伴随着“互联网+”战略的推进以及国家“十三五”规划创新、协调、绿色、开放、共享发展理念的提出，我国智慧城市建设正在加快推进步伐。智慧城市建设覆盖的行业众多，电力、交通、医疗等领域均承载着大量的敏感信息，这些涉及到个人、企业、政府的敏感信息一旦泄露，将对公民个人权益、企业商业利益、国家信息安全带来不可估量的危害。因此，应妥善协调智慧城市发展与敏感信息保护，积极探索新形势下的敏感信息保护思路，构建安全、可信的智慧城市健康发展环境。一、智慧城市敏感信息类型多样且特点显著智慧城市应用范围广，包括智慧政务、智慧交通、智慧医疗、智慧物流、智慧教育、智慧社区、智慧公共服务等众多细分领域，在从事这些应用的建设、管理以及提供服务的过程中均会大量采集、存储、传输、使用敏感信息。与此同时，由于智慧城市建设集成了移动互联网、物联网、云计算、大数据等众多新一代信息技术，这些敏感信息因此具备了数据量大、数据类型多、采集节点复杂、传输途径多、使用范围广等众多新特点。目前，国际范围内对于智慧城市涉及的敏感信息尚没有通用的分级分类标准。从信息的产生者角度考虑，可以按照产生敏感信息的主体进行分类，智慧城市敏感信息包括个人、企业、政府的敏感信息。政府敏感信息包括政府内部管理信息和政府行政信息;企业敏感信息包括企业商业秘密和企业运行信息;个人敏感信息包括自然人身份和标识信息、个人虚拟身份信息以及包括个人健康信息、位置信息等在内的使用智慧城市服务相关信息。

　　二、智慧城市敏感信息保护面临多重风险智慧城市总体架构由感知和延伸层、网络和信息设施层、数据和平台层、应用层组成，四层架构的实现需要在感知、网络、计算、存储等多方面进行软硬件设备和系统建设，依托于这些基础设施和信息技术的建设实施，智慧城市信息的采集、传输、存储、使用得以实现。在智慧城市运行的过程中，这些基础设施面临的安全风险给智慧城市敏感信息保护带来了很大的挑战。

　　在感知和延伸层，传感器节点极易成为不法分子的攻击对象，数据包的跟踪截获将可能导致敏感信息泄露。在网络和信息设施层，专用网、公众网、计算和存储设施均面临着大量的攻击威胁，一旦网络和基础设施被攻击劫持将可能导致敏感信息泄露。在数据和平台层，基础数据库、行业数据库、公共支撑平台等基础平台的数据安全保障是决定敏感信息能否得到有效保护的关键。在应用层，接入智慧城市的行业终端众多，业务系统管理认证机制和安全防护策略建设参差不齐，业务应用敏感信息同样面临巨大风险。

　　三、国外智慧城市敏感信息保护形势 在2009年IBM首次提出“智慧地球”概念后，世界范围内掀起了“智慧城市”建设的热潮,美国、欧盟、日本等发达国家和地区积极投入智慧城市建设。截至目前，美欧日等国家虽然没有专门针对智慧城市涉及的敏感信息进行保护机制建设，但这些国家在政府敏感数据和个人敏感信息保护方面的法律法规、监管机制建设相比我国更为完善，对于我国加强智慧城市敏感信息保护具有重要的借鉴意义。

　　美国针对“敏感信息”专门制定管理法规，建立了严密的“敏感信息”管理权责体系。美国“敏感信息”管理法规的全称是《受控非密信息》13556号总统令，2010年11月4日由奥巴马总统发布，强调美国“敏感信息”管理涉及到从安全、隐私到商业利益的方方面面。美国“敏感信息”管理总统令旨在联邦政府建立公开、统一的“敏感信息”管理框架，指定美国档案与文件管理局为“敏感信息”管理部门，要求其协调联邦政府相关行政部门建立“敏感信息”类别，并根据需要建立子类别。与此同时，总统令要求建立“敏感信息”在保护、传播、教育培训、争议调解等方面的规范标准建立，要求政府各机构公开发布其掌握的“敏感信息”类别及子类别，促进“敏感信息”的流程规范和透明化管理。

　　欧盟依托完备的法律，严格保护欧洲公民个人信息。欧盟针对所有成员国发布了《关于在电子通信领域个人数据处理及保护隐私权的指令》，并且在1995年出台《欧盟个人数据保护指令》，协调各国国内法以确保个人信息在欧盟范围内的全面保护和安全的自由流动。2016年4月14日，欧洲议会正式宣布投票支持新的数据保护法—《通用数据保护规则》(GDPR)，要求欧盟的所有公司必须负责个人数据保护。在新的数据保护规则下,公司必须确保在默认状态下自己的产品和服务尽可能少的获取和处理个人信息。公司必须获得用户“清晰明确的”同意才能处理他们的个人数据，并且数据将用于什么用途必须以“清晰直白的语言”陈述清楚。除了针对公司更加严格的规则，GDPR还让欧盟公民对自己的个人数据获得更大的控制权，包括“数据可携带性”和“被遗忘权”。此外，欧盟和美国正在研究Privacy Shield隐私保护法案，取代已经失效的安全港协议，主导大西洋两岸个人数据的移动和使用。

　　四、对我国智慧城市敏感信息保护工作建议 (一)推动敏感信息保护法律法规建设

　　智慧城市离不开公民的参与，公民个人信息是智慧城市敏感信息的重要组成部分。我国目前尚没有独立的个人信息保护立法，相关条款分散在众多法律文件中。众多行业部门的政府规章对于个人信息提出了明确的原则性要求，但配套细化的标准文件还需完善。建议推动《网络安全法》、《个人信息保护法》等法律规定尽快出台，对政府、企业、个人的敏感信息保护提出法律条文规定，并结合未来信息服务多样化特性，体系化推进政府规章、条令以及行业管理办法的制定，提出细化到智慧城市服务的管理要求，确保智慧城市敏感信息保护的有法可依。

　　(二)制定与智慧城市产业发展相适应的敏感信息保护监管策略

　　建议国家智慧城市建设相关部门建立联合管理机制，统筹智慧城市信息安全管理，强化信息采集、传输、存储、使用的全生命周期监管，制定智慧城市敏感信息保护规则，合理定义智慧城市敏感信息范围和边界，明确智慧城市敏感信息的保护要求和开放规则。与此同时，建立常态监测机制，强化智慧城市敏感信息保护监测，对智慧城市信息使用规范性进行常态监测，及时发现和解决问题，引导智慧城市产业健康发展。

　　(三)推进敏感信息保护标准体系与技术支撑手段建设

　　建议推动智慧城市敏感信息保护标准体系建设，强化敏感信息保护标准指引，细化管理和技术标准要求。加快对智慧城市敏感信息分类、智慧城市服务敏感信息保护等方面的标准研究。与此同时，强化智慧城市敏感信息保护技术支撑保障，加强对智慧城市传感器、网络设备、数据存储服务器等重要基础设施的安全防护。推动配套检测技术建立，完善智慧城市检测认证体系，通过科学规范的安全检测有效抵御智慧城市敏感信息安全风险。

　　(四)倡导行业自律意识和公民个人信息保护意识提升

　　建议通过联盟或行业协会的力量，推动智慧城市相关企业增强敏感信息保护自律意识。加强对智慧城市全产业链的敏感信息保护法规政策宣贯，包括对设备供应方、基础设施建设方、企业运营管理方、应用服务提供方等利益相关方的政策宣贯，推动智慧城市行业敏感信息保护自律，促进行业内形成良好的敏感信息保护氛围。与此同时，结合智慧城市可能遇到的个人信息保护问题和案例，加强对公民的宣传教育，提升公民的个人信息保护意识，进而从源头抵御个人信息泄露风险，遏制从事个人信息倒卖的灰色产业链发展，促进智慧城市的敏感信息保护。

　　责任编辑：余芯