再过几个小时,通信行程卡就要正式下线了。
12月12日,“通信行程卡”微信公众号发布了“关于下线‘通信行程卡’服务的公告”,根据国务院联防联控机制综合组有关要求,12月13日0时起,正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、App等查询渠道同步下线,具体信息如下所示:
行程卡上的个人信息怎么处理?
自2020年2月29日,行程卡(行程码)正式上线以来,为全国16亿手机用户免费提供其本人14天内到访地服务,如今,陪伴我们近三年的行程卡已经完成了它的历史使命,消失在人们的生活中。
公开信息显示,“行程卡”是由信息中国信息通信研究院联合中国电信、中国移动、中国联通三家基础电信企业利用手机“信令数据”,通过用户手机所处的基站位置获取,为全国16亿手机用户免费提供的查询服务,手机用户可通过服务,查询本人前14天到过的所有地市信息。
因此,当行程卡即将下线时,不少网友心里都有一个疑问:那些曾经采集的,海量的用户数据该怎么办?
众所周知,在过去近三年的时间里,行程卡收集了用户海量的个人信息。这些信息和每一个人密切相关,包括个人身份信息、医疗监控、行程轨迹、手机号码等,符合《数据保护法》《个人信息保护法》所定义的“敏感数据”。
虽然工信部一直强调,行程卡信息采集、存储和使用过程中严格遵循个人信息保护的相关法律法规,严格执行数据安全和个人信息保护的相关措施,按照最小化原则收集数据,在数据流通和使用的各个环节对数据进行脱敏,严格执行隐私保护要求。此外,工信部还设计了数据防攻击、防泄露、防盗等安全技术,确保相关数据的安全。
但是这依旧无法打消用户对于个人隐私信息的担忧,一旦这些信息大规模泄露或被网络攻击者非法使用,将会给个人带来比较严峻的网络安全风险,或者陷入诈骗团伙精心制造的陷进之中。
因此,不少安全专家都建议,当行程卡的历史使命已经完成时,这些关键的个人信息应该统一进行销毁,严禁在其他的地方再次使用这些信息。
根据我国个人信息保护法第47条第1款的规定,以下属于法定删除个人信息的情形:一是“处理目的已实现、无法实现或者为实现处理目的不再必要”;二是“个人信息处理者停止提供产品或者服务,或者保存期限已届满”。
如今,行程卡即将正式下线,那么所采集和存储的个人敏感信息应当依照《个人信息保护法》的相关规定,全部销毁或删除。
从网络安全的角度来看,无论信息保护措施多么严密,只要这些信息还储存在系统之中,那么就必定存在相应的泄露风险。唯有全部进行删除,才能真正保护行程卡中个人敏感信息的绝对安全。
逐渐失去作用的健康码,信息又该如何处理?
相比于行程卡,健康码上存储的个人信息更加详尽,且更加敏感。虽然健康码的作用正在逐步减弱,但它并未像行程卡一样彻底退出历史舞台。
2022年12月7日,国务院联防联控机制综合组发布了《关于进一步优化落实新冠肺炎疫情防控措施的通知》,明确指出“除养老院、福利院、医疗机构、托幼机构、中小学等特殊场所外,不要求提供核酸检测阴性证明,不查验健康码。重要机关、大型企业及一些特定场所可由属地自行确定防控措施。不再对跨地区流动人员查验核酸检测阴性证明和健康码,不再开展落地检”,进一步降低了健康码的作用。
“新十条”的出台似乎预示着健康码像行程卡一样退出民众的生活,由此也带来了“健康码信息该如何妥善处理,保护人民的个人敏感信息安全”的广泛讨论。
2020年2月,北京、上海、深圳杭州等全国各大城市纷纷依托固有的数字化平台,上线“健康码”,实施市民和进入城市人员按“绿码、红码、黄码”三色动态管理,领取绿码的人员凭码通行,领取红码和黄码的人员需按相关规定处理,符合要求之后即可转为绿码。
在随后的时间里,健康码承载着疫情防疫的重任,通过微信和支付宝APP,民众可以便捷地使用健康码,为遏止疫情蔓延作出了不可磨灭的贡献。但从网络安全的角度来看,健康码得以发挥作用,本质上是民众让渡了个人隐私权来支持全国的疫情防控。
总的来看,健康码采集的个人敏感数据包括,个人强关联信息(身份证号码、手机号码等)、个人健康信息(绿码)、详细的个人行程信息(场所码)、个人健康证明(核酸信息)以及疫苗接种信息等。
“新十条”发布之后,其中部分信息已经失去作用,诸如场所码、核酸证明等个人隐私信息已经不再被需要,其他的敏感数据使用频率也大大降低,那么这些个人信息接下来又该如何处理?
根据《个人信息保护法》总则第六条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
《新冠肺炎疫情防控健康码管理与服务暂行办法》第二十四条也明确要加强个人隐私保护,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。第二十九条明确,任何组织和个人发现违规违法收集、利用、公开个人信息的行为,可以及时向网信、公安部门举报。
根据目前健康码的实际使用需求和上述法律法规的相关要求,至少健康码存储的部分个人敏感数据应当彻底脱敏,甚至是参照行程卡的处理办法,对这部分个人隐私信息进行销毁或删除,以此保证民众的个人信息安全。
疫情松绑时代,对数据安全不能松绑
当下,全国各地对于疫情管控持续松绑,人民的生活也在朝着正常化、自然化的方向发展。但需要注意的是,对于行程卡、健康码收集的个人隐私信息的保护绝对不能松绑,越是在这样的时候越是应该好好保护这些信息,以免民众因信息泄露而被网络钓鱼或电信诈骗。
事实上,关于“疫情、红码”等相关钓鱼攻击和电信诈骗行为已经开始流行,并出现了多个常用套路,需要引起民众的警惕。
常见套路一:密接赋红码
诈骗分子冒充防疫工作人员向受害者发送“钓鱼链接”短信,谎称受害者是新冠确诊人员的密切接触者,要按照相关规定赋予红码,受害者填写个人信息皆可保持绿码。随后在链接中要求用户填下个人身份证号码、手机号码、银行卡号码等诸多敏感信息,并以各种理由诱导受害者输入“验证码”,进而转走受害者的钱财。
常见套路二:快递阳性
诈骗分子伪冒快递客服打电话,谎称你的快递检测出了新冠阳性,已被销毁,但可以申请理赔。在你加了“客服”好友后,骗子向你发送虚假“官方网站”,并诱导填写个人支付信息,盗走你的资金。此时,骗子以你的支付信用不足、理赔渠道未开通、赔款无法到账等为由,诱导你进行贷款,将钱转至诈骗分子账户,骗取钱款。
常见套路三:快速出核酸结果
诈骗分子冒充防疫机构工作人员,利用受害者急于需要核酸检测结果的心理,以“快速出核酸检测结果,加急最快半个小时”、“家里也能做核酸检测,只要额外付费便能办到”等为由骗取受害人钱财,随即拉黑受害人携款消失,再也无法联系上。
常见套路四:推销“新冠特效药”
此类骗局和以往“非典特效药、甲流特效药”等骗局极其类似,诈骗分子往往假冒政府部门、药物研究(医疗)机构等,以拨打电话、发送短信等方式进行推销,谎称有防疫“特效药”,借机大量销售常见保健品、无疗效的普通药甚至是假药,以此骗取受害者钱财。更有甚者将网络钓鱼链接伪装成“特效药”线上购买链接,一旦用户点击恶意链接,轻则泄露个人信息,重则遭遇勒索攻击等。
可以预见的是,在疫情持续松绑的时代,上述网络钓鱼和电信诈骗的行为将会一直存在,而行程卡、健康码等信息的泄露将会让不法分子的犯罪行为变的可信度更高。
因此,越是在疫情防控措施持续变化的阶段,我们更应该对在过程中收集、存储的敏感数据进行重点防护,根据我国实施的《数据保护法》《个人隐私保护法》等法规的具体要求,认真落实信息采集、存储、使用和删除等全生命周期中的安全防护要求,强化个人敏感数据的安全防护,将该删除的信息全部删除,该保护的信息确保安全。