网络安全动态 ·

5G时代的个人信息安全保护

4G 改变生活,5G 改变社会。2019 年被公认为 5G 元年,美国、韩国、英国等国家在 2019 年上半年,都先后启动 5G 商用。2019 年10 月 31 日,中国三大电信运营商共同宣布 5G 商用并发布了 5G 套餐,至此 5G 正式走进了中国的千家万户。

作为“新基建”的重要组成部分,5G 在我国中国特色社会主义新时代的建设进程中,发挥着极为重要的作用。一方面,作为数字经济、中国制造 2025 的重要基础设施,5G 对于经济的拉动作用明显。根据中国信通院报告预测,2020 年至 2025 年期间,中国 5G 商用直接带动的经济总产出 10.6 万亿元,直接创造的经济增加值 3.3 万亿元。另一方面,5G 开启的万物互联时代,对于社会的运行和治理亦将产生深远影响。以 2020 年初抗击新冠疫情为例,5G 与人工智能、大数据等技术广泛融合,在防控筛查、民生保障、医学治疗、复工复产等方面都发挥了重要作用,人们也逐步开始接受并使用如体温监测、远程医疗、在线教学等 5G 服务。

未来,伴随着 5G 技术超高速率、超大连接、超低时延特性的进一步发挥与展现,以及 5G 对生产、生活、社会治理等领域的进一步赋能和渗透,可以预见全社会收集和掌握的数据,在种类、数量、颗粒度、实时性等维度方面也将会大幅提升,并不可避免地会涉及到更多个人信息,以至个人敏感信息。如何在 5G 时代合理合法合规运用数据,为各行各业高效赋能的同时保护好个人信息安全,成为了一个亟待解答的问题。

2020 年 3 月 6 日,国家市场监督管理总局和国家标准化管理委员会发布 GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称2020版《个人信息安全规范》),其在原有 GB/T 35273-2017 基础上进行更新,从个人信息安全基本原则、个人信息的收集、存储、使用、委托处理、共享、转让、公开披露,以及个人信息主体的权利、个人信息安全事件处理、组织的个人信息安全管理要求等诸方面,对于个人信息安全进行了技术规范,并且增加了“用户画像的使用限制”、“基于不同业务目的所收集个人信息的汇聚融合” 等新章节内容。2020版《个人信息安全规范》的提出,在很大程度上结合和适应了 5G 时代的新情景、新变化,给相关机构的个人信息安全管理提供了参考标准和架构。

一、5G 时代的个人信息特征

5G,即第五代移动通讯技术,根据 ITU 定义,将在峰值速率、用户体验速率、频谱效率、移动性、时延、连接密度、网络效能、流量密度八个维度进行显著提升。其中,从应用和体验角度,较为明显的变化是峰值速率(10 Gbits/s)、连接密度(106 设备/km2)和时延(1ms)。在具体的场景中,5G 将主要围绕增强型移动宽带(eMBB)、大规模机器通信(mMTC)、高可靠低时延通信(uRLLC)三个场景展开,并体现出个人信息的一些新特征。

在 eMBB 场景下,5G 将可以提供远超 4G 的超高带宽,预计典型应用为超高清视频、AR/VR、沉浸式教学或游戏、360 度全景直播等,涉及的个人信息更加广泛。以沉浸式教学为例,这种模式提供了一种虚拟学习环境,通过增强参与、互动、演练进而达到提升教学效果的目的。这种模式提供的服务,依赖于系统对受教者实时数据的分析、模拟、决策,教学过程中收集的教育记录、培训记录、浏览记录、使用记录等个人信息量相比传统教育模式有大幅增加。尤其是当涉及到一些特殊人群(如 14 岁以下儿童),或与人工智能、面部识别等新技术结合的情景,这一特征将变得更为突出,对于个人信息安全的需求和要求也更高。

在 mMTC 场景下,万物将实现互联,接入网络的个人设备不再限于手机、Pad、电脑,如智能手环等随身设备,以及智能门锁、智能安防等智能家居产品,将大量连入网络并传输数据。根据 GSMA 预测,2025 年世界将有 250 亿台设备接入 5G 网络并实现互连。这将给个人信息带来两个变化,一是个人信息将更加的碎片化,大量的设备都可能收集并传输一定量或某种程度的个人信息(个人敏感信息)并作为其提供服务的前提和基础,个人信息的管理将变得更为复杂;二是个人信息虽然碎片化,但是由于数据维度的增加、数据来源的增长, 个人信息整合、汇聚后的价值迅速提升,其在用户画像、个性化展示等应用上的作用更加突显,因此亟需加强规范和管理。

在 uRLLC 场景下,超低时延的通信成为现实,无人驾驶、远程医疗等需要高可靠、低时延网络支撑的应用将逐步实现。这一场景下的个人信息同样体现出了一些新特征。以无人驾驶为例,无论是 C-V2X,或是远程驾驶,都涉及到大量的位置信息,如果与特定主体的身份个人信息、设备信息(如 IMSI、IMEI)关联,很容易衍生为个人行踪信息等个人敏感信息。同样,在远程医疗应用中,无论是远程会诊,或是远程遥控手术、超级救护车,大量的个人健康生理等高度敏感的个人信息通过网络进行传递,且这种数据传输近乎实时,因此其管理值得高度关注。

二、2020版《个人信息安全规范》对 5G 的适用性

2020版《个人信息安全规范》是在 GB/T 35273-2017 基础上的更新迭代,此次版本尤其结合了国际上部分国家和地区最新法律、法规(如欧盟《通用数据保护条例》(General Data Protection Regulation)),部分新技术典型应用场景(如基于人工智能、大数据的用户画像),以及当前个人信息安全遇到的突出问题,增加或修改了部分内容,整体上更具实用性和前瞻性。2020版《个人信息安全规范》的相关内容,同时也体现了 5G 时代的个人信息特征,并具有较强适用性。

首先,2020版《个人信息安全规范》对于个人信息的全生命周期管理进行了规范,从个人信息的收集、存储、使用、委托处理、共享、转让、公开披露等关键环节,均进行了技术规范,并且从个人信息处理者的角度,对于个人信息安全事件处理、组织的个人信息安全管理提出了要求。5G 赋能千行百业,未来在 5G 技术的支持下,无论是传统行业的数字化转型,或是新行业新模式的创新发展,都必然会导致有越来越多的企业开始关注、收集、运用数据核心资产,对于个人信息安全和保护的需求也将大幅提升。在这方面,2020版《个人信息安全规范》虽属于推荐标准,但其涵盖内容相对完整,并体现出针对中国境内个人信息安全的特点,具备较强的参考意义。

其次,2020版《个人信息安全规范》契合了 5G 时代个人信息的新特征,并作出规范。例如,针对 5G 时代 mMTC 场景下,愈来愈多的设备具备采集、传输、处理数据和个人信息能力,个人信息呈现碎片化,但整合利用价值巨大的特点,2020版《个人信息安全规范》在7.6 节增加了“基于不同业务目的所收集个人信息的汇聚融合”内容, 从使用目的限制,汇聚后开展个人信息安全影响评估,采取有效的个 人信息保护措施等实际动作方面进行了规范。这对于 5G 时代,通过汇聚整合万物互联情景下不同渠道收集的数据,尝试创新的商业模式, 在合规和操作方面非常具有意义。

同样,2020版《个人信息安全规范》在 9.7 节中,增加了对于第三方接入管理的章节内容,从个人信息控制者角度,对于不属于委托处理、共同个人信息控制者情形下的具备收集个人信息功能的第三方产品或服务的管理,进行了规范和要求。相关内容适应了 5G 时代uRLLC 场景下的无人驾驶、远程医疗等应用中需要多方协同的情形。随着 5G 技术带来超高速率、超大连接、超低时延通信的实现,以及智慧城市等平台类应用的快速发展,未来以 5G 为基础的商业模式将更趋多元化,形态更趋丰富和多样化,因此更需要多方的合作与协作。其在处理个人信息和数据的过程中,也会更多涉及到诸如 SDK、小程序、软件开发包等第三方产品和服务,而这也恰恰是当前个人信息安全的一个薄弱环节和风险点。2020版《个人信息安全规范》在此次版本更新中,特别对这一情形进行了界定,对个人信息控制者提出了涵盖安全评估、合同责任明示、向用户明确标识、记录留存、第三方响应机制等诸多内容的规范要求,具有很强的针对性。

三、5G 技术对个人信息安全的支撑运用

5G 作为一种网络信息技术,其具备一些独特属性,也具备有效支撑个人信息安全的能力和潜力。

1、网络切片技术

网络切片是 5G 网络的特征之一。5G 时代,在统一网络基础设施架构下,电信运营商可通过采用硬切、软切等多种方式,将 5G 网络划分为不同的切片。划分出的若干网络切片,可以实现性能上的差异化,即同一基础网络可以同时满足不同业务对 SLA、速率等网络属性的异质化要求,并可根据用户需求进一步实现网络隔离、敏捷部署、独立运营、弹性网络等功能。基于切片技术的网络隔离、独立运营等属性,可以很好适应部分个人信息(尤其是个人敏感信息)传输过程中的特别需求。例如,在远程医疗应用中,会涉及大量的个人健康生理信息和数据传输,并且对网络时延、速率、稳定性、网络安全性有很高的要求,则可考虑采用网络切片技术进行支撑,确保其中的个人信息安全。

2、边缘计算技术

5G 时代随着如自动驾驶等低时延、高可靠应用的快速发展,对于近终端的计算需求不断增长,相关的个人信息安全保护也变得愈加重要。在“云管端”的基础上,边缘计算以其对实时分析和决策的有力支撑,获得了较多关注。5G 可以非常好的与边缘计算融合、协同。通过在接入网、汇聚网等层面的部分单元部署边缘计算节点的方式, 可以在降低时延、提升下行吞吐量的基础上,减少非必要个人信息的传输或存储,实现隔离,进而保障个人信息安全。

综上所述,5G 技术带来的通信能力提升,对于个人信息和个人信息安全而言,既是机遇亦是挑战。GB/T 35273-2020《信息安全技术个人信息安全规范》在很大程度上体现了 5G 个人信息特征,提出了有针对性的技术规范,适应了 5G 时代的个人信息安全需求。相信对于期望抓住 5G 机遇,创新发展的各类数字经济从业机构,都将具有非常好的指导意义。

(作者:中国联通国际有限公司 李政)

声明:本文来自信安标委,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论