編輯導(dǎo)讀：冬季到來，疫情開始反復(fù)，成都出現(xiàn)了幾起疫情，但是引爆當(dāng)日話題的，是確診患者的個(gè)人隱私被曝光，引來全網(wǎng)的傳閱、調(diào)侃和惡意攻擊。本文作者將以這個(gè)事件作為切入點(diǎn)，討論分布式數(shù)據(jù)采集安全，希望對你有幫助。

自從入冬以來，國內(nèi)“新冠肺炎”疫情出現(xiàn)一些零星反彈，老百姓本已放下的心，又重新提了起來。特別是2020年12月7日，成都市出現(xiàn)2例家庭聚集性疫情，這是自今年3月份以來，成都首例本土新增新冠肺炎確診病例。病例確診后，成都市很快進(jìn)入戰(zhàn)時(shí)狀態(tài)，市疾控中心依托《新型冠狀病毒肺炎防控方案》迅速開展流行病學(xué)調(diào)查工作，并在12月8日很快確診其他3例新增本土病例。

但當(dāng)日引爆朋友圈等社交工具的話題、熱搜，除了成都市當(dāng)日新增3例病例以外，還有第3例病例，成都女孩趙某的個(gè)人隱私信息在互聯(lián)網(wǎng)被泄露，引發(fā)全網(wǎng)的傳閱、調(diào)侃和惡意攻擊。雖然，事件很快在公安機(jī)關(guān)的介入下，已將散布、泄露趙某個(gè)人隱私的王某進(jìn)行了行政處罰。但3天之后，12月11日，重慶新冠肺炎確診患者徐某的個(gè)人信息也遭泄露，患者受到電話騷擾和謾罵。

其實(shí)，疫情防控中的個(gè)人隱私泄露問題并不是個(gè)案，就在2020年春節(jié)前后，超7000名武漢返鄉(xiāng)公民信息遭到了泄露，返鄉(xiāng)人員名單在微信群中肆意轉(zhuǎn)發(fā)，大量敏感信息泄露；因?qū)⑸婕靶鹿诓《净颊呒捌溆H屬隱私的調(diào)查報(bào)告轉(zhuǎn)給無關(guān)人員，湖南益陽市赫山區(qū)衛(wèi)生健康局副局長被予以黨紀(jì)立案調(diào)查，另有兩人被訓(xùn)勉談話，一人被通報(bào)批評；云南的文山州人民醫(yī)院發(fā)生了泄露新冠病毒患者的姓名、家庭住址、工作單位、診療信息等個(gè)人信息[1]

在公共衛(wèi)生安全領(lǐng)域，個(gè)人隱私權(quán)和公眾知情權(quán)的平衡一直以來都是重要研究課題，國內(nèi)也制定了相關(guān)法律、法規(guī)用于規(guī)范疫情防控過程中出現(xiàn)的個(gè)人隱私處理問題，例如：《中華人民共和國傳染病防治法》第六十八條規(guī)定，故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個(gè)人隱私的有關(guān)信息、資料的，構(gòu)成犯罪的，依法追究刑事責(zé)任。另外還有，《 民法總則 》《 刑法修正案（九）》規(guī)定的“侵犯公民個(gè)人信息罪”等。

就在我們有法可依的條件下，個(gè)人隱私泄露事件依然出現(xiàn)層出不窮，除了公民在個(gè)人隱私保護(hù)上的法律意識薄弱原因外，還有管理單位在個(gè)人隱私信息收集、處理、存儲(chǔ)、使用和披露的管理疏忽問題、相關(guān)信息化系統(tǒng)在隱私數(shù)據(jù)的數(shù)字化管理的長久缺失問題。

本文接下來主要通過系統(tǒng)化建設(shè)角度，討論傳染病流調(diào)過程中存在的個(gè)人隱私泄露風(fēng)險(xiǎn)和一些技術(shù)性治理辦法，而關(guān)于整個(gè)傳染病防控過程中的個(gè)人隱私數(shù)據(jù)泄露的完全杜絕，則是一個(gè)社會(huì)綜合治理問題，這里包括：法律、公共衛(wèi)生、信息系統(tǒng)和公民法律意識整體提高等多種條件，請讀者理性看待。

一、流調(diào)與追蹤過程

那什么是流調(diào)呢？流調(diào)的全稱是“流行病學(xué)調(diào)查”， 是對疾病、健康或衛(wèi)生事件群體現(xiàn)象所進(jìn)行的調(diào)查與處理。

根據(jù)《新型冠狀病毒肺炎防控方案（第七版）》[2]指導(dǎo)，新冠肺炎疫情的流調(diào)主要包括：個(gè)案調(diào)查、密切接觸者判定、使用交通工具判定、聚集性疫情調(diào)查，編寫調(diào)查信息報(bào)告等工作。根據(jù)《國家突發(fā)公共衛(wèi)生事件相關(guān)信息報(bào)告管理工作規(guī)范(試行)》的要求調(diào)查信息報(bào)告工作主要又分為：填報(bào)事件的基本信息、初次、進(jìn)展和結(jié)案報(bào)告四個(gè)階段。根據(jù)流調(diào)收集的《新型冠狀病毒肺炎病例個(gè)案調(diào)查表》、《聚集性疫情病例關(guān)鍵信息登記表》收集的信息結(jié)構(gòu)上看，主要有：個(gè)人基礎(chǔ)信息、病情健康信息、社會(huì)關(guān)系信息、行為軌跡信息等。

流調(diào)的主體流程如圖一：

圖一：流行病學(xué)調(diào)查流程

建立流調(diào)任務(wù)主要是通過國家傳染病網(wǎng)絡(luò)直報(bào)系統(tǒng)自動(dòng)下發(fā)和根據(jù)當(dāng)?shù)匾咔楸l(fā)情況人工建立調(diào)查任務(wù)，流調(diào)任務(wù)主要以區(qū)（縣）疾控中心人員、疫情爆發(fā)社區(qū)人員、政府人員、醫(yī)院院感科醫(yī)生、公安、電信等共同等開展。調(diào)查通過基本信息調(diào)查、感染來源調(diào)查、污染范圍調(diào)查、密切接觸者調(diào)查、病例調(diào)查、家庭暴露調(diào)查、聚餐暴露調(diào)查、工作單位暴露調(diào)查、行動(dòng)交通工具調(diào)查、重點(diǎn)場所暴露調(diào)查等，時(shí)間、空間、人群維度開展三間信息收集和分析，最終形成初次流調(diào)報(bào)告，形成的流調(diào)報(bào)告可繼續(xù)更新和修改至疫情最終結(jié)案，結(jié)案后的流調(diào)報(bào)告集中上傳管理。

目前我國這套流調(diào)機(jī)制總體上是高效的，特別通過本次新冠肺炎疫情防控的實(shí)際檢驗(yàn)，成效顯著。具有社會(huì)動(dòng)員能力強(qiáng)、疫情撲滅及時(shí)等優(yōu)勢，但由于采用了多方協(xié)同防控機(jī)制，在個(gè)人隱私保護(hù)方面還存在泄露隱患。

二、流調(diào)過程的個(gè)人隱私保護(hù)盲點(diǎn)

1. 多方參與調(diào)查，加大個(gè)人隱私泄露風(fēng)險(xiǎn)

重大疫情期間（如：新冠肺炎疫情）的流調(diào)和普通疫情期間的流調(diào)方式有顯著區(qū)別，重大疫情爆發(fā)期間的流調(diào)由于時(shí)間緊、任務(wù)急、調(diào)查面廣，工作量大，所以需要調(diào)動(dòng)社會(huì)力量共同完成，非專業(yè)人員和法律意識薄弱群體也會(huì)接觸到個(gè)人隱私信息。

同時(shí)，由于大部分是現(xiàn)場調(diào)查，受網(wǎng)絡(luò)和現(xiàn)場環(huán)境限制，大部分調(diào)查依然采用紙質(zhì)表格填報(bào)方式，信息的開放度高，泄露風(fēng)險(xiǎn)高。成都女孩隱私泄露事件中，警方雖然沒有公布具體的泄露過程，但從泄露的個(gè)人隱私信息結(jié)構(gòu)上看，屬于初次調(diào)查報(bào)告形成階段，泄露信息有關(guān)鍵字：“初步調(diào)查情況”，說明調(diào)查信息還未歸檔，正在調(diào)查和分析過程中。

2. 流調(diào)過程部分實(shí)現(xiàn)了信息化，離數(shù)字化還有差距

雖然我國疾控中心信息中心在2011年研發(fā)上線了流行病學(xué)調(diào)查動(dòng)態(tài)數(shù)據(jù)采集云平臺(tái)（EDDC）[4]，該項(xiàng)目作為“中國/世界衛(wèi)生組織衛(wèi)生技術(shù)合作項(xiàng)目”和“十一五科技支撐課題”，截止2017年底，已經(jīng)在澳大利亞衛(wèi)生信息大會(huì)、中美新發(fā)再發(fā)傳染病合作項(xiàng)目和發(fā)展中國家培訓(xùn)班上進(jìn)行推廣。授權(quán)世界衛(wèi)生組織駐華代表處、國內(nèi)各省級疾控中心、各計(jì)劃單列市市級疾控中心及其他發(fā)展中國家免費(fèi)使用[5]。但從EDDC系統(tǒng)的建設(shè)內(nèi)容來看，EDDC注重調(diào)查問卷的制作和數(shù)據(jù)統(tǒng)計(jì)工作，對于調(diào)查和分析過程的技術(shù)支持較少[6]，還屬于流程信息化階段。見圖二：

圖二 來源：流行病學(xué)動(dòng)態(tài)數(shù)據(jù)采集平臺(tái)在公共衛(wèi)生調(diào)查中的應(yīng)用[6]

所以國內(nèi)部分省級疾控中心也在自建流行病調(diào)查系統(tǒng)，例如：2020年北京市疾病預(yù)防控制中心研發(fā)了基于人工智能的新冠肺炎疫情現(xiàn)場數(shù)字化流行病學(xué)調(diào)查系統(tǒng)，該系統(tǒng)增加了密切接觸者追蹤管理、流調(diào)管理（支持客戶端圖片、語音智能識別功能）和可視化的決策分析輔助等功能[7]，該系統(tǒng)在流調(diào)調(diào)查便捷性和數(shù)字化方面做了一些改進(jìn)優(yōu)化。

但無論國家疾控中心開發(fā)的EDDC，還是北京疾控中心開發(fā)的數(shù)字化流行病學(xué)調(diào)查系統(tǒng)。從本質(zhì)上還是一個(gè)信息收集、處理解析、報(bào)告、存儲(chǔ)的流程化信息系統(tǒng)，在個(gè)人隱私數(shù)據(jù)的確權(quán)、處理與應(yīng)用、知情、流動(dòng)等數(shù)字化、密碼化保障方面還有不少欠缺。

3. 流調(diào)數(shù)據(jù)安全存在嚴(yán)重木桶效應(yīng)

從圖一，不難看出，將流調(diào)的全過程，簡單劃分為：流調(diào)任務(wù)管理、現(xiàn)場調(diào)查和流調(diào)信息管理三部分，由于流調(diào)任務(wù)管理和流調(diào)信息管理處于網(wǎng)絡(luò)和賬戶安全的雙重保護(hù)下，個(gè)人隱私泄露的可能性低，安全度高。但在現(xiàn)場調(diào)查環(huán)節(jié)，由于缺乏數(shù)字化調(diào)查工具（往往還采用傳統(tǒng)紙質(zhì)表格開展調(diào)查）、參與人員多、法律意識淡薄等問題，個(gè)人隱私數(shù)據(jù)泄露風(fēng)險(xiǎn)高?，F(xiàn)場調(diào)查的數(shù)據(jù)安全問題，成為了整個(gè)流調(diào)體系的短板。就目前爆出的大部分個(gè)人隱私泄露事件，也都是從現(xiàn)場調(diào)查環(huán)節(jié)泄露的。

三、數(shù)字化流調(diào)模型優(yōu)化建議

1. 實(shí)現(xiàn)流調(diào)信息的模型化、數(shù)字化和分布式采集

流調(diào)雖然是區(qū)（縣）CDC的專業(yè)任務(wù)，但在重大疫情爆發(fā)期間，單靠CDC人員獨(dú)立開展是遠(yuǎn)遠(yuǎn)不夠的，還需要根據(jù)流調(diào)信息的類型，通過社會(huì)其他專業(yè)人員的輔助，分步驟來完成。所以，流調(diào)信息的采集天然是分散開展的，如果依然采用電子表格或紙質(zhì)表格等傳統(tǒng)純文本、信息整體記錄的方式（流調(diào)表格參看附件）無法降低個(gè)人隱私泄露風(fēng)險(xiǎn)，而建立基于流調(diào)信息記錄的模型化、數(shù)字化和分布式采集體系就尤為重要。

流行病學(xué)調(diào)查過程以調(diào)查人員的聚類分析，可簡單分為：個(gè)人核心信息調(diào)查、醫(yī)學(xué)與病毒學(xué)調(diào)查和社會(huì)與傳播調(diào)查等3部分，由于這3類的參與調(diào)查的輔助人員有所不同，例如：個(gè)人核心信息調(diào)查輔助人員主要是社區(qū)、派出所等人員；醫(yī)學(xué)和病毒學(xué)調(diào)查主要是醫(yī)院和實(shí)驗(yàn)室等人員；社會(huì)與傳播調(diào)查需要電信、交通、公安等公共服務(wù)機(jī)構(gòu)人員，所以個(gè)人基礎(chǔ)信息、社會(huì)關(guān)系信息、行為軌跡信息和病情健康信息，并不會(huì)同時(shí)和由同一批調(diào)查員采集，而是進(jìn)行模型化、對象化拆分后的分布式采集。

由于社會(huì)關(guān)系信息、行為軌跡信息和病情健康信息對個(gè)人基礎(chǔ)信息擁有依賴關(guān)聯(lián)，所以數(shù)據(jù)體之間應(yīng)采用匿名關(guān)聯(lián)機(jī)制，可對個(gè)人隱私信息做Hash運(yùn)算生成的唯一字符串作為匿名關(guān)聯(lián)字段。采用匿名關(guān)聯(lián)后的社會(huì)關(guān)系信息、行為軌跡信息和病情健康信息的采集，個(gè)人隱私的泄露風(fēng)險(xiǎn)將大大降低。

見圖三：

圖三 數(shù)字化流調(diào)信息模型

2. 流調(diào)現(xiàn)場采集的數(shù)字化授權(quán)

無論在國家疾控中心信息中心建設(shè)的EDDC平臺(tái)，還是北京疾控中心建設(shè)的數(shù)字化流行病學(xué)調(diào)查系統(tǒng)，目前都已經(jīng)支持流調(diào)任務(wù)下發(fā)、流調(diào)問卷管理等功能，也支持基于如：電腦、Pad版等的流調(diào)客戶端，實(shí)現(xiàn)問卷下載，離線填寫、在線上傳等功能[8]。

見下圖：

圖四 現(xiàn)場調(diào)查數(shù)字授權(quán)

從整體流行病學(xué)調(diào)查的數(shù)據(jù)安全控制機(jī)制來看，流調(diào)任務(wù)下發(fā)依靠的是網(wǎng)絡(luò)授權(quán)，問卷管理依賴賬戶授權(quán)，而目前在數(shù)據(jù)現(xiàn)場采集中，依然是沿用了賬戶授權(quán)方式。這在平時(shí)個(gè)案疫情時(shí)并無不妥，但在重大傳染病爆發(fā)期間的流調(diào)情況就有所不同，依賴賬戶授權(quán)機(jī)制的客戶端，因?yàn)樾枰苯舆B接CDC流調(diào)系統(tǒng)，勢必將可采集數(shù)據(jù)的賬戶限制在很少的范圍，而在大面積流調(diào)實(shí)際工作中參與人員多、時(shí)間緊迫、工作量大，往往不是一個(gè)賬戶多人共同使用、采集、上傳，就是多人填寫紙質(zhì)表格，再通過一人統(tǒng)一上傳的尷尬境地，無論哪種方式，都加大了個(gè)人隱私泄露的風(fēng)險(xiǎn)和責(zé)任界定難的問題。

其實(shí)，我們可依托一臺(tái)流調(diào)主客戶端用于問卷的下載和上傳，主客戶端依然使用賬戶授權(quán)。而參與大面積流調(diào)的人員可以使用自有客戶端，通過藍(lán)牙、WiFi、ZigBee等近距通信技術(shù)，開展現(xiàn)場數(shù)字授權(quán)。數(shù)字授權(quán)（加密算法可采用ECC或者國密SM2）的公鑰用于采集數(shù)據(jù)的資格驗(yàn)證；私鑰用于數(shù)據(jù)簽名后的責(zé)任界定。數(shù)據(jù)授權(quán)的驗(yàn)證通過具備賬戶授權(quán)的主客戶端完成，并最終通過主客戶端向后端流調(diào)系統(tǒng)上傳加密數(shù)據(jù)。

采用現(xiàn)場流調(diào)數(shù)據(jù)授權(quán)方式是平衡流調(diào)數(shù)據(jù)采集的便捷性、高效性和數(shù)據(jù)安全性的有效方法。在保障現(xiàn)有中心化流調(diào)系統(tǒng)的網(wǎng)絡(luò)安全和賬戶授權(quán)體系不變的情況下，提升流調(diào)實(shí)際的數(shù)據(jù)安全性和責(zé)任界定的準(zhǔn)確性。

3. 實(shí)現(xiàn)采集調(diào)查的責(zé)任鏈

在重大疫情期間的流調(diào)實(shí)踐中，體現(xiàn)出任務(wù)多、參與人員和機(jī)構(gòu)復(fù)雜、專業(yè)參差不齊、法律意識淡薄、調(diào)查任務(wù)并行開展的特點(diǎn)。如果按照非疫情期間的數(shù)據(jù)安全采集規(guī)范，嚴(yán)格控制調(diào)查人員的準(zhǔn)入授權(quán)、金融級的數(shù)據(jù)安全和法律素質(zhì)培養(yǎng)，勢必會(huì)降低調(diào)查效率，也存在貽誤疫情防控最佳時(shí)間的重大風(fēng)險(xiǎn)。

所以，采用強(qiáng)化事后追責(zé)體系是一種有效平衡流調(diào)效率和數(shù)據(jù)安全的手段，通過透明化的事后追責(zé)體系，間接警示參與調(diào)查的人員，嚴(yán)格執(zhí)行個(gè)人隱私保護(hù)的相關(guān)條例，而一個(gè)具備公信力的責(zé)任鏈條是其中關(guān)鍵。通過區(qū)塊鏈技術(shù)將基本信息調(diào)查、病例調(diào)查、家庭暴露調(diào)查、密切接觸者調(diào)查、感染來源調(diào)查、聚餐暴露調(diào)查、工作單位暴露調(diào)查、重點(diǎn)場所暴露調(diào)查、行動(dòng)交通工具調(diào)查和污染范圍調(diào)查的每個(gè)過程，依據(jù)時(shí)間順序記錄在流調(diào)責(zé)任鏈中。通過區(qū)塊鏈技術(shù)的信息防篡改、調(diào)查過程透明和多方協(xié)作的優(yōu)勢，可將流調(diào)期間的數(shù)據(jù)隱私泄露風(fēng)險(xiǎn)控制在一定范圍內(nèi)。

見圖五：

圖五 流調(diào)責(zé)任鏈

四、總結(jié)

成都女孩的個(gè)人隱私泄露問題，并不是個(gè)案，只是更多的隱私泄露沒有被互聯(lián)網(wǎng)放大而已。而在重大公共衛(wèi)生事件中的個(gè)人隱私保護(hù)問題，長久以來一直也都是一個(gè)難題，這里牽涉了包括：個(gè)人權(quán)利和公眾利益平衡的社會(huì)學(xué)難題，疫情期間的個(gè)人隱私保護(hù)和公眾知情權(quán)的法律問題，數(shù)據(jù)主體、數(shù)據(jù)控制者和數(shù)據(jù)處理者的確權(quán)問題和政府監(jiān)管的執(zhí)法力度問題，以及同重大公共衛(wèi)生事件的應(yīng)急響應(yīng)效率的平衡問題。

簡單說，就是該問題不是單靠立法就能解決的，本文建議的流調(diào)現(xiàn)場數(shù)據(jù)收集改進(jìn)策略，也只是體系化解決該問題中的一個(gè)環(huán)節(jié)而已。

由于重大疫情期間的流調(diào)，大部分都涉及“聚集性疫情調(diào)查”，呈現(xiàn)大面積的數(shù)據(jù)分散采集的特點(diǎn)，依靠傳統(tǒng)賬戶授權(quán)機(jī)制保障數(shù)據(jù)安全，往往形同虛設(shè)。而采用開放式的數(shù)字化授權(quán)機(jī)制，可以在保障流調(diào)效率的前提下，通過流調(diào)數(shù)據(jù)的數(shù)字化模型建立，分散采集數(shù)據(jù)體，隱藏個(gè)人隱私信息；通過數(shù)字授權(quán)和區(qū)塊鏈技術(shù)的數(shù)據(jù)寬進(jìn)嚴(yán)出、透明的事后追責(zé)體系，間接降低個(gè)人隱私泄露風(fēng)險(xiǎn)。

五、參考文獻(xiàn)

[1].? 余圣琪.(2021).流調(diào)與追蹤中的數(shù)據(jù)法律保護(hù).?河北法學(xué)(01),1-15. doi:10.16494/j.cnki.1002-3933.2021.01.011.

[2].?關(guān)于印發(fā)新型冠狀病毒肺炎防控方案（第七版）的通知 http://www.nhc.gov.cn/jkj/s3577/202009/318683cbfaee4191aee29cd774b19d8d.shtml

[3].?新型冠狀病毒肺炎流行病學(xué)調(diào)查指南 http://www.chinacdc.cn/jkzt/crb/zl/szkb_11803/jszl_11815/202003/W020200309540843000869.pdf

[4].?流行病學(xué)調(diào)查動(dòng)態(tài)數(shù)據(jù)采集云平臺(tái)（EDDC）正式發(fā)布http://www.chinacdc.cn/zxdt/201112/t20111207_55097.htm

[5].?(2017-12-29).?流行病學(xué)調(diào)查動(dòng)態(tài)數(shù)據(jù)采集云平臺(tái)研發(fā)與應(yīng)用.2020-12-15,https://kns.cnki.net/KCMS/detail/detail.aspx?dbname=SNAD&filename=SNAD000001713196.

[6].?孟郁潔,戚曉鵬,馬睿,金水高,蘇雪梅,于石成 & 馬家奇.(2013).流行病學(xué)動(dòng)態(tài)數(shù)據(jù)采集平臺(tái)在公共衛(wèi)生調(diào)查中的應(yīng)用. 醫(yī)學(xué)信息學(xué)雜志(06),18-22. doi:.

[7].?栗圓,高燕琳 & 李剛.(2020).新冠肺炎疫情現(xiàn)場流行病學(xué)調(diào)查系統(tǒng)的建設(shè)與應(yīng)用. 中國衛(wèi)生信息管理雜志(05),627-631. doi:.

[8].?禹雪,楊淑云,李璽琨,楊麗,車明杰,張宇… & 沈貞姬.(2017).流行病學(xué)動(dòng)態(tài)數(shù)據(jù)采集平臺(tái)-安卓版離線采集軟件在接種率調(diào)查中的應(yīng)用. 現(xiàn)代預(yù)防醫(yī)學(xué)(08),1441-1447. doi:.

小插曲

我在參加人人都是產(chǎn)品經(jīng)理2020年度作者評選，希望喜歡我的文章的朋友都能來支持我一下~

點(diǎn)擊下方鏈接進(jìn)入我的個(gè)人參選頁面，點(diǎn)擊紅心即可為我投票。

每人最多可投3票，投票即有機(jī)會(huì)獲得百萬驚喜禮品&起點(diǎn)學(xué)院千元豪禮哦！

投票傳送門：http://996.pm/7vk2D

#專欄作家#

黃銳，人人都是產(chǎn)品經(jīng)理專欄作家。高級系統(tǒng)架構(gòu)設(shè)計(jì)師、資深產(chǎn)品經(jīng)理、多家大型互聯(lián)網(wǎng)公司顧問，金融機(jī)構(gòu)、高?？妥芯繂T。主要關(guān)注新零售、工業(yè)互聯(lián)網(wǎng)、金融科技和區(qū)塊鏈行業(yè)應(yīng)用版塊，擅長產(chǎn)品或系統(tǒng)整體性設(shè)計(jì)和規(guī)劃。

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自?Unsplash，基于 CC0 協(xié)議