ID:liyuanhe211
平台:bilibili
联系方式:liyuanhecpy@gmail.com
回到目录

近期这些大规模数据泄露的责任方不乏专业的大数据管理机构(如上海大数据平台,上海警方),其管理水平和信息技术水平基本体现了中国(一般)政府组织能达到的最高水平。

即使这一水平还可提高,也高不到可以安全管理个人信息的程度。一般公认头部互联网公司的数据安全措施高于绝大部分政府部门。但近年来,各国大型互联网公司仍不断出现百万以上数量级的用户信息泄漏事件。这些互联网公司的数据安全关系到重大经济利益,它们在保护数据资源方面的经济投入远高于任何可能由税收支持的政府机构,掌握该方面最先进的技术;但它们尚不能使得用户信息不被泄露。这说明让政府建立的“统一的大数据管理机构”充分保护个人信息安全缺乏技术可行性。

这就是信息安全领域的一个说法,“只要集中收集、存储足够有价值的信息,就早晚会泄露”。保护个人信息的唯一方法是不(集中)收集非匿名化的个人信息。这一原则与个人信息使用的批准流程和负责机构无关。

美国开发的基于蓝牙的新冠密接监测系统是这一原则的一个实施案例。其粗略的原理是每台手机不断生成随机变化的滚动 ID,并通过蓝牙向周围数米内的蓝牙设备广播;每台手机同时记录其接收到的其他人发送的滚动 ID。有人检测阳性后,即将自己在患病期间产生的特征码上传至服务器,他人可定期从服务器上下载阳性患者的特征码列表进行对比。

这一架构实现了:

0、使健康人了解其与密接者的接近位置关系和共处时间长短。

1、除患者外,任何信息都只存储在个人手机上。服务器只知道阳性患者 14 天内的特征码,无法知道其他用户信息,无法知道患者的身份和绝对/相对位置。

2、其他用户只拥有身边数米内用户在相应时间段的滚动 ID,脱离接触后即接收不到相应信息。

3、 除非通过其他手段记录相应场所的人员访问记录,难以逆推得出阳性患者身份。对于节目中提到的一些其他隐私数据管理问题也可以使用类似思路实现匿名化、本地化。

针对疫情防控,美国的蓝牙密接监测未能实施的主要因素是缺乏强制性、用户密度不足。我国不存在相应问题,仅需向服务器上传少数无法逆推的加密特征保证用户篡改本地数据后会被发现就可以了(如定期上传本地接触列表的一个 hash)。我们可以实现健康码的匿名化、本地化。

对于“到达危险区域即报警的儿童手表”,不应该允许厂商收集儿童位置信息, 而应当在危险区域附近架设警报设备,儿童手表检测到警报设备信号后向家长或警方电话通知。如果未接到警报设备信号即不向外界发送任何信息。

对于网络上需要注册验证身份信息的,由公安部开发,使用类似 OAuth 的思路实现网站可验证身份,但无法逆推得出身份信息。

再如对于大规模社会监控,对面向特定范围人群的监控设施(如小区内、公司园区内的监控),应当加密离线存储于视频摄录地点,视频加密密钥保存于摄录地点附近的负责机构手中,需要调阅的政府部门经某种程序审查后索取密钥才能解密复制指定视频,索取密钥时应保证该范围内人群知晓每次调取监控的行为、并在一定时间内知晓调阅原因。

综上,在基本不影响相应设施功能的前提下,我们可以在很大程度上用匿名化、本地化的策略代替集中的数据收集管理机构,从根源上避免个人身份数据泄露问题,保护个人隐私,减少电信诈骗、身份盗用等案件的发生。

相关链接:

随申码数据泄露售卖原始网页
志愿中国/志愿汇数据泄露网页
明星“健康宝照片”遭泄露 1 元可买 1000 位艺人身份证号 | 人民日报评论
上海警务数据库据称被脱裤,泄露 23.88TB 数据 (曾有媒体报道此事,但现已删除)
罚款 80.26 亿元!国家网信办对滴滴依法作出网络安全审查相关行政处罚
近年主要数据泄露事件
Privacy-Preserving Contact Tracing 技术手册

马督工点评:也请观众评价。

回到目录