智慧城市應用范圍廣，包括智慧政務、智慧交通、智慧醫(yī)療、智慧物流、智慧教育、智慧社區(qū)、智慧公共服務等眾多細分領域，在從事這些應用的建設、管理以及提供服務的過程中，均會大量采集、存儲、傳輸、使用敏感信息。與此同時，由于智慧城市建設集成了移動互聯(lián)網、物聯(lián)網、云計算、大數據等眾多新一代信息技術，這些敏感信息因此具備數據量大、數據類型多、采集節(jié)點復雜、傳輸途徑多、使用范圍廣等眾多新特點。

 

　　目前，國際范圍內對于智慧城市涉及的敏感信息尚沒有通用的分級分類標準。從信息的產生者角度考慮，可以按照產生敏感信息的主體進行分類，智慧城市敏感信息包括個人、企業(yè)、政府的敏感信息。政府敏感信息包括政府內部管理信息和政府行政信息；企業(yè)敏感信息包括企業(yè)商業(yè)秘密和企業(yè)運行信息；個人敏感信息包括自然人身份和標識信息、個人虛擬身份信息以及包括個人健康信息、位置信息等在內的使用智慧城市服務相關信息。

 

 

　　智慧城市總體架構由感知和延伸層、網絡和信息設施層、數據和平臺層、應用層組成，四層架構的實現需要在感知、網絡、計算、存儲等多方面進行軟硬件設備和系統(tǒng)建設，依托于這些基礎設施和信息技術的建設實施，智慧城市信息的采集、傳輸、存儲、使用得以實現。在智慧城市運行的過程中，這些基礎設施面臨的安全風險給智慧城市敏感信息保護帶來了很大的挑戰(zhàn)。

 

　　在感知和延伸層，傳感器節(jié)點極易成為不法分子的攻擊對象，數據包的跟蹤截獲將可能導致敏感信息泄露。在網絡和信息設施層，專用網、公眾網、計算和存儲設施均面臨著大量的攻擊威脅，一旦網絡和基礎設施被攻擊劫持將可能導致敏感信息泄露。在數據和平臺層，基礎數據庫、行業(yè)數據庫、公共支撐平臺等基礎平臺的數據安全保障是決定敏感信息能否得到有效保護的關鍵。在應用層，接入智慧城市的行業(yè)終端眾多，業(yè)務系統(tǒng)管理認證機制和安全防護策略建設參差不齊，業(yè)務應用敏感信息同樣面臨巨大風險。

 

　　四維度推進信息保護工作

 

　　——推動敏感信息保護法律法規(guī)建設

 

　　智慧城市離不開公民的參與，公民個人信息是智慧城市敏感信息的重要組成部分。我國目前尚沒有獨立的個人信息保護立法，相關條款分散在眾多法律文件中。眾多行業(yè)部門的政府規(guī)章對于個人信息提出了明確的原則性要求，但配套細化的標準文件還需完善。

 

　　建議推動《網絡安全法》、《個人信息保護法》等法律規(guī)定盡快出臺，對政府、企業(yè)、個人的敏感信息保護提出法律條文規(guī)定，并結合未來信息服務多樣化特性，體系化推進政府規(guī)章、條令以及行業(yè)管理辦法的制定，提出細化到智慧城市服務的管理要求，確保智慧城市敏感信息保護的有法可依。

 

　　——制定與智慧城市產業(yè)發(fā)展相適應的敏感信息保護監(jiān)管策略

 

　　建議國家智慧城市建設相關部門建立聯(lián)合管理機制，統(tǒng)籌智慧城市信息安全管理，強化信息采集、傳輸、存儲、使用的全生命周期監(jiān)管，制定智慧城市敏感信息保護規(guī)則，合理定義智慧城市敏感信息范圍和邊界，明確智慧城市敏感信息的保護要求和開放規(guī)則。

 

　　與此同時，建立常態(tài)監(jiān)測機制，強化智慧城市敏感信息保護監(jiān)測，對智慧城市信息使用規(guī)范性進行常態(tài)監(jiān)測，及時發(fā)現和解決問題，引導智慧城市產業(yè)健康發(fā)展。

 

　　——推進敏感信息保護標準體系與技術支撐手段建設

 

　　建議推動智慧城市敏感信息保護標準體系建設，強化敏感信息保護標準指引，細化管理和技術標準要求。加快對智慧城市敏感信息分類、智慧城市服務敏感信息保護等方面的標準研究。

 

　　與此同時，強化智慧城市敏感信息保護技術支撐保障，加強對智慧城市傳感器、網絡設備、數據存儲服務器等重要基礎設施的安全防護。推動配套檢測技術建立，完善智慧城市檢測認證體系，通過科學規(guī)范的安全檢測有效抵御智慧城市敏感信息安全風險。

 

　　——倡導行業(yè)自律意識和公民個人信息保護意識提升

 

　　建議通過聯(lián)盟或行業(yè)協(xié)會的力量，推動智慧城市相關企業(yè)增強敏感信息保護自律意識。加強對智慧城市全產業(yè)鏈的敏感信息保護法規(guī)政策宣貫，包括對設備供應方、基礎設施建設方、企業(yè)運營管理方、應用服務提供方等利益相關方的政策宣貫，推動智慧城市行業(yè)敏感信息保護自律，促進行業(yè)內形成良好的敏感信息保護氛圍。

 

　　與此同時，結合智慧城市可能遇到的個人信息保護問題和案例，加強對公民的宣傳教育，提升公民的個人信息保護意識，進而從源頭抵御個人信息泄露風險，遏制從事個人信息倒賣的灰色產業(yè)鏈發(fā)展，促進智慧城市的敏感信息保護。

 

 

　　在2009年IBM首次提出“智慧地球”概念后，世界范圍內掀起了“智慧城市”建設的熱潮，美國、歐盟、日本等發(fā)達國家和地區(qū)積極投入智慧城市建設。截至目前，美歐日等國家雖然沒有專門針對智慧城市涉及的敏感信息進行保護機制建設，但這些國家在政府敏感數據和個人敏感信息保護方面的法律法規(guī)、監(jiān)管機制建設相比我國更為完善，對于我國加強智慧城市敏感信息保護具有重要的借鑒意義。

 

　　美國針對“敏感信息”專門制定管理法規(guī)，建立了嚴密的“敏感信息”管理權責體系。美國“敏感信息”管理法規(guī)的全稱是《受控非密信息》13556號總統(tǒng)令，2010年11月4日由奧巴馬總統(tǒng)發(fā)布，強調美國“敏感信息”管理涉及從安全、隱私到商業(yè)利益的方方面面。美國“敏感信息”管理總統(tǒng)令旨在聯(lián)邦政府建立公開、統(tǒng)一的“敏感信息”管理框架，指定美國檔案與文件管理局為“敏感信息”管理部門，要求其協(xié)調聯(lián)邦政府相關行政部門建立“敏感信息”類別，并根據需要建立子類別。與此同時，總統(tǒng)令要求建立“敏感信息”在保護、傳播、教育培訓、爭議調解等方面的規(guī)范標準建立，要求政府各機構公開發(fā)布其掌握的“敏感信息”類別及子類別，促進“敏感信息”的流程規(guī)范和透明化管理。

 

　　歐盟依托完備的法律，嚴格保護歐洲公民個人信息。歐盟針對所有成員國發(fā)布了《關于在電子通信領域個人數據處理及保護隱私權的指令》，并且在1995年出臺《歐盟個人數據保護指令》，協(xié)調各國國內法以確保個人信息在歐盟范圍內的全面保護和安全的自由流動。2016年4月14日，歐洲議會正式宣布投票支持新的數據保護法《通用數據保護規(guī)則》，要求歐盟的所有公司必須負責個人數據保護。在新的數據保護規(guī)則下，公司必須確保在默認狀態(tài)下自己的產品和服務盡可能少的獲取和處理個人信息。公司必須獲得用戶“清晰明確的”同意才能處理他們的個人數據，并且數據將用于什么用途必須以“清晰直白的語言”陳述清楚。除了針對公司更加嚴格的規(guī)則，《通用數據保護規(guī)則》還讓歐盟公民對自己的個人數據獲得更大的控制權，包括“數據可攜帶性”和“被遺忘權”。此外，歐盟和美國正在研究Privacy Shield隱私保護法案，取代已經失效的安全港協(xié)議，主導大西洋兩岸個人數據的移動和使用。

 

（作者：于潤東，中國信息通信研究院技術與標準研究所）