传染病疫情防控与个人信息保护初探之五:电信数据的安全规范
前言
在数字时代,将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中,我们也在公开媒体中初步见到了大数据技术在这方面的威力。
比如百度推出了【百度迁徙升级版上线,人口迁徙大数据向公众开放】。第一财经等媒体也利用百度迁徙地图,就武汉人流进行了专门的报道:【500万人离开了武汉,他们都去了哪儿?】
如果说上述实践中主要展示了集合性数据(aggregated data),基本上不存在个人信息保护风险的话,部分新闻媒体报道中披露出的直接披露、共享武汉人民个人信息的做法(例如【武汉人是否还应该有隐私?】),就存在违法违规的风险。
本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。在文章中,很多时候是提出问题,但确切的答案,我自己也没有。请大家见谅。此前已经发出的该系列文章:
本系列第四篇文章主要分析了欧盟在接触追踪方面的数据安全和个人信息保护方面的设计,第三篇文章主要分析了利用互联网方面的大数据用于接触追踪的可行思路。实际上,电信运营商掌握的个人信息,对接触追踪也能起到非常重要的作用。本篇主要探讨这方面的实践和数据安全规范。
首先注意到工信部已经紧锣密鼓地行动起来了。例如,【工信部调度部署疫情防控大数据支撑服务工作】中,陈肇雄强调,
【福建管局调度部署落实疫情防控大数据支撑服务工作】中报道,
截至25日18时,福建省通信管理局根据工业和信息化部要求,已组织省内三家基础电信企业运用大数据分析,加强对流动人员的疫情监测,收集统计上报相关信息18.6万条,同时,应南平、福州、宁德、漳州等地市人民政府需求,梳理细分所在地市相关信息,助力福建省各市县疫情精准防控。
实际上,在国外的疫情防控中,电信运营商所掌握的数据也经常派上重要用场。以下是从数篇国外文献中总结出来的,通话明细记录(Call Detail Records, 简称CDRs)的利用路径。
通话明细记录(Call Detail Records, 简称CDRs),即由电话交换机或其他电信设备产生的数据记录,该数据记录记录了通过该设备的电话呼叫或其他电信交易的详细信息(例如,发短信、连接互联网等)。CDRs主要记录了呼叫或其他电信交易的各种属性,例如发起时间、持续时间、完成状态、源号码和目的地号码等。
对于通过CDRs来开展接触追踪,最重要的是CDRs中的基站位置信息。通过接入的基站信息,就能够获得设备的粗略地理位置。显然,基站信息不如GPS位置信息来得精准。而且在城市地区,由于基站相对密集,因此通过基站位置反推设备的位置信息分辨率更高(通常分辨率高达50–100m),但农村地区由于基站较少,因此反推的设备位置信息分辨率较低。
此外,CDRs需依赖于用户使用其移动通信设备,如果设备处于未使用状态,就不会产生CDRs。但电信运营商也可通过主动发送短消息服务(SMS),来“激活”设备使其产生活跃的数据。
从国外文献中得知,一般来说移动网络运营商通常会保留至少3个月的CDRs。因此通过CDRs,无论是做前溯,还是持续追踪,都非常有用。但这个方法的缺点是社会经济地位较低的人、儿童和老年人的代表性可能不足,偏远农村地区的地理位置分辨率较低等。
在过往的疫情研究中,外国研究者已经在使用移动网络运营商提供的CDRs来映射人群的行踪轨迹。例如,在塞内加尔,研究人员使用15万用户的手机数据来建立一种流行病学模型,强调了群众聚集对霍乱传播的影响。
参考文献:
Wesolowski A, Buckee CO, Engø-Monsen K, Metcalf CJE. Connecting mobility to infectious diseases: The promise and limits of mobile phone data. J Infect Dis. 2016; 214(suppl_4): S414–20.
Erikson SL. Cell phones—self and other problems with big data detection and containment during epidemics. Med Anthropol Q. 2018; 32:315–39.
Sangokoya D, Letouzé E, Data-Pop Alliance. How to use big data? Leading experts’ roadmap to data-driven innovation projects. Vodafone Institute for Society and Communications, editors. Berlin: Vodafone Institute; 2017
从电信运营商角度来说,将其已经掌握的CDRs数据用于疫情控制,主要存在的障碍是,电信运营商需要与第三方(政府机关、研究机构等)共享上述数据,存在个人信息保护方面的风险。
为此,全球移动通信系统协会(Global System for Mobile communications Association,GSMA,全球移动通信领域的行业组织,也是世界移动通信界的三大国际组织之一)在2014年发布了《GSMA关于埃博拉疫情响应中数据使用的隐私保护指引》(GSMA guidelines on the protection of privacy in the use of mobile phone data for responding to the Ebola outbreak)。在此笔者提供全文翻译:
在使用通话明细记录(CDRs)协助应对埃博拉疫情时,移动运营商希望能够尊重和保护用户隐私,并能够应对相关风险。本文概述了移动运营商在为应对埃博拉疫情等特殊情况下使用用户移动数据时应当采取的隐私保护标准。
移动运营商应当对通话明细记录进行匿名化处理,并采取有力的技术和组织措施防止未经授权的访问和使用。第三方(包括研究机构、救援机构和政府)对匿名记录的分析、对分析结果的共享应当在以本文件为基础制定的法律合同下进行。
特别是,
1.对于用户发送、接收呼叫或短信的电话号码,移动运营商应当在其自有场所和自有设备上进行匿名化处理。该操作可以在进行分析前通过匿名代码替换手机号码实现,可以通过使用安全的SHA-3算法的哈希处理实现。
2.匿名化的通话明细记录不应传输至移动运营商的系统/场所之外:匿名后的数据应当在移动运营商的场所内确保安全,并加密存储。对此类数据的访问应当限于预先批准并已获授权的人员。数据访问记录应当保留并可审计。算法访问和数据解密的能力应当局限于预先批准并已获授权人员,以此实现进一步的安全保护。
3.所有的分析应当在移动运营商系统中、场所和运营商的监督下进行。移动运营商采取匿名处理后,数据可以由经批准的且已承诺严格遵守数据使用伦理标准的研究机构进行分析。
4.不得采取任何试图重新识别特定个人的分析操作。不得尝试将此类数据与其他个人数据、其他可能影响隐私保护或产生其他损害的数据相关联。
5. 只有分析的相应结果(例如经分析获得的人口流动预估、汇总数据、指标等非敏感数据)方可允许经批准的援助机构、政府或研究机构用于建模和规划等工作。任何敏感数据不得与第三方共享或向第三方提供。
附件—定义
通话明细记录——在移动运营商网络中产生的语音呼叫或短信息的记录,包括拨打和接收方手机号码、日期、时间、通话时长以及低分辨率位置信息(最近的手机基站位置)
匿名通信数据记录——前述包含有个人信息(如手机号码、用户信息)的数据进行去标识化后处理。
流动性估算——基于匿名CDR数据的分析得出的总体人口流动性统计信息,其中不包含任何个人信息或其他敏感信息。
在笔者看来,GSMA提出上述安全原则过于严格,不过也可理解。它是站在行业协会的角度,代表了行业的利益,不过其提出的安全原则,还是具备一定的借鉴意义。
其实,无论是CDRs数据还是互联网公司的数据,其与第三方共享均需要遵循个人信息保护的基本法理,也就是说需要“合法性基础+后续的安全保护措施”。GSMA直接提出应当匿名化数据,不一定符合现实中接触追踪的需要,也不是法律上的必然要求,例如上一篇文章中所提到的欧盟实践,即是允许共享必要的个人信息。
下一篇文章,我们将关注域外在出于公共卫生目而共享个人信息方面的立法和逻辑。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点