新冠肺炎疫情发生以来,除每日更新的疫情数据、政府防控通告外,“35名密切接触者名单”遭扩散、返乡武汉大学生因信息被公开而遭受辱骂恐吓等事件报道也一同进入大众视野,造成社会不良影响,民众普遍对在疫情防控时期个人信息的采集、处理和使用表示出顾虑和担忧。为此,政府部门、相关企业纷纷采取措施遏制此类事件发生,着力维护用户合法权益。
3月4日,习近平总书记在中共中央政治局常务委员会会议中指出,“经过全国上下艰苦努力,当前已初步呈现疫情防控形势持续向好、生产生活秩序加快恢复的态势”。现阶段,我们在持续贯彻落实统筹推进疫情防控和经济社会发展工作部署会议精神基础上,仍需密切关注公众个人信息保护等关键环节和问题。我们注意到在疫情时期下,公众在使用互联网线上服务应用和配合复工复产人员信息排查中,仍然面临着较高的个人信息滥用与泄露风险,数据安全保护的相关议题也在持续引发社会热议。为此,疫情下数据安全与个人信息保护工作仍需引起各方足够重视,坚持高位推动,紧抓风险防控。
疫情下个人信息保护和数据安全风险加剧
在疫情防控工作大规模开展初期,为高效组织人员排查,有关部门在极短时间内收集了湖北地区人员、确诊患者及密切接触者等海量个人信息。据中国信通院互联网新技术新业务安全评估中心统计,涉疫情个人信息遭泄露事件占到疫情期间数据安全事件总数的70%左右。
疫情防控背景下,个人信息等数据收集渠道繁杂、存储媒介多样、接触人员众多等均对数据安全保护工作带来极大挑战。例如,部分卫生和防疫部门工作人员、医务人员、社区工作者等出于疫情防控的迫切心情,使用和处理数据方式不当引发了多起个人信息泄露事件。在这个过程中,互联网即时通信软件成为个人信息泄露的主要途径,包含原始个人敏感信息的数据表格在应用中大量上传并迅速扩散,为相关应用平台及时做出应急响应动作,阻断拦截个人敏感信息流转传播带来难度,部分事件已对相关个人信息主体造成直接困扰。又如,部分地区上线信息登记、健康状况申报等应用平台或在公共场所实施扫码出入管理制度,这类举措一方面为科学精准开展人员排查提供了信息化支撑能力,但另一方面也对数据安全产生了风险隐患,部分应用在紧急上线情况下缺少或简化安全评估与检测流程,存在个人敏感信息可公开下载、敏感信息明文传输等突出问题。
政企联手应对疫情期间数据安全风险问题
针对疫情防控期间个人信息泄露等数据安全事件的发生情况和态势,政企有关单位采取了一系列应对措施,从政策引导、责任落实和新技术运用等方面提升个人信息保护和数据安全风险防控水平。
2月4日,中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确疫情联防联控中个人信息保护和利用的有关要求。随后,工信部发布《关于支撑开展疫情联防联控工作切实加强个人信息保护的通知》,要求有关单位在疫情联防联控工作中严格遵守《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规和中央网信办要求,在六个具体方面将个人信息保护要求落到实处。公安部、卫健委等也明确了疫情期间个人信息安全保障工作要求,并作出相关风险提示。
在本次疫情防控中,电信大数据对区域性疫情精准防控提供了有力支撑。与此同时,针对属地个人信息安全保护形势,地方有关部门也加强了数据安全风险防范预警。例如,多省份通信管理局深入落实工信部有关要求,组织企业严格执行数据脱敏、数据最小化收集等措施,履行数据交接程序,在确保电信用户信息安全基础上,配合相关部门开展疫情防控工作。
疫情防控期间,科技企业也纷纷主动作为,承担起数据安全保护责任,提出创新性的数据安全保护解决方案。在源头防范方面,AI技术逐步应用于信息采集,避免防疫人员直接接触和处理用户原始信息。在途径管控方面,应用服务集成有限分享、隐藏加密等功能,防止涉疫情信息不当截屏与转发,阻断个人信息传播链条。在事件溯源方面,数据安全网关和追踪系统研发上线,运用数字水印等技术对数据的加工、传输、使用等过程进行安全监控。
总体看,在政企协同配合下,疫情期间个人信息泄露、被盗用等数据安全事件发生已得到有效控制,2月中下旬起公开报道数量逐步减少。
行业数据安全风险防范能力仍需持续提升
疫情防控时期,对我国各行业在突发事件下的应急响应能力来讲都是一次“大考”,信息通信行业数据安全保护工作水平也同时经受着考验。我们应理性的查找和看待在疫情防控中暴露出的短板和不足,在个人信息保护和数据安全管理方面,加大工作力度,全面构建行业数据安全综合保障体系,重点可从以下方面推进落实:
一是以通知六项任务要求为指引,在疫情联防联控中紧抓个人信息保护工作不松懈。各相关单位要持续落实工信部《关于支撑开展疫情联防联控工作切实加强个人信息保护的通知》,在疫情防控数据支撑服务等方面,严格落实个人信息收集使用要求,防范发生数据泄露等事件。
二是以数据作为核心保护目标,加强信息通信行业数据安全事件应急响应体系建设。在落实工信部《公共互联网网络安全突发事件应急预案》基础上,重点关注数据保护视角下的事件场景设置和等级划分,如数据违规采集使用、数据泄露或滥用、数据越权访问或遭窃取等,加快相关制度机制建设和行业标准研制。
三是以数据安全专项行动为契机,推动行业企业压实数据安全风险防范主体责任。2019年7月,工信部启动为期一年的“电信和互联网行业提升网络数据安全保护能力专项行动”,推动行业整体提升数据安全保障水平,行业企业要紧密围绕专项行动中开展数据安全合规性评估、规范App用户个人信息收集使用行为、完善数据安全事件应急处置机制等重点任务,加紧落实执行。
四是以互联网新技术新业务为依托,为行业数据安全保护工作提供技术支持。针对当前国内外复杂多变的数据安全形势和日益提升的安全保障需求,科研机构和企业要有效运用大数据、云计算、人工智能等技术加强数据安全风险监测预警。同时,围绕关键环节加大创新性技术产品研发力度,扩充技术能力储备,提高突发事件下行业数据安全风险整体应对能力。
作者简介:
庞妺,就职于中国信息通信研究院安全研究所信息安全研究部,主要研究领域为:数据安全、个人信息保护。
联系方式:pangmo@caict.ac.cn
