首页 > 国内新闻 > 正文

疫情下多地实行扫码出入 扫码小程序是否泄露个人信息?

原标题:疫情下多地实行扫码出入扫码小程序是否泄露个人信息?

实行扫码出入制度的天津社区。

实行扫码出入制度的天津社区。

“现在不管去哪儿都要我的身份证号,又必须要配合,疫情结束之后这种个人信息会不会被泄露或者非法买卖啊?”随着疫情期间各地实名登记政策的推出,不少网友发出了这样的疑问。

新京报记者发现,在出入街道社区、商超时手动或扫码登记个人信息已经成为了疫情期间人们出行的“新常态”。根据各地具体政策的不同,收集个人信息的详尽程度也不同。有的登记政策只收集登记人的姓名电话,有的则收集了登记人的家庭住址、身份证号、行程路线等多项隐私信息。

多名专家表示,信息化为疫情防控提供了便利,为阻止疫情蔓延,地方推出这些措施合理合法,但根据《网络安全法》,搜集公民个人信息,需要明确告知被搜集者这些信息的使用目的、方式和范围,并且要采取措施确保个人信息安全、不被随意泄露。

“出于疫情防控而采集的信息,只能作为防疫使用,任何人不得擅自泄露,擅自利用,否则即构成对特定个人的侵权。同时,为防止信息泄露,信息采集的资料保管应有严格的查阅和保管制度,利用网络技术方式采集的,应当满足一定的计算机安全标准。”北京盈科(杭州)律师事务所律师方超强告诉新京报记者。

登记信息遭泄露?

专家:泄露事件可能加重隐瞒情况,应“重罚”

疫情期间,出于公共安全的需要,居民出行时进行身份信息登记成为了常态,但也有越来越多的人对登记详细信息的必要性产生了质疑。

“刚刚去某奶吧买个奶,都要登记住址、身份证号码、手机号码等信息,虽然为了排查需要,但也不免担心,会不会造成个人身份信息泄露问题?”2月18日,杭州网友婷婷发出了这样的吐槽。“现在出门就要扫码登记,去商店买个东西也需要出示身份证记录。”2月21日,在河北老家进行“线上办公”的李小伟告诉记者。

随着个人信息登记也出现一些泄露个人信息的事件。如根据深圳电视台的报道,光明区马田街道的李先生报料称,社区的一名网格员不知何故,将居民登记表直接发到小区微信群。在群内的登记表上,记录了600多人的姓名、身份证号、住址、电话号码等信息,涉及多个小区,而涉事网格中心负责人则对此回应称,个别网格员对社区新出的系统使用不是很规范,产生操作不当的现象。

新京报记者统计发现,对于武汉人员的信息泄露更为严重。春节期间,一些地方利用大数据手段摸排从武汉返乡人员信息时,曾发生多起隐私信息泄露事件。如在武汉上学的湖南人小孙返乡后一直在家隔离,但在疫情暴发初期,她常常会收到许多通过手机号搜索到的“微信好友请求”。“甚至有人直接跟我说,‘你为什么要从武汉回来害人?’但我只是在武汉读书,回家后也没有到处走动,只是在家隔离,我不知道我的信息从哪泄露的,觉得很委屈。”

对此,中国人民大学法学院副教授丁晓东表示,对个人信息保护的利用规范,最大的风险是广大的基层可能没有太多个人信息保护意识,当一些非专业机构的人士收集个人信息时,若出现不太规范的地方,一旦信息泄露出去,可能会在未来带来骚扰电话、诈骗等麻烦事。此时必须特别注意,收集信息最核心的目的是勾勒行踪轨迹,而与此相关的其他信息,要尽量不收集。

“在目前这种情况下,合理放宽利用个人信息的范围是没有问题的,但对于不恰当的利用行为要重拳出击,对泄露到微信群的行为要重罚,对大规模的泄露事件甚至拘留的手段也可以考虑,这是因为在当前这一特殊时期,信息泄露除了对当事人的权益会造成影响之外,还有可能让人因担心信息泄露而不愿意去申报,最后导致隐瞒情况的发生。”丁晓东表示。

新京报记者发现,目前已经出现了因泄露个人信息遭处罚的案例。如广州市公安局曾于2月6日通报一起“小区的业主微信群内发布多名公民个人信息”案,在该案中,违法嫌疑人郑某将多名曾乘坐某邮轮的游客名单(含个人信息)发送给朋友叶某,叶某又将上述游客个人信息转发至其所在小区的业主微信群内。最终警方依据《中华人民共和国治安管理处罚法》相关规定,对郑某叶某两人予以罚款500元的处罚。

多地实行扫码出入

扫码小程序未明示信息保存方式?

新京报记者发现,在疫情期间,对公民个人信息的登记主要分为两个渠道:前期在街道社区、便利店等进行的手动登记以及后期逐渐流行的大数据扫码。

据记者不完全统计,2月以来,杭州、天津、广西、云南等多个省市自治区均推出了公共场合实名登记出入的政策,沈阳、南京、贵阳等地推出了乘车实名登记的政策,还有多地出台了买药实名制措施。

2月19日,记者在天津探访时发现,各个街道已经开始实行扫码出入制度。“这个政策是2月18日开始实行的,出入都需要扫码。”天津光复道街某小区一名社工告诉记者。记者扫描社区提供的二维码发现,手机会进入“津门战疫”小程序,只需要进行短信验证即可成功注册。

相比天津,广西、云南等地采取扫码出入制度的时间更早,家住南宁的罗女士对记者表示,2月17日广西就发布了在公共场所实行扫码出入制度的通告,“街道将出入二维码打印出来放在小区口,我们出入小区拿快递等都需要扫码。”

记者扫描罗女士提供的出入二维码发现,手机会进入“扫码抗疫情”小程序,第一次登记需要填写姓名、手机号,可选填身份证号,在接受完手机验证码后,即可注册成功。界面下方显示为该小程序提供技术支持的是“中国-东盟信息港股份有限公司”。

而云南发布的“云南抗疫情”小程序的扫码注册流程则与天津类似,该小程序只需要短信验证即可成功注册。

此外,天津、广西、云南三地的扫码小程序也有“公共场所注册”选项。据了解,该功能为公共场所负责人所申请。以广西为例,公共场所的负责人需要输入公共场所名称、申请人的姓名、手机号、行政区域以及详细地址,即可生成二维码,之后在该公共场所出入的人员信息就可以通过扫码上传至网络。

记者发现,公共场所管理员可以看到出入人员的姓名以及隐藏掉四个数字的手机号码,不过为保护个人信息安全,出入人员的登记信息被设置为不可导出。

“这一设计是合理的,因为仅仅是个人姓名和隐去部分数字的手机号,并未超过‘最少可用’的采集标准,可以为疫情防控提供人员流动信息,却不足以让采集者识别公民个人。”方超强表示。

但需要注意的是,上述小程序只需要注册即可使用,但对使用信息的目的、方式和范围、保存方式并未有说明。根据《网络安全法》第四章有关规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。因此有观点认为,收集用户信息的小程序应该更加明确标出其收集信息的目的、使用范围、存储期限等情况。

新京报记者发现,目前有地方政府机构对收集信息的用途做出了明确说明。

如安徽蚌埠市在市区范围内开展重点人群及接触者全面排查工作时,要求市民要扫二维码填报健康信息。2月18日,市数据资源局信息资源中心主任张锐在接受当地媒体采访时表示,“所有收集到的数据均汇集在市政府数据机房,不会存储在商业机构中,机房和数据库系统按国家三级等保标准建设,可满足数据安全要求。收集的数据由政府授权并签订安全保密协议的工作人员统一集中管理,并规定本次所有收集的居民信息只限用于我市疫情管理。”

有专家向记者透露,蚌埠市的说明很完善,“这就属于‘明确了收集信息的使用用途、范围’,相比之下建议其他要求提供实名制的地方以明示提醒的方式告知用户收集信息的用途。”

“从技术上看,通过短信进行实名验证,验证环节是在掌握比对信息的信息库服务器上完成的,例如中国移动,验证成功之后,只会反馈验证成功、验证不成功等简单信息,不会过多涉及个人信息。从保护公民个人信息的角度出发,如果通过二维码登记的方式采集了公民个人信息,在疫情防控解除,采集信息完成作用后,及时进行去标识化处理或者删除应该是比较合理的。”方超强对新京报记者表示。

疫情过后信息如何处理?

确保后续数据安全更重要,要对收集信息的APP严格监管

2月4日,网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。通知要求,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则。

对此,APP专项治理工作组专家洪延青、何延哲、葛鑫在其公号发文称,疾病防控大数据分析涉及大量个人信息,甚至是对特定人群的追踪分析,不是任何单位或个人都有授权、有能力开展的。在《传染病防治法》《突发公共卫生事件应急条例》中,获得明确授权的有疾病预防控制机构、医疗机构,以及直接参与到国务院和省、自治区、直辖市人民政府制定、实施的“突发事件应急预案”中的单位和个人。非上述单位和个人,不应在未征得个人同意的情况下将个人信息用于疫情管控、重点人群追踪等目的。

在洪延青等专家看来,目前各地疾病防控机构、基层街道社区等普遍开展走访调查工作,统计相关人员个人信息。这个过程涉及个人信息的采集、汇总、共享、披露等多个环节,每个环节都应当注意做好个人信息保护工作,以防出现数据泄露、丢失、滥用等情形。“比如,采集过程中,如果各地疾病防控机构、基层街道社区等以纸质填表方式开展的走访调查,需要严格要求纸质材料不被拍照、复印,进行统一回收,保管妥当。如果以电子方式记录或汇总相关信息,需要责任到人,并保存在特定的终端,并将数据和备份数据加密存储。在个人信息使用过程中,需要做到专采专用,严格限制于疾病防控目的,不得挪作他用,并且在疫情防控结束后按照规定予以妥善处置。”

丁晓东认为,在电子化的环境下,最重要的是对收集到的信息进行去标识化,这样可以最大限度的降低风险。“在这种情况下,确保后续的数据安全,比知情同意原则更重要,我呼吁政府对疫情期间收集到的个人信息增加追踪过程,等疫情过后,要对收集这些信息的APP进行严格监管。”

丁晓东建议,除基本的疫情申报途径外,疫情防控机构最好还能设置单独申报个人信息的途径,“一些人隐瞒病情并非是不想去医院,而是是出于自身原因,想要隐瞒涉及个人隐私的行程,此时需要设立严格保密机制下的个人信息申报途径,这种途径可以最大限度避免疫情隐瞒,对控制疫情发展有利。”

新京报记者罗亦丹编辑李薇佳校对柳宝庆

相关阅读:
北京积水潭医院新冠肺炎智能预问诊系统上线 人民银行:3千亿专项再贷款是暂时政策