區(qū)塊鏈賦能突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護研究

周 鑫 張 靜 謝 津 劉海鷗

(1.燕山大學(xué)經(jīng)濟管理學(xué)院，河北 秦皇島 066004；2.河北環(huán)境工程學(xué)院，河北 秦皇島 066100)

2020年初新冠肺炎疫情暴發(fā)，突發(fā)公共衛(wèi)生事件的復(fù)雜性與不確定性給國家治理帶來了嚴峻考驗，凸顯了政府?dāng)?shù)據(jù)開放共享過程中的隱私安全問題[1]。突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)與隱私風(fēng)險之間的矛盾成為數(shù)據(jù)化治理手段持續(xù)健康應(yīng)用的阻礙，如何保障數(shù)據(jù)隱私安全對推進我國突發(fā)公共衛(wèi)生事件數(shù)字化精準治理具有重要意義。本文的研究目的旨在深入貫徹黨的十九屆四中全會與六中全會精神，“探索建立適應(yīng)區(qū)塊鏈技術(shù)機制的安全保障體系，加強對區(qū)塊鏈安全風(fēng)險的研究和分析”，同時落實習(xí)近平總書記和黨中央、國務(wù)院關(guān)于做好突發(fā)事件防控工作的安排部署，全面挖掘區(qū)塊鏈理論在突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護與數(shù)據(jù)化精準治理中的應(yīng)用價值，克服傳統(tǒng)管理體系的技術(shù)弊端，突破現(xiàn)有突發(fā)公共衛(wèi)生事件數(shù)據(jù)開放共享的難點和痛點，提高突發(fā)公共衛(wèi)生事件事態(tài)防控的效率，具有一定的理論意義與應(yīng)用價值。

1 研究現(xiàn)狀

1.1 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)與隱私保護

開放數(shù)據(jù)是指社會大眾不受版權(quán)、專利等限制，可自由獲取、利用、分發(fā)，且能保持信息原始性的數(shù)據(jù)。在突發(fā)公共衛(wèi)生事件中，開放數(shù)據(jù)是公民了解事態(tài)發(fā)展最新動向的主要來源，對公民的工作和生活起到至關(guān)重要的作用[2]。我國各級政府及相應(yīng)疾控部門有權(quán)調(diào)用與突發(fā)公共衛(wèi)生事件相關(guān)的公民數(shù)據(jù)，但同時也必須做好公民的個人信息及隱私的數(shù)據(jù)保護工作。在開放數(shù)據(jù)的研究中，Harrison P W等[3]通過探討新冠疫情數(shù)據(jù)開放平臺搜索、可視化、反饋等功能，指出開放數(shù)據(jù)集可以使研究人員快速獲取相關(guān)數(shù)據(jù)，推動新冠病毒的研究工作。Shuja J等[4]通過對新冠肺炎疫情開源數(shù)據(jù)集的全面調(diào)查，指出了數(shù)據(jù)驅(qū)動人工智能的挑戰(zhàn)及對策，并為新冠病毒的研究指出新的方向。Hua J L等[5]以報紙和社交媒體等數(shù)字平臺為基礎(chǔ)，分析了中國在抗擊新冠肺炎疫情過程中運用的大數(shù)據(jù)技術(shù)，并指出信息流行問題是未來緩解全球問題的重要方向之一。趙蓉英等[6]通過對人民網(wǎng)、人民日報、央視新聞等官方媒體公眾號在突發(fā)公共衛(wèi)生事件期間發(fā)布的推送消息分析，揭示了官媒開放數(shù)據(jù)在疫情期間的公眾影響力與輿情監(jiān)控力。丁紅發(fā)等[7]從數(shù)據(jù)生命周期的角度，構(gòu)建了政府?dāng)?shù)據(jù)開放過程五階段模型，并從技術(shù)和管理兩個維度，分析了各個環(huán)節(jié)存在的數(shù)據(jù)安全和隱私保護問題，針對性地提出若干對策建議。郝文強[8]基于TOE理論框架展開省級政府疫情數(shù)據(jù)質(zhì)量的影響因素分析，發(fā)現(xiàn)疫情期間政府開放數(shù)據(jù)質(zhì)量受部門聯(lián)動、政策支持、領(lǐng)導(dǎo)動員等多因素共同影響。在數(shù)據(jù)隱私問題的研究中，Abeler J等[9]認為，在新冠肺炎肆虐全球期間，相比個人自由的一定限制和全球不濟的經(jīng)濟發(fā)展狀況來說，對數(shù)據(jù)保護的弱化可能更可取，但作者通過數(shù)據(jù)最小化分析，以提高相應(yīng)數(shù)據(jù)處理系統(tǒng)的有效性和效率，對公民的隱私信息進行最大程度的保護。Kolfschooten H等[10]以歐盟為主要研究對象，指出在追蹤疫情接觸者的相關(guān)數(shù)據(jù)時，公共衛(wèi)生事件措施和個人權(quán)利難以平衡。Li J等[11]闡述了一種基于智能合同和英特爾軟件保護擴展(SGX)的分布式隱私保護方法，以克服大數(shù)據(jù)在公共衛(wèi)生領(lǐng)域應(yīng)用的挑戰(zhàn)，并對其可行性進行論證分析。曾子明等[12]構(gòu)建了疫情管控中的公共衛(wèi)生突發(fā)事件情報體系，并在后續(xù)的管控保障體系中提出可利用自動脫敏技術(shù)將患者的隱私信息進行替換，以此保障患者的隱私安全。梅傲等[13]在研究日本突發(fā)公共衛(wèi)生事件信息管理過程中指出，政府不僅應(yīng)當(dāng)及時、多方、持續(xù)發(fā)布最新疫情信息，也需注重個人隱私的保護。此外，占南[14]指出，疫情防控過程中，“去隱私化”問題要引起重視，應(yīng)用大數(shù)據(jù)技術(shù)進行應(yīng)急執(zhí)法時要注意控制信息的末端傳播，從法制的角度控制隱私泄露流傳的途徑，從而保障數(shù)據(jù)安全。

1.2 區(qū)塊鏈在突發(fā)公共衛(wèi)生事件中的賦能應(yīng)用

區(qū)塊鏈技術(shù)在全球健康衛(wèi)生事件中的賦能應(yīng)用引起世界各國的高度關(guān)注，多位學(xué)者從不同角度進行了研究。Marbouh D等[15]通過分析區(qū)塊鏈技術(shù)在新冠肺炎疫情期間的應(yīng)用，提出可以跟蹤外來新冠肺炎數(shù)據(jù)的跟蹤系統(tǒng)，并驗證了其經(jīng)濟上的可行性，保證了數(shù)據(jù)的安全性、完整性、透明性和可追溯性。Jabarulla M Y等[16]在回顧新冠疫情期間面臨的數(shù)字醫(yī)療服務(wù)挑戰(zhàn)基礎(chǔ)上，構(gòu)建了一個基于區(qū)塊鏈賦能的醫(yī)療體系框架，旨在實現(xiàn)疫情數(shù)據(jù)的全程跟蹤與安全管理。Bhattacharya S等[17]指出，在全球衛(wèi)生緊急情況下，通過區(qū)塊鏈技術(shù)賦能可以共享患者數(shù)據(jù)、識別居民健康、促進快速決策，從而加強疾病監(jiān)測系統(tǒng)，實現(xiàn)遠程監(jiān)管，減輕全球疾病發(fā)病率和死亡率。此外，Ricci L等[18]融合了區(qū)塊鏈技術(shù)與密碼學(xué)技術(shù)，展開對新冠肺炎疫情期間位置、距離等因素影響下的密切接觸者追蹤以及疫苗接種證書認證與管理研究，為疫情期間的疫苗注射工作提供了指導(dǎo)。國內(nèi)研究中，顏嘉麒等[19]在系統(tǒng)性回顧我國傳染病的預(yù)警方法與系統(tǒng)基礎(chǔ)上，引入?yún)^(qū)塊鏈技術(shù)并構(gòu)建基于區(qū)塊鏈的傳染病預(yù)警與數(shù)據(jù)共享系統(tǒng)，拓寬了區(qū)塊鏈在傳染疾病領(lǐng)域中的賦能應(yīng)用。陳曉紅等[20]在探討我國現(xiàn)行公共衛(wèi)生安全應(yīng)急情報體系后，構(gòu)建了基于聯(lián)盟鏈的公共衛(wèi)生安全應(yīng)急情報共享模型，并以南京市疫情為例對聯(lián)盟鏈中應(yīng)急情報的流轉(zhuǎn)過程進行了模擬與驗證。胡劍等[21]利用區(qū)塊鏈技術(shù)特性構(gòu)建了重大公共衛(wèi)生事件應(yīng)急情報體系，通過區(qū)塊鏈賦能情報信息的安全存儲、開放共享、追蹤溯源、聯(lián)動預(yù)警等，為提升國家應(yīng)急治理能力提供了參考。

綜上所述，國內(nèi)外既有研究成果為本文提供了重要的思維啟迪與內(nèi)容借鑒。但是已有研究還存在可拓展的空間：一是針對突發(fā)公共衛(wèi)生事件這一特殊背景下隱私安全問題成因與對策的研究較為匱乏，以數(shù)據(jù)生命周期為視角，探討突發(fā)公共衛(wèi)生事件在數(shù)據(jù)生命周期各環(huán)節(jié)中的障礙及對策研究不足；二是關(guān)于區(qū)塊鏈賦能突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護的理論闡釋力不足，未能基于技術(shù)與管理雙重視角構(gòu)筑平衡突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)與隱私保護矛盾的賦能機制，而政府開放數(shù)據(jù)的隱私保護問題是信息系統(tǒng)與公共管理領(lǐng)域共同關(guān)注的話題，亟需結(jié)合技術(shù)應(yīng)用與管理手段雙重層面協(xié)同探討區(qū)塊鏈賦能突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護機制。鑒于此，本文從區(qū)塊鏈賦能視角出發(fā)，構(gòu)建融合區(qū)塊鏈技術(shù)的突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式，在此基礎(chǔ)上展開隱私保護的管理制度設(shè)計以彌補技術(shù)應(yīng)用的局限性，通過技術(shù)與管理的雙重路徑為數(shù)字社會背景下突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護提供實踐指引。

2 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私風(fēng)險及其區(qū)塊鏈賦能機理

2.1 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)面臨的隱私風(fēng)險

政策、技術(shù)、文化、商業(yè)環(huán)境等多維度因素引發(fā)了突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)的隱私泄露風(fēng)險，這種風(fēng)險存在于開放數(shù)據(jù)的全生命周期[22]。下文將按照數(shù)據(jù)采集與存儲、數(shù)據(jù)管理與維護、數(shù)據(jù)開放與共享以及數(shù)據(jù)利用與增值的數(shù)據(jù)生命周期演化過程，對突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)可能存在的隱私泄露風(fēng)險進行梳理。

1)數(shù)據(jù)采集與存儲——行為規(guī)范監(jiān)管失靈。突發(fā)公共衛(wèi)生事件治理過程中，參加數(shù)據(jù)收集的組織不僅包括各級政府部門、有權(quán)對疫情相關(guān)信息進行收集的醫(yī)療機構(gòu)、依法進行組織管理的基層自治組織，還包括能夠通過大數(shù)據(jù)分析技術(shù)對病毒傳播進行溯源和預(yù)測的各類商業(yè)組織、各種有助于疫情防控的應(yīng)用程序開發(fā)者、對來訪人員進行登記的各類公共場所經(jīng)營管理者等。眾多組織部門不僅會造成個人信息多方保存和多層管理的亂象，還意味著數(shù)據(jù)控制方的數(shù)據(jù)素養(yǎng)并不一致，存在數(shù)據(jù)控制方信息安全意識薄弱等問題[23]。很多數(shù)據(jù)采集者可能并未意識到所收集的個人信息存在隱私敏感性，缺乏信息安全保護的責(zé)任感，在數(shù)據(jù)操作監(jiān)管審計缺位的情況下，也不乏數(shù)據(jù)的惡意使用現(xiàn)象。數(shù)據(jù)的多方采集與保管為數(shù)據(jù)安全的監(jiān)管帶來了極大的不可控性，加劇了個人信息數(shù)據(jù)面臨的隱私泄露風(fēng)險，數(shù)據(jù)控制方的數(shù)據(jù)操作規(guī)范管理對數(shù)據(jù)隱私保護有著重要意義。

2)數(shù)據(jù)管理與維護——保存處理標準模糊。突發(fā)公共衛(wèi)生事件治理過程中所收集的數(shù)據(jù)不僅體量大，其數(shù)據(jù)格式種類也呈現(xiàn)多元異質(zhì)的特點，所涉及的隱私敏感程度也不一致，給數(shù)據(jù)管理單位帶來了巨大壓力。部分國家(地區(qū))已出臺專業(yè)詳細的一體化數(shù)據(jù)管理標準，但我國仍缺乏統(tǒng)一完備的政務(wù)數(shù)據(jù)管理標準，數(shù)據(jù)格式與存儲標準不盡一致，不同類型、不同隱私敏感程度的數(shù)據(jù)也缺乏差異化管理制度。部分地區(qū)或部門單獨制定了相關(guān)的數(shù)據(jù)分級分類指南，但區(qū)域、治理需求等差異化導(dǎo)致這些標準在文件格式、內(nèi)容結(jié)構(gòu)、處理流程等方面存在一定異質(zhì)性，全國范圍的數(shù)據(jù)采集、存儲、開放、安全等標準難以實現(xiàn)融合統(tǒng)一。這種規(guī)范性標準的缺失不僅導(dǎo)致開放過程中數(shù)據(jù)管理無章可循，造成數(shù)據(jù)的重復(fù)收集，增加了隱私風(fēng)險防范難度，也不利于大規(guī)模的數(shù)據(jù)共享與分析，為開放數(shù)據(jù)價值的深度挖掘造成了障礙。

3)數(shù)據(jù)開放與共享——安全傳輸意識薄弱。突發(fā)公共衛(wèi)生事件的數(shù)字化治理涉及海量數(shù)據(jù)的共享傳輸問題，數(shù)據(jù)傳輸環(huán)節(jié)可能由于操作不當(dāng)或被惡意攻擊導(dǎo)致數(shù)據(jù)被篡改，面臨較大安全風(fēng)險[24]。如工信、交通運輸、海關(guān)、衛(wèi)生健康等部門以及酒店住宿企業(yè)掌握了大量與人口流動、公共衛(wèi)生相關(guān)的數(shù)據(jù)，這些部門之間及時、準確、充分的數(shù)據(jù)共享有助于疫情防控預(yù)案的制定。疫情期間國家政務(wù)服務(wù)平臺推出的“防疫健康信息碼”通過將這些部門的數(shù)據(jù)集聚起來，對疫情期間的人口流動進行了有效管控，不僅提升了疫情防控效率，也方便了疫情期間公眾的出行?！敖】荡a”在全國范圍內(nèi)推廣使用的過程中匯集了海量公民個人數(shù)據(jù)，這些數(shù)據(jù)通常涉及公民出行軌跡、醫(yī)療健康甚至家庭住址等極其敏感的隱私信息，對數(shù)據(jù)傳輸共享過程提出了更高的安全要求。目前針對數(shù)據(jù)傳輸過程的安全保障能力仍然是有限的，數(shù)據(jù)傳輸過程中的安全事故頻發(fā)。如何保護隱私數(shù)據(jù)的安全傳輸并維護數(shù)據(jù)的真實性和準確性是突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護亟待解決的問題。

4)數(shù)據(jù)利用與增值——追蹤溯源實現(xiàn)困難。疫情常態(tài)化防控背景下，開放數(shù)據(jù)是一個持續(xù)進行的動態(tài)過程，各類數(shù)據(jù)管理主體需要持續(xù)性地向開放數(shù)據(jù)平臺輸送更新數(shù)據(jù)，這一動態(tài)過程可能導(dǎo)致兩方面的隱私泄露風(fēng)險。縱向來看，某次開放的數(shù)據(jù)集可能不存在隱私泄露風(fēng)險，但隨著開放數(shù)據(jù)的持續(xù)更新和累積，聚集和使用大量不同時間內(nèi)產(chǎn)生的同類數(shù)據(jù)可能會泄露某些隱私信息；橫向來看，某部門公布的數(shù)據(jù)可能不具有隱私安全威脅，但結(jié)合其他部門公布的同時間段數(shù)據(jù)，就可能產(chǎn)生隱私風(fēng)險。數(shù)據(jù)增值過程中，多部門數(shù)據(jù)匯合和持續(xù)積累可能導(dǎo)致本來難以被發(fā)現(xiàn)的隱私信息被顯性化，這種隱私隱患目前是難以追蹤溯源的。在這種情況下開放數(shù)據(jù)，各數(shù)據(jù)使用主體無需對數(shù)據(jù)操作負責(zé)，因此難以對數(shù)據(jù)使用過程中的不正當(dāng)行為進行有效監(jiān)管，當(dāng)隱私泄露事故發(fā)生時，無法通過有效的溯源追蹤排查事故產(chǎn)生原因，也無法對泄露隱私的服務(wù)主體進行追責(zé)與處罰，加大了隱私管理的難度。

2.2 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護的區(qū)塊鏈賦能機理

區(qū)塊鏈是一種由分布式存儲、共識機制、智能合約等組合而成的綜合性技術(shù)體系，各項基礎(chǔ)技術(shù)與隱私保護需求的適配性構(gòu)成了區(qū)塊鏈對突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護的賦能機理，具體如圖1所示。其中，共識機制為數(shù)據(jù)收集、更新等行為的合規(guī)性審計賦能，智能合約為數(shù)據(jù)上傳者與數(shù)據(jù)訪問者的資格核查賦能，哈希算法和非對稱加密為數(shù)據(jù)安全傳輸賦能，鏈式時間戳為數(shù)據(jù)追蹤溯源賦能。

1)共識機制賦能數(shù)據(jù)操作審計。區(qū)塊鏈采用了共識機制來達成一種可信任的環(huán)境，目前區(qū)塊鏈系統(tǒng)中較為經(jīng)典的共識機制主要是由一種被稱為“工作量證明(Proof of Work)”的一致性協(xié)議來實現(xiàn)。在這種機制下，攻擊者必須掌握51%及以上的算力才有可能對區(qū)塊鏈進行偽造、篡改，而算力的限制導(dǎo)致這種攻擊往往難以實現(xiàn)。因此，共識機制大大降低了區(qū)塊鏈上某一節(jié)點對信息進行偽造、篡改等不規(guī)范操作的可能性。除工作量證明機制外，目前主要的共識機制還包括權(quán)益證明(PoS)以及授權(quán)股份證明(DPoS)。授權(quán)股份證明是一種去中心化的民主方式，這種機制在提高效率的同時也降低了能源損耗。本文基于授權(quán)股份證明機制對數(shù)據(jù)上傳、更新等行為進行規(guī)范監(jiān)督。系統(tǒng)根據(jù)數(shù)據(jù)提供方節(jié)點的數(shù)據(jù)操作歷史初步評估其綜合信譽，信譽達標節(jié)點的數(shù)據(jù)操作行為可在區(qū)塊鏈網(wǎng)絡(luò)中形成共識。每一輪共識結(jié)束后都會重新評估所有節(jié)點的歷史信譽，為了避免忽視新節(jié)點以及短期內(nèi)行為共識在少數(shù)節(jié)點內(nèi)的集中，當(dāng)前歷史信譽尚未達標的節(jié)點仍擁有一次“突圍”機會，即由達標節(jié)點對未達標節(jié)點本次行為的規(guī)范性投票。擁有投票權(quán)的節(jié)點按標準對候選節(jié)點的數(shù)據(jù)操作行為評估投票，所有節(jié)點投票權(quán)重相同且同時擁有支持票和反對票，各投票節(jié)點之間可以相互制約與監(jiān)督，達到票數(shù)閾值的數(shù)據(jù)操作行為是合法有效的。

2)非對稱加密賦能數(shù)據(jù)安全傳輸。區(qū)塊鏈中的哈希算法與非對稱加密技術(shù)保障了數(shù)據(jù)傳輸過程中的安全可靠性。哈希運算能夠?qū)θ我忾L度的輸入輸出一個固定長度的字符串，對于任意一項輸入，通過哈希運算可以快速得到一個哈希值，但已知某個輸入的哈希值，卻很難反推出該輸入內(nèi)容，如果輸入值被稍做改動，產(chǎn)生的哈希值也會與原來有著天壤之別，這些特征使得基于哈希運算的數(shù)據(jù)加密有著極高的安全性。另外，區(qū)塊鏈網(wǎng)絡(luò)中的任一節(jié)點都擁有一對公私秘鑰，在進行數(shù)據(jù)傳輸時通過公私秘鑰來對數(shù)據(jù)進行加密和解密。基于區(qū)塊鏈密碼學(xué)技術(shù)的數(shù)據(jù)傳輸安全保障機制如圖2所示。首先，節(jié)點A在傳輸數(shù)據(jù)之前，使用哈希算法得到待傳輸數(shù)據(jù)的哈希值a，再使用節(jié)點B提供的公鑰對該哈希值a進行加密，得到數(shù)據(jù)密文；然后，節(jié)點A將數(shù)據(jù)密文與原始數(shù)據(jù)打包在一起，傳輸給節(jié)點B，節(jié)點B接收到數(shù)據(jù)包裹之后，使用自身私鑰對數(shù)據(jù)密文進行解密，得到哈希值a，并對接收到的原始數(shù)據(jù)再次進行哈希計算得到哈希值b；最后，節(jié)點B比較哈希值a與哈希值b，若兩者相等，則說明數(shù)據(jù)在傳輸過程未被攻擊篡改。在哈希算法和非對稱加密技術(shù)的支撐下，只有數(shù)據(jù)接收方才可以對所傳輸?shù)臄?shù)據(jù)進行查看和驗證。

圖2 基于非對稱加密的數(shù)據(jù)傳輸安全保障過程

3)智能合約賦能數(shù)據(jù)訪問控制。智能合約是一種以程序代碼形式定義的數(shù)字合約，其執(zhí)行條件限制被提前制定好，當(dāng)執(zhí)行條件被觸發(fā)時，區(qū)塊鏈上的節(jié)點就遵循制定好的規(guī)則運行合約。只要將智能合約部署到區(qū)塊鏈系統(tǒng)中，合約就能按照一定的觸發(fā)條件自動執(zhí)行，這種自動化的執(zhí)行方式是無法被任一方改變的。在突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)過程中，數(shù)據(jù)采集、保管、處理部門眾多，為了提高數(shù)據(jù)存儲、使用規(guī)范性約束的管控效率，可以應(yīng)用智能合約來實現(xiàn)對節(jié)點上鏈的控制，只有符合條件的用戶才能在區(qū)塊鏈系統(tǒng)內(nèi)上傳數(shù)據(jù)或訪問數(shù)據(jù)，在保證數(shù)據(jù)向突發(fā)公共衛(wèi)生事件利益相關(guān)者開放使用的同時，大大提高了數(shù)據(jù)的私密性?；谥悄芎霞s的節(jié)點上鏈控制流程如圖3所示。首先，按照相關(guān)資質(zhì)審核、訪問目的、訪問數(shù)據(jù)量等指標制定訪問條件；然后，在智能合約中寫入執(zhí)行數(shù)據(jù)訪問的條件和有效的數(shù)據(jù)訪問周期，并將合約上鏈；最后，只有符合訪問權(quán)限的用戶才能通過審核，在有效的訪問周期內(nèi)對數(shù)據(jù)實施上傳或使用等訪問操作。智能合約的創(chuàng)建和調(diào)用都將存儲在區(qū)塊鏈內(nèi)，數(shù)據(jù)提供方節(jié)點可以看到自身數(shù)據(jù)的被訪問記錄和被處理情況，提高了節(jié)點對數(shù)據(jù)使用情況的掌控感，加強了對數(shù)據(jù)使用方行為的監(jiān)督。

圖3 基于智能合約的訪問控制

4)鏈式時間戳賦能數(shù)據(jù)追蹤溯源。區(qū)塊鏈數(shù)據(jù)庫中任何數(shù)據(jù)處理都會通過唯一的時間戳記錄到鏈上，各區(qū)塊按照時間順序相互連接，形成一個可追溯驗證的鏈式數(shù)據(jù)結(jié)構(gòu)。區(qū)塊鏈中每個區(qū)塊的時間戳都納入了上一區(qū)塊的時間戳，從而前后逐步加強形成一個嵌套式的時間戳鏈條，而且鑒于區(qū)塊鏈的加密特性，這些時間戳都是不可篡改的。區(qū)塊鏈中的數(shù)據(jù)區(qū)塊按照上述方式前后相連，每個數(shù)據(jù)區(qū)塊的編輯歷史都被完整地記錄下來并擴散至各個節(jié)點，因此，通過此鏈式結(jié)構(gòu)可以對任意數(shù)據(jù)的使用情況進行追蹤溯源。實現(xiàn)數(shù)據(jù)追蹤溯源，能夠在隱私泄露事故發(fā)生時確定數(shù)據(jù)在何時何地被誰泄漏，及時制定相應(yīng)的應(yīng)急方案，并快速進行追責(zé)，從而將事故風(fēng)險降到最低。借助時間戳技術(shù)，將各子鏈數(shù)據(jù)地址及其操作記錄完整記錄于區(qū)塊鏈中，再將其依照時間順序相連。區(qū)塊鏈的特殊結(jié)構(gòu)使得鏈上數(shù)據(jù)只能被增加而不能被刪除，當(dāng)對數(shù)據(jù)的任何修改操作產(chǎn)生后，這種行為及其操作時間都會以操作源數(shù)據(jù)的形式被后一區(qū)塊保留記錄。數(shù)據(jù)從被收集到利用的全過程都通過鏈式結(jié)構(gòu)和時間戳完整記錄下來，從而使數(shù)據(jù)的追蹤溯源成為可能?；跁r間戳的溯源機制具體如圖4所示。

3 基于區(qū)塊鏈賦能的突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式

針對突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)過程中存在的隱私泄露風(fēng)險，本文構(gòu)建了基于區(qū)塊鏈賦能的突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式，并對該模式的運行機制進行分析。

3.1 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式構(gòu)建

突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)涉及政府、企業(yè)、基層組織等多元主體的參與，包括數(shù)據(jù)的采集存儲、管理維護、開放共享以及利用增值。開放數(shù)據(jù)隱私保護以釋放數(shù)據(jù)價值并兼顧隱私安全為目標，僅考慮開放增值而置隱私安全問題不顧或過度保護隱私而限制數(shù)據(jù)利用都會妨礙突發(fā)公共衛(wèi)生事件的有效治理。區(qū)塊鏈的技術(shù)特點與數(shù)據(jù)操作審計難、安全傳輸難、追蹤溯源難等隱私泄露風(fēng)險的解決具有高度耦合性，在開放數(shù)據(jù)的同時可有效保護隱私安全?；趨^(qū)塊鏈賦能的突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式架構(gòu)主要包括區(qū)塊鏈系統(tǒng)、開放數(shù)據(jù)平臺、數(shù)據(jù)應(yīng)用機制與管理機制，具體如圖5所示。

在圖5中，區(qū)塊鏈系統(tǒng)是該隱私保護模式的核心結(jié)構(gòu)，主要分為網(wǎng)絡(luò)層、交易層、共識層和合約層。網(wǎng)絡(luò)層承擔(dān)了各區(qū)塊之間互聯(lián)互通、信息傳遞的功能，采用以點對點網(wǎng)絡(luò)結(jié)構(gòu)為基礎(chǔ)、子鏈和主鏈相互補充的網(wǎng)絡(luò)結(jié)構(gòu)，子鏈負責(zé)數(shù)據(jù)的存儲、管理與傳輸，主鏈的作用在于存儲數(shù)據(jù)摘要、操作源信息以及實現(xiàn)各子鏈、系統(tǒng)之間的聯(lián)通管理。各數(shù)據(jù)控制主體需要建立用于本部門數(shù)據(jù)存儲的子區(qū)塊鏈，再通過主區(qū)塊鏈實現(xiàn)對各子鏈的聯(lián)通管理，從而緩解了主鏈的數(shù)據(jù)存儲壓力。交易層負責(zé)數(shù)據(jù)的傳輸共享，采用非對稱加密、哈希算法等密碼學(xué)技術(shù)實現(xiàn)數(shù)據(jù)的安全傳輸，提高網(wǎng)絡(luò)層的安全性。共識層實現(xiàn)數(shù)據(jù)上傳、更新、修改等管理行為的審計，通過共識機制來實現(xiàn)對各子鏈節(jié)點數(shù)據(jù)管理行為的規(guī)范性約束，只有得到鏈上各節(jié)點認可的數(shù)據(jù)管理行為及其產(chǎn)生的結(jié)果是有效的，這種認可的評判標準主要通過授權(quán)股權(quán)證明機制來實現(xiàn)。合約層封裝了與數(shù)據(jù)訪問控制相關(guān)的智能合約，通過合約對數(shù)據(jù)提供者和數(shù)據(jù)使用者的身份資質(zhì)進行規(guī)定，只有符合要求的主體能夠?qū)?shù)據(jù)實施采集、共享、使用等訪問操作。

政府?dāng)?shù)據(jù)開放平臺通過嵌入?yún)^(qū)塊鏈系統(tǒng)來保障數(shù)據(jù)管理的安全性。以新冠肺炎疫情為例，政府開放數(shù)據(jù)平臺中的數(shù)據(jù)集包括患者數(shù)據(jù)、密接者數(shù)據(jù)、疫苗接種數(shù)據(jù)、居民健康情況數(shù)據(jù)、公眾行程

數(shù)據(jù)、公共場所人員流動數(shù)據(jù)、防控物資數(shù)據(jù)等。政府開放數(shù)據(jù)平臺的利益相關(guān)者可以分為數(shù)據(jù)提供方與數(shù)據(jù)使用方，數(shù)據(jù)提供方指通過采集、共享等方式對數(shù)據(jù)進行收集、上鏈、分發(fā)的對象，數(shù)據(jù)使用方指通過對數(shù)據(jù)實施相關(guān)處理分析流程，從而挖掘數(shù)據(jù)價值并最終服務(wù)于突發(fā)公共衛(wèi)生事件治理的對象。數(shù)據(jù)提供方可以分為政府組織以及商業(yè)團體、社會團體、醫(yī)療機構(gòu)、基層管理者等非政府組織或個體，數(shù)據(jù)使用方可以是政府及受到政府委托的科研機構(gòu)、商業(yè)組織，也可以是得到許可并具備一定數(shù)據(jù)處理能力的社會公益組織。數(shù)據(jù)應(yīng)用機制保證了政府?dāng)?shù)據(jù)開放的價值實現(xiàn)，在不同應(yīng)用場景下，符合要求的數(shù)據(jù)使用方通過審核后請求訪問數(shù)據(jù)，獲取數(shù)據(jù)訪問地址后利用系統(tǒng)中的統(tǒng)計分析工具對數(shù)據(jù)集實施價值挖掘操作，數(shù)據(jù)分析結(jié)果通過可視化工具展示給數(shù)據(jù)使用方，數(shù)據(jù)使用方可以將數(shù)據(jù)分析結(jié)果下載存儲并應(yīng)用，但并不能直接下載源數(shù)據(jù)。整個過程中的所有數(shù)據(jù)使用操作完全在系統(tǒng)中進行，并都將轉(zhuǎn)化成格式統(tǒng)一的操作源數(shù)據(jù)通過主鏈記錄下來。以政府監(jiān)管為主導(dǎo)的管理機制承擔(dān)各利益相關(guān)者的數(shù)據(jù)收集應(yīng)用行為的統(tǒng)籌管理以及數(shù)據(jù)開放平臺與區(qū)塊鏈系統(tǒng)的更新維護義務(wù)，社會公眾的監(jiān)督作為補充有權(quán)向政府舉報不規(guī)范的開放數(shù)據(jù)使用行為和隱私泄露事故。

3.2 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式的運行機制

突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式的運行機制是指在突發(fā)公共衛(wèi)生事件背景下，該模式主要構(gòu)成要素之間的相互關(guān)系及其共同實現(xiàn)數(shù)據(jù)開放與隱私保護平衡這一基本目標的作用機理和運行方式，剖析運行機制有助于厘清該隱私保護模式的運作原理和后續(xù)的改進優(yōu)化。在本文構(gòu)建的隱私保護模式中，以政府開放數(shù)據(jù)平臺為核心，區(qū)塊鏈賦能的隱私保護為主要目標，基于政府開放數(shù)據(jù)平臺的數(shù)據(jù)應(yīng)用為動力，政府和公眾構(gòu)成的管理機制為保障，四者環(huán)環(huán)相扣，共同作用于突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)與隱私保護的平衡共生，隱私保護機制和利益平衡機制是實現(xiàn)數(shù)據(jù)隱私安全和數(shù)據(jù)價值釋放的主要方式。

1)隱私保護機制。智能合約、共識機制、非對稱加密與時間戳等區(qū)塊鏈基礎(chǔ)技術(shù)保障數(shù)據(jù)獲取、數(shù)據(jù)采集上鏈、數(shù)據(jù)傳輸與追蹤溯源環(huán)節(jié)的隱私保護，管理機制對數(shù)據(jù)應(yīng)用環(huán)節(jié)的隱私泄露風(fēng)險進行負責(zé)，二者共同構(gòu)成隱私保護機制。在技術(shù)賦能的隱私保護中，采用共識機制對其數(shù)據(jù)采集上鏈行為進行審計，整個系統(tǒng)中不存在任何能夠私自修改數(shù)據(jù)的節(jié)點，避免了傳統(tǒng)數(shù)據(jù)管理系統(tǒng)中“超級管理員”的漏洞?；诜菍ΨQ加密和哈希運算的傳輸加密機制使得準確判斷數(shù)據(jù)是否被安全傳輸成為可能。智能合約從準入門檻上保證了數(shù)據(jù)使用方的合格化管理，當(dāng)數(shù)據(jù)需求方通過開放數(shù)據(jù)平臺獲取數(shù)據(jù)時，首先需要輸入向政府部門申辦的資格認證信息，智能合約再根據(jù)認證信息和已有條件對該對象的數(shù)據(jù)獲取資格進行審查。審查通過后該數(shù)據(jù)需求方的相關(guān)信息將被記錄上鏈，并實現(xiàn)對數(shù)據(jù)的獲取。鏈式時間戳結(jié)構(gòu)實現(xiàn)了數(shù)據(jù)及其操作行為的全面記錄，只要確定了隱私泄露事故的發(fā)生時間，就能通過對該時間點之前的數(shù)據(jù)操作行為遍歷而確定相關(guān)責(zé)任方，這種事后督查機制確保了隱私泄露事故的精準打擊并起到警示作用。數(shù)據(jù)應(yīng)用環(huán)節(jié)中的數(shù)據(jù)使用管理權(quán)已經(jīng)分發(fā)到數(shù)據(jù)使用方，難以再通過技術(shù)保障隱私安全，此時主要通過政府與公眾的監(jiān)管作用對數(shù)據(jù)使用方的行為進行規(guī)范約束。

2)利益平衡機制。利益平衡機制是指在開放數(shù)據(jù)過程中實現(xiàn)隱私保護與數(shù)據(jù)增值雙重目標，平衡個體與集體之間利益沖突的機制。本模式中子鏈與主鏈的數(shù)據(jù)存儲結(jié)構(gòu)提高了開放數(shù)據(jù)管理效率，各種區(qū)塊鏈基礎(chǔ)技術(shù)的應(yīng)用適應(yīng)了開放數(shù)據(jù)過程中的隱私保護需求，相關(guān)監(jiān)管機制的建立為政府開放數(shù)據(jù)平臺的安全運行和數(shù)據(jù)應(yīng)用環(huán)節(jié)的規(guī)范化提供保障，在合理融入?yún)^(qū)塊鏈技術(shù)體系的基礎(chǔ)上實現(xiàn)了開放數(shù)據(jù)利用與隱私保護雙重需求的相對平衡構(gòu)筑。在數(shù)據(jù)采集管理階段，醫(yī)療機構(gòu)、通信運營商、交通部門、社區(qū)管理組織以及各類基層組織將本部門數(shù)據(jù)通過子區(qū)塊鏈存儲，并將數(shù)據(jù)存儲地址的哈希值上傳至主鏈，通過審核的子鏈擁有接入主區(qū)塊鏈的資格，主區(qū)塊鏈存儲各子鏈的哈希地址和數(shù)據(jù)摘要。在數(shù)據(jù)訪問階段，審核通過的數(shù)據(jù)使用方由系統(tǒng)發(fā)放一對公鑰和私鑰，并以此為基礎(chǔ)實施數(shù)據(jù)訪問利用。使用方在主鏈中上傳數(shù)據(jù)使用需求并獲取相應(yīng)的數(shù)據(jù)源地址，再向該地址發(fā)送公鑰，數(shù)據(jù)提供方節(jié)點收到公鑰后將數(shù)據(jù)加密打包傳輸給使用方，使用方使用私鑰解密驗證數(shù)據(jù)。在數(shù)據(jù)利用階段，使用方對數(shù)據(jù)的處理仍在系統(tǒng)中進行，節(jié)點通過系統(tǒng)提供的數(shù)據(jù)分析工具處理數(shù)據(jù)并下載數(shù)據(jù)分析結(jié)果。所有數(shù)據(jù)上傳、訪問與分析處理行為都以格式統(tǒng)一的操作源信息記錄在主鏈中，平臺一旦發(fā)生數(shù)據(jù)安全事故，即可利用區(qū)塊鏈的時間戳特征回溯追蹤責(zé)任方。監(jiān)管機構(gòu)對開放數(shù)據(jù)平臺和區(qū)塊鏈系統(tǒng)的運行與維護負責(zé)，并對數(shù)據(jù)從采集管理到開放應(yīng)用中所有環(huán)節(jié)的規(guī)范運行作出監(jiān)督管理。上述流程形成了數(shù)據(jù)安全開放應(yīng)用的閉環(huán)管理，在隱私安全的基本保障下最大程度地展開數(shù)據(jù)增值活動，對個體和集體的利益需求實現(xiàn)了兼顧。

4 突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護的管理制度設(shè)計

突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護面臨技術(shù)、文化、政策等多元挑戰(zhàn)，應(yīng)該進一步促進隱私保護模式在管理層面的有效銜接，實現(xiàn)以法律法規(guī)、政策制度為根基的基本約束，形成技術(shù)、管理制度等多元手段相結(jié)合的綜合治理體系。

4.1 基礎(chǔ)層：完善數(shù)據(jù)審查制度

數(shù)據(jù)集的真實完整性是數(shù)據(jù)隱私保護的基礎(chǔ)，數(shù)據(jù)失真的原因主要包括數(shù)據(jù)采集主體的有意偽造和瞞報漏報等行為以及數(shù)據(jù)采集手段的局限性。采集手段方面，一些社會組織可能仍在采用手工記錄手段進行數(shù)據(jù)采集，紙質(zhì)數(shù)據(jù)不僅增加了數(shù)據(jù)整理、處理、保存的難度，也難以在各部門間共享，導(dǎo)致數(shù)據(jù)的重復(fù)收集，增加隱私泄露風(fēng)險。因此，一方面應(yīng)該盡早普及電子化數(shù)據(jù)收集手段，設(shè)計開發(fā)通用的數(shù)據(jù)收集小程序或移動端APP，實現(xiàn)多渠道數(shù)據(jù)的靈活采集；另一方面，相關(guān)部門需要加強對數(shù)據(jù)的審查，對數(shù)據(jù)的來源和完整性進行核實，嚴厲打擊偽造、漏報、瞞報數(shù)據(jù)等行為，制定有效追責(zé)制度，保證上鏈數(shù)據(jù)的真實完整性。為了提高數(shù)據(jù)審查的效率，可以對數(shù)據(jù)進行分類分級管理，按照數(shù)據(jù)是否涉及個人隱私信息以及疫情防控工作對該類數(shù)據(jù)開放的需求這兩個維度對數(shù)據(jù)進行分類管理。在完善數(shù)據(jù)分類制度的基礎(chǔ)上，再建立個人隱私數(shù)據(jù)泄露風(fēng)險評估機制來實施數(shù)據(jù)分級管理，對數(shù)據(jù)集進行隱私泄露風(fēng)險評估，對隱私安全風(fēng)險等級較高以及疫情防控工作需求較大的數(shù)據(jù)集，需要加強審查力度。

4.2 應(yīng)用層：規(guī)范數(shù)據(jù)使用制度

通過智能合約可以實現(xiàn)數(shù)據(jù)使用方的資格審核，對于通過數(shù)據(jù)使用權(quán)限審核的機構(gòu)組織，也要對其后續(xù)使用制定嚴格規(guī)范的規(guī)章制度。首先，不斷細化和完善相關(guān)法律法規(guī)，實現(xiàn)突發(fā)公共衛(wèi)生事件數(shù)據(jù)使用有法可依、有章可循，明確界定開放數(shù)據(jù)的隱私邊界；對因公共利益而必須開放的隱私數(shù)據(jù)，嚴格制定其開放和使用的規(guī)范。其次，加強數(shù)據(jù)管理人員的隱私保護意識，與數(shù)據(jù)管理相關(guān)的工作人員會直接接觸公眾讓渡的隱私數(shù)據(jù)，這部分工作人員對隱私保護的責(zé)任感尤為重要。相關(guān)單位應(yīng)該對內(nèi)部相關(guān)工作人員定期展開數(shù)據(jù)隱私保護教育，政府部門在向其他社會部門委托數(shù)據(jù)分析處理任務(wù)時，也應(yīng)及時下達隱私安全須知。最后，疫情防控的動態(tài)化演變特征對數(shù)據(jù)的時效性有一定要求，常態(tài)化防控背景下不僅需要持續(xù)收集數(shù)據(jù)，同時也會產(chǎn)生大量失效數(shù)據(jù)，合理處理使用過的數(shù)據(jù)成為規(guī)范數(shù)據(jù)使用的必要環(huán)節(jié)。在開放數(shù)據(jù)以及疫情演進各階段，應(yīng)在對數(shù)據(jù)價值進行科學(xué)判斷的基礎(chǔ)上，對數(shù)據(jù)進行合理規(guī)范的處理。對于無用數(shù)據(jù)要及時進行安全銷毀，防止因處理不及時致使公眾個人信息在疫情結(jié)束后遭黑客攻擊而被泄露；對于未來可能再次利用的數(shù)據(jù)，應(yīng)進行脫敏化、去隱私化處理后再統(tǒng)一歸檔管理。

4.3 監(jiān)督層：強化監(jiān)管問責(zé)制度

開放數(shù)據(jù)平臺的監(jiān)管需要政府、社會公眾等多元主體的共同參與，多元主體的參與會造成隱私保護監(jiān)管責(zé)任分散現(xiàn)象，應(yīng)明確各主體的監(jiān)管責(zé)任與義務(wù)，制定合理的獎勵懲罰制度，防止出現(xiàn)因責(zé)任模糊與激勵缺失導(dǎo)致的監(jiān)管缺位現(xiàn)象。為了進一步提高隱私保護監(jiān)管的責(zé)任集中度，可建立一個獨立的隱私保護監(jiān)管機構(gòu)，加強對數(shù)據(jù)使用行為的監(jiān)督。當(dāng)公眾遭到隱私侵犯或發(fā)現(xiàn)泄露個人信息、侵犯個人隱私等違法行為時，可以向該機構(gòu)進行投訴，該機構(gòu)負責(zé)對隱私侵犯事故進行調(diào)查、曝光和處罰等。獨立隱私保護監(jiān)管機構(gòu)的引入不僅拓寬了公眾對隱私保護的訴權(quán)渠道，也緩解了政府的監(jiān)管治理壓力。另外，要重視隱私侵權(quán)責(zé)任主體的問責(zé)與處罰。相關(guān)法律法規(guī)的完善是落實問責(zé)制度的基礎(chǔ)，不僅要明確規(guī)定對隱私侵犯責(zé)任方的問責(zé)方式與懲罰措施，更要進一步細化隱私侵犯的責(zé)任認定方式與依據(jù)，對突發(fā)公共衛(wèi)生事件治理背景下的數(shù)據(jù)采集、應(yīng)用等過程中的“隱私侵犯紅燈”作出詳細說明，合理考量突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)過程中公共利益與個人隱私的邊界。對于既成事實的隱私泄露和侵犯事故，執(zhí)法部門應(yīng)按照法律法規(guī)對責(zé)任主體進行問責(zé)和處罰，保證相關(guān)規(guī)定的威懾力。

4.4 生態(tài)層：培育健康開放環(huán)境

在健康的數(shù)據(jù)開放應(yīng)用環(huán)境下，隱私保護的壓力不應(yīng)僅由政府承擔(dān)，行業(yè)內(nèi)部的自律與自治以及公眾自身的隱私保護能力也是突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護的重要力量。開放數(shù)據(jù)涉及的數(shù)據(jù)采集、存儲、應(yīng)用主體廣泛眾多，如果行業(yè)內(nèi)部形成統(tǒng)一的個人隱私保護規(guī)范，就能大大降低監(jiān)管成本。因此，相關(guān)部門應(yīng)該引導(dǎo)行業(yè)自覺遵守隱私安全規(guī)范，抵制被曝出有意以公眾隱私數(shù)據(jù)謀取私利的企業(yè)，達到行業(yè)內(nèi)部自律自治的目的。另外，公眾自身的隱私保護意識和能力對預(yù)防隱私侵犯帶來的傷害和損失至關(guān)重要，參考我國對“反詐”的宣傳教育，相關(guān)部門也應(yīng)該向公眾普及隱私侵犯的常見方式與后果，宣傳疫情等突發(fā)公共衛(wèi)生事件治理時期合理的個人信息收集范圍，提高公眾的隱私保護意識和隱私泄露警惕性。最后，由于個人隱私保護與突發(fā)公共衛(wèi)生事件的治理目標在短期內(nèi)不具有正相關(guān)性，且需要投入一定成本，導(dǎo)致各單位缺乏足夠的動力去落實隱私保護要求，對此可以增加適當(dāng)?shù)募畲胧瑢Ψe極加強隱私保護的主體進行合理獎勵，激發(fā)各單位對隱私保護的積極性，提高公眾對疫情期間開放數(shù)據(jù)利用的信任，達到數(shù)據(jù)開放與隱私保護激勵相容的雙贏效果。

5 結(jié) 語

突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)與隱私風(fēng)險之間的矛盾成為數(shù)據(jù)化治理手段持續(xù)健康應(yīng)用的阻礙。針對開放數(shù)據(jù)面臨的隱私泄露風(fēng)險，本文將區(qū)塊鏈技術(shù)應(yīng)用于突發(fā)公共衛(wèi)生事件情境，構(gòu)建了基于區(qū)塊鏈賦能的突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私保護模式，并針對技術(shù)賦能的局限性展開了管理制度設(shè)計，為保護突發(fā)公共衛(wèi)生事件開放數(shù)據(jù)隱私提供了技術(shù)與管理并驅(qū)的綜合治理方案。需要指出的是，現(xiàn)階段區(qū)塊鏈的社會化應(yīng)用尚未形成成熟體系，其在開放數(shù)據(jù)隱私保護方面的應(yīng)用仍需要更多的理論研究和應(yīng)用探索，擬在后續(xù)研究中不斷完善。