疫情下數據安全與個人信息保護經受考驗

　　新冠肺炎疫情發生以來，除每日更新的疫情數據、政府防控通告外，“35名密切接觸者名單”遭擴散、返鄉武漢大學生因信息被公開而遭受辱罵恐嚇等事件報道也一同進入大眾視野，造成不良社會影響，民眾普遍對在疫情防控時期個人信息的采集、處理和使用表示顧慮和擔憂。為此，政府部門、相關企業紛紛采取措施遏制此類事件發生，著力維護用戶合法權益。

　　3月4日，習近平總書記在中共中央政治局常務委員會會議中指出，“經過全國上下艱苦努力，當前已初步呈現疫情防控形勢持續向好、生產生活秩序加快恢復的態勢”?，F階段，我們在持續貫徹落實統籌推進疫情防控和經濟社會發展工作部署會議精神的基礎上，仍需密切關注公眾個人信息保護等關鍵環節和問題。我們注意到在疫情時期下，公眾在使用互聯網線上服務應用和配合復工復產人員信息排查中，仍然面臨著較高的個人信息濫用與泄露風險，數據安全保護的相關議題也在持續引發社會熱議。為此，疫情下數據安全與個人信息保護工作仍需引起各方足夠重視，堅持高位推動，緊抓風險防控。

　　疫情下個人信息保護和數據安全風險加劇

　　在疫情防控工作大規模開展初期，為高效組織人員排查，有關部門在極短時間內收集了湖北地區人員、確診患者及密切接觸者等海量個人信息。據中國信通院互聯網新技術新業務安全評估中心統計，涉疫情個人信息遭泄露事件占到疫情期間數據安全事件總數的70%左右。

　　在疫情防控背景下，個人信息等數據收集渠道繁雜、存儲媒介多樣、接觸人員眾多等均對數據安全保護工作帶來極大挑戰。例如，部分衛生和防疫部門工作人員、醫務人員、社區工作者等出于疫情防控的迫切心情，使用和處理數據方式不當引發了多起個人信息泄露事件。在這個過程中，互聯網即時通信軟件成為個人信息泄露的主要途徑，包含原始個人敏感信息的數據表格在應用中大量上傳并迅速擴散，為相關應用平臺及時做出應急響應動作，阻斷攔截個人敏感信息流轉傳播帶來難度，部分事件已對相關個人信息主體造成直接困擾。又如，部分地區上線信息登記、健康狀況申報等應用平臺或在公共場所實施掃碼出入管理制度，這類舉措一方面為科學精準開展人員排查提供了信息化支撐能力，但另一方面也對數據安全產生了風險隱患，部分應用在緊急上線情況下缺少或簡化安全評估與檢測流程，存在個人敏感信息可公開下載、敏感信息明文傳輸等突出問題。

　　政企聯手應對疫情期間數據安全風險問題

　　針對疫情防控期間個人信息泄露等數據安全事件的發生情況和態勢，政企有關單位采取了一系列應對措施，從政策引導、責任落實和新技術運用等方面提升個人信息保護和數據安全風險防控水平。

　　2月4日，中央網信辦發布《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》，明確疫情聯防聯控中個人信息保護和利用的有關要求。隨后，工信部發布《關于支撐開展疫情聯防聯控工作切實加強個人信息保護的通知》，要求有關單位在疫情聯防聯控工作中嚴格遵守《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規和中央網信辦要求，在六個具體方面將個人信息保護要求落到實處。公安部、衛健委等也明確了疫情期間個人信息安全保障工作要求，并作出相關風險提示。

　　在本次疫情防控中，電信大數據對區域性疫情精準防控提供了有力支撐。與此同時，針對屬地個人信息安全保護形勢，地方有關部門也加強了數據安全風險防范預警。例如，多省份通信管理局深入落實工信部有關要求，組織企業嚴格執行數據脫敏、數據最小化收集等措施，履行數據交接程序，在確保電信用戶信息安全基礎上，配合相關部門開展疫情防控工作。

　　在疫情防控期間，科技企業也紛紛主動作為，承擔起數據安全保護責任，提出創新性的數據安全保護解決方案。在源頭防范方面，AI技術逐步應用于信息采集，避免防疫人員直接接觸和處理用戶原始信息。在途徑管控方面，應用服務集成有限分享、隱藏加密等功能，防止涉疫情信息不當截屏與轉發，阻斷個人信息傳播鏈條。在事件溯源方面，數據安全網關和追蹤系統研發上線，運用數字水印等技術對數據的加工、傳輸、使用等過程進行安全監控。

　　總體看，在政企協同配合下，疫情期間個人信息泄露、被盜用等數據安全事件發生已得到有效控制，2月中下旬起公開報道數量逐步減少。

　　行業數據安全風險防范能力仍需持續提升

　　疫情防控時期，對我國各行業在突發事件下的應急響應能力來講都是一次“大考”，信息通信行業數據安全保護工作水平也同時經受著考驗。我們應理性的查找和看待在疫情防控中暴露出的短板和不足，在個人信息保護和數據安全管理方面，加大工作力度，全面構建行業數據安全綜合保障體系，重點可從以下方面推進落實：

　　一是以通知六項任務要求為指引，在疫情聯防聯控中緊抓個人信息保護工作不松懈。各相關單位要持續落實工信部《關于支撐開展疫情聯防聯控工作切實加強個人信息保護的通知》，在疫情防控數據支撐服務等方面，嚴格落實個人信息收集使用要求，防范發生數據泄露等事件。

　　二是以數據作為核心保護目標，加強信息通信行業數據安全事件應急響應體系建設。在落實工信部《公共互聯網網絡安全突發事件應急預案》的基礎上，重點關注數據保護視角下的事件場景設置和等級劃分，如數據違規采集使用、數據泄露或濫用、數據越權訪問或遭竊取等，加快相關制度機制建設和行業標準研制。

　　三是以數據安全專項行動為契機，推動行業企業壓實數據安全風險防范主體責任。2019年7月，工信部啟動為期一年的“電信和互聯網行業提升網絡數據安全保護能力專項行動”，推動行業整體提升數據安全保障水平，行業企業要緊密圍繞專項行動中開展數據安全合規性評估、規范App用戶個人信息收集使用行為、完善數據安全事件應急處置機制等重點任務，加緊落實執行。

　　四是以互聯網新技術新業務為依托，為行業數據安全保護工作提供技術支持。針對當前國內外復雜多變的數據安全形勢和日益提升的安全保障需求，科研機構和企業要有效運用大數據、云計算、人工智能等技術加強數據安全風險監測預警。同時，圍繞關鍵環節加大創新性技術產品研發力度，擴充技術能力儲備，提高突發事件下行業數據安全風險整體應對能力。

　　發稿時間：2020-05-07 11:19來源：人民郵電報 作者：中國信息通信研究院安全研究所 龐妺