产生活跃的数据。
从国外文献中得知,一般来说移动网络运营商通常会保留至少3个月的CDRs。因此通过CDRs,无论是做前溯,还是持续追踪,都非常有用。但这个方法的缺点是社会经济地位较低的人、儿童和老年人的代表性可能不足,偏远农村地区的地理位置分辨率较低等。
在过往的疫情研究中,外国研究者已经在使用移动网络运营商提供的CDRs来映射人群的行踪轨迹。例如,在塞内加尔,研究人员使用15万用户的手机数据来建立一种流行病学模型,强调了群众聚集对霍乱传播的影响。
从电信运营商角度来说,将其已经掌握的CDRs数据用于疫情控制,主要存在的障碍是,电信运营商需要与第三方(政府机关、研究机构等)共享上述数据,存在个人信息保护方面的风险。
为此,全球移动通信系统协会(Global System for Mobile communications Association,GSMA,全球移动通信领域的行业组织,也是世界移动通信界的三大国际组织之一)在2014年发布了《GSMA关于埃博拉疫情响应中数据使用的隐私保护指引》(GSMA guidelines on the protection of privacy in the use of mobile phone data for responding to the Ebola outbreak)。在此笔者提供全文翻译:
引言
在使用通话明细记录(CDRs)协助应对埃博拉疫情时,移动运营商希望能够尊重和保护用户隐私,并能够应对相关风险。本文概述了移动运营商在为应对埃博拉疫情等特殊情况下使用用户移动数据时应当采取的隐私保护标准。
移动运营商应当对通话明细记录进行匿名化处理,并采取有力的技术和组织措施防止未经授权的访问和使用。第三方(包括研究机构、救援机构和政府)对匿名记录的分析、对分析结果的共享应当在以本文件为基础制定的法律合同下进行。
特别是:
1.对于用户发送、接收呼叫或短信的电话号码,移动运营商应当在其自有场所和自有设备上进行匿名化处理。该操作可以在进行分析前通过匿名代码替换手机号码实现,可以通过使用安全的SHA-3算法的哈希处理实现。
2.匿名化的通话明细记录不应传输至移动运营商的系统/场所之外:匿名后的数据应当在移动运营商的场所内确保安全,并加密存储。对此类数据的访问应当限于预先批准并已获授权的人员。数据访问记录应当保留并可审计。算法访问和数据解密的能力应当局限于预先批准并已获授权人员,以此实现进一步的安全保护。
3.所有的分析应当在移动运营商系统中、场所和运营商的监督下进行。移动运营商采取匿名处理后,数据可以由经批准的且已承诺严格遵守数据使用伦理标准的研究机构进行分析。
4.不得采取任何试图重新识别特定个人的分析操作。不得尝试将此类数据与其他个人数据、其他可能影响隐私保护或产生其他损害的数据相关联。
5. 只有分析的相应结果(例如经分析获得的人口流动预估、汇总数据、指标等非敏感数据)方可允许经批准的援助机构、政府或研究机构用于建模和规划等工作。任何敏感数据不得与第三方共享或向第三方提供。
附件—定义
通话明细记录——在移动运营商网络中产生的语音呼叫或短信息的记录,包括拨打和接收方手机号码、日期、时间、通话时长以及低分辨率位置信息(最近的手机基站位置)
匿名通信数据记录——前述包含有个人信息(如手机号码、用户信息)的数据进行去标识化后处理。
流动性估算——基于匿名CDR数据的分析得出的总体人口流动性统计信息,其中不包含任何个人信息或其他敏感信息。
在笔者看来,GSMA提出上述安全原则过于严格,不过也可理解。它是站在行业协会的角度,代表了行业的利益,不过其提出的安全原则,还是具备一定的借鉴意义。
其实,无论是CDRs数据还是互联网公司的数据,其与第三方共享均需要遵循个人信息保护的基本法理,也就是说需要“合法性基础+后续的安全保护措施”。GSMA直接提出应当匿名化数据,不一定符合现实中接触追踪的需要,也不是法律上的必然要求,例如上一篇文章中所提到的欧盟实践,即是允许共享必要的个人信息。
下一篇文章,我们将关注域外在出于公共卫生目的而共享个人信息方面的立法和逻辑。
(编辑:祝乃娟)