智慧城市安全体系中个人信息安全的风险与防范

秘浩

（中移系统集成有限公司）

1 引言

智慧城市是互联网、云计算、物联网、大数据、人工智能等新一代信息技术支撑下的信息化表现形态，其全面整合城市的运营与管理数据，是由多个智慧应用系统有机组成的综合体。据统计，我国开展的智慧城市、信息惠民、信息消费等相关试点城市超过500 个，超过89%的地级城市、47%的县级及以上城市均提出建设智慧城市。

个人信息安全是数字经济得以发展的重要基础，随着大数据和人工智能技术的逐渐成熟及在智慧城市建设中的落地应用，将原本隐蔽在各个部门及行业的个人信息，如健康档案、财产信息、身份信息、行程信息等均浮现出来，这些信息如被非法获取和使用，将使城市居民的合法权益受到极大威胁。

智慧城市安全体系建设需充分考虑个人信息安全防护，保障每个公民的隐私权、知情权、选择权、公平交易权、安全保障权等多项权益，保障整个社会利益和公共安全。

2 背景及现状

2.1 个人信息安全背景

近年来，个人信息安全问题受到社会关注，商家人脸识别、简历大数据、专坑老年人的手机“清理”软件、搜索引擎及浏览器虚假医药广告等一系列触目惊心的隐私侵犯违法违规行为被曝光。个人信息泄露、买卖、精准诈骗的黑色产业链已经形成，数字经济时代，“信息”成为宝贵的社会资源，如何加强个人信息保护已成为当前亟待解决的痛点。

在今年两会期间，多位委员提出加强公民信息保护等个人信息安全方面的建议和提案，认为当前迫切需要加强个人信息数据应用的整治工作，要严格落实现有相关法规及标准，要加快完善对应的法律制度建设，进一步加强监管和执法，对侵犯个人隐私与个人信息安全的行为要严厉打击和惩处，要采取一系列措施加快构建个人信息安全的“防火墙”，让个人信息安全、让社会公众满意。

2.2 智慧城市安全体系现状

早在2019 年，《信息安全技术智慧城市安全体系体系框架》推荐性国家标准就已经发布，将智慧城市分为物联感知层、网络通信层、计算与存储层、数据及服务融合层、智慧应用层[1]，并提出在智慧城市安全体系的建设中，各层需应对与防范的各类信息安全风险和威胁，要与智慧城市同时设计、同时建设和同时运营。

本文从ICT技术视角，梳理当前智慧城市安全防护体系各层对应的安全技术及产品，并将各层统一于智慧城市安全基础支撑体系（见图1）。

图1 智慧城市安全防护体系

智慧城市的安全防护体系集成了各层安全技术及产品，基础安全支撑底座构建了一个信息安全监测管理与应急响应工作支撑的基础平台，实现对智慧城市各节点与出口、各应用及系统的全方位基础安全防护和监测，进行日志等数据采集，形成大数据分析，满足对整个智慧城市进行安全防护及监测的需要。

3 需求及挑战

3.1 法规标准规范

目前《个人信息保护法（草案）》已提请全国人大常委会审议，这意味着该法即将颁布和实施，对于规范机构依法依规采集、使用个人信息，将起到非常重要的作用，对个人敏感信息的处理规则、国家机关处理个人信息的特别规定、个人信息跨境提供的规则等都进行了明确约定，对公民个人信息的权利和义务进行了阐述。

同时，针对互联网App对个人信息的采集，在国家互联网信息办公室的统筹指导下，工业和信息化部会同公安部、市场监管总局下发了《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》，规定中明确了“知情同意”和“最小必要”两项重要原则，约定凡是在境内开展App个人信息处理活动均应遵守，个人信息处理指移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的各种活动，强调了App个人信息处理活动应当采用合法、正当方式，不得通过欺骗、误导等方式处理。

2020年10月起正式实施的推荐性国家标准《信息安全技术个人信息安全规范》被评为2020 年中国网络安全大事件，其中明确了个人信息安全的“最小化”和“告知同意”等基本原则，对个人信息的收集、存储、使用、共享及转让公开等进行了规范性要求[2]，对个人信息主体的权力也进行了说明。

3.2 面临问题

智慧城市给城市居民生活带来便利的同时，也增加了国家及个人信息泄露的风险。由于智慧城市应用中采集了大量的国家基础设施、政务、行业等数据，如果基础设施数据被其他国家获取并进行分析，将会对国家安全、社会安全以及个人信息安全产生巨大危害。智慧城市中的个人信息数据安全挑战主要来自数据采集、数据传输、数据存储、数据使用等方面。

个人信息的采集：智慧城市的感知层像触手一样延伸到城市的每一个角落，平安城市、雪亮工程中的各种摄像头；公路及高速公路的各种卡口；无处不在的运营商无线网络；办理政务时个人证件信息；酒店住宿的登记信息；各种手机APP 等等，移动互联网和物联网技术的发展，使得各种感知设备也越来越普及，采集个人信息变得越来越容易和方便，这些感知设备的安全运行和采集行为本身的合法性，迫切需要进一步明确。

个人信息的传输：智慧城市的传输层随着5G 和物联网的加速推进，更多的智慧应用应运而生，感知层所采集的个人信息的传输，也面临前所未有的挑战。除5G 网络本身的安全之外，在数据的传输上也需基于新的应用场景，在传统的认证、加密等技术手段之外，采用更多技术措施，防止在传输过程中被泄露、窃取、篡改、伪造等。

个人信息的存储：在各信息系统的“烟囱”形态下，个人信息一直隐藏在各个信息系统中，而智慧城市的大数据中心会将这些信息进行集中和整合，这将使个人信息不再分散，通过关联分析，原来隐藏的个人信息将无所遁形，大数据技术的落地应用，将使个人信息的存储面临更多困难，大数据本身的安全至关重要。

个人信息的使用：智慧城市的应用层将大数据分析获得的信息转换为知识，并将知识与信息技术融合起来，应用到各行各业，形成各类智慧应用，如政务、交通、能源、医疗、金融、环保等，在个人信息的使用中，需要防止“大数据杀熟”等过度消费个人信息的行为，同时需要基于不同应用场景进行分级分类，需要不同程度的个人信息。

除以上个人信息生命周期环节外，在加工、公开、销毁等方面，也面临较多安全问题，因此，智慧城市的安全体系建设，需要在个人信息安全方面，进行统一规划和设计，充分考虑新一代信息技术带来的个人信息安全问题。

4 安全风险与防范方案

在智慧城市运行过程中，城市民生等数据被采集、传输、存储、使用、处理、归档等，其来源众多、数据量巨大、数据增长速度快，需有效管控与防范信息安全风险，完备的个人信息安全防护手段是智慧城市安全体系建设中非常重要的一环（见图2）。

图2 个人信息数据生命周期安全

4.1 健全智慧城市安全体系

在感知层，需防控在用户不知情情况下，通过感知终端窃取个人隐私信息，并从中获益；在网络层，需加强个人信息的完整性、实用性和信息传输过程的保密性，规避网络威胁或黑客威胁；在数据层，需防范各种应用及用户的越权行为或隐私泄露等危险，因智慧城市信息高度的集中和关联，个人隐私信息的泄露甚至可能会引发巨大的社会利益损失；在应用层，应遵循高度相关和紧密连接的个人信息和更加智能的数据分析方法，提供更加智能的用户个性化服务，积极防控各种影响个人信息安全的问题。

4.2 个人信息去标识化

我国当前个人信息保护主要围绕“告知同意”原则，2020年1月，全国信息安全标准化技术委员会发布了《信息安全技术个人信息告知同意指南（征求意见稿）》，是个人信息领域最为重要的国家标准之一。今年4月12日，全国信息安全标准化技术委员会发布《信息安全技术个人信息去标识化效果分级评估规范》征求意见稿，就《个人信息保护法（草案）》对个人信息处理者提出了应采取相应的加密、去标识化等安全技术措施的说明，重点提出了个人信息标识度分级和评定方法，规范中根据重标识（把去标识化的数据集重新关联到原始个人信息主体的过程）的风险从高到低，将个人信息标识度分为四级，在保护个人信息安全的前提下促进数据的共享使用，细化个人信息不同分级的安全措施。

已知的去标识化技术和方法包括变换、匿名模型及数据评估等，目前主流应用的是变换技术及方法，即用变换后的数据代替原有的数据，达到一定的个人信息保护效果，常用的变换方法包括屏蔽、随机、泛化、加密等。

4.3 整合区块链技术

区块链技术的发展逐渐成熟，为个人信息安全防护提供了新的技术手段，区块链本质上是不可篡改的分散式交易数据库，确保任何人都不能修改之前的交易记录。将BAAS 能力集成在智慧城市安全体系中，可以作为可追溯、不可篡改的信任机制，将个人信息的采集、授权、访问等行为数据上链，可大大缓解人民群众对于智慧城市数据的隐私安全保护方面的忧虑。

目前，在感知设备接入、认证授权、个体信息控制、追溯等方面，已有多个国家政府及企业尝试采用区块链技术，比如，在政府的各个部门数据共享场景中，采用数据上链方式，可以促进“以个人为中心”的汇聚意愿以及个体对数据使用的话语权，能够激活更多围绕个人的智慧城市应用场景。

4.4 定期开展个人信息安全影响评估

《信息安全技术个人信息安全影响评估指南》中指出，个人信息安全影响评估针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险，能够加强对个人信息主体权益的保护，有利于组织展示其保护个人信息安全的努力，提升透明度，增进个人信息主体对其的信任。

根据《信息安全技术个人信息安全规范》及行业惯例，组织应当在隐私政策中披露个人信息保护有关措施。其中一个重要的保护措施，就是向用户公示个人信息风险评估报告的内容，让用户充分了解个人信息的风险程度和建议[3]。在智慧城市的安全体系中，包含安全风险评估工作，需增加个人信息安全的评估内容，并在风险评估报告中予以体现。

个人信息风险评估工作可融合在现有智慧城市风险评估工作中，主要过程可包括：

①建立完整的个人信息风险评估流程，与各智慧应用就何时评估、评估什么等进行协同，并为各智慧应用提供评估流程的培训；

②建立个人信息风险分级评估程序，与各智慧应用共同确定组织相关数据，在不同的场景下采取何种评估程序和模型，从成本及效率的角度综合考虑；

③明确个人信息风险评估组织，可采用自身组织评估及第三方评估的方式，由安全小组统一管理；

④通过积累评估经验，确立符合智慧城市各智慧应用特点的个人信息风险评估指标体系。

5 结语

加强数据安全管理是促进数字经济发展不可或缺的内容，Google、苹果、华为等头部系统集成厂商，纷纷发布了自己的隐私保护白皮书，强调自己的隐私保护技术。智慧城市的安全体系需要顺应大势，做好个人信息安全风险防控，防止违规收集、获取、使用个人信息，要充分考虑相关法规和标准规范要求，分析智慧应用和个人信息数据安全独特之处，理顺与数据和应用之间的关系，在确保个人信息安全的同时，保证智慧应用价值的实现；同时，积极推进智慧城市数据分级与去标识化，确保各部门在开放和共享数据时，确保数据安全和公民个人隐私安全。