有关数据显示,疫情期间,我国网站已累计报道涉疫情数据安全事件60余起,包括信息泄露、超范围共享、盗用等,如视频会议软件Zoom遭遇安全隐私风波、中信银行泄露客户信息被立案调查、江苏南通查获5000多万条个人信息数据在“暗网”售卖。此外,发展在线新经济对个人信息保护提出了更高的要求。
全国政协委员、德勤中国副主席蒋颖表示,数据作为新型生产要素,在疫情监测、防控救治、资源调配、“健康码”管理等方面表现相当“给力”,对于人员管理、疫情溯源、精准布控、社会治理发挥了巨大作用。但同时,海量个人信息被多渠道密集采集,极大增加了信息被非法收集、使用、泄漏,甚至贩卖风险。
蒋颖分析,疫情暴露出目前个人信息采集与保护方面存在以下问题。
一是个人信息采集主体多、标准不统一、安全隐患大。疫情期间,大量社区、物业、商圈等基层组织成为个人信息主要采集者,但各方对采集数据的方式、标准存在隐患。有的直接采用二维码扫描,但缺少“授权协议”“用户须知”,个人信息直接流向第三方企业;有的过度采集个人身份证、手机号、生物特征(如人脸)等重要信息,但是缺少必要的安全留存机制,极大存在数据泄露风险。
二是个人信息销毁和去隐私化缺乏相应规范。疫情期间,因防疫需要,各级组织收集了大量个人重要信息,有的存储在单位系统或纸质台账,有的甚至还留在了第三方企业系统中。常态化防控下,这些因防疫需要而留存的个人数据应该如何处置、如何销毁、如何去隐私化,缺乏主管部门的指导和规范。
三是在线新经济的快速发展对个人信息保护带来新挑战。疫情催生了以远程办公、远程教育、远程医疗等为代表的在线新经济发展。但同时,大量在线应用的个人、企业和组织面临了漏洞、病毒、恶意代码和网络攻击等新的风险。例如:微盟数据库事件就是由原有权限不足的工作人员在家办公,利用VPN毁掉公司数据,300多万家平台商户受影响,公司市值一天蒸发9亿。
针对上述问题,蒋颖提出三个方面建议,一是建立重大事件个人信息分级分类采集标准。建议完善应急管理相关法律条款,针对不同响应等级的重大突发事件,建立个人信息分级分类采集标准,明确不同情况下,采集主体、采集内容、采集方式、存储介质、流通范围和保护机制等,确保有法可依、有章可循。因数据采集不规范而造成泄露的,建立相应惩戒机制,强化主体责任。
二是强化常态化防控下个人信息的全流程管理。建立疫情过程中个人信息采集、存储、应用、去隐私化和销毁全流程管理机制。特别在此次疫情常态化防控中,要建立后续个人信息的去隐私化和安全销毁机制。建议由网信部门牵头,联动卫健、工信、公安等部门,开展专项检查,针对买卖、非法利用疫情数据的“黑灰”产业,加大排查打击力度,破除利益链条。
三是加强在线新经济领域的个人信息保护。建议由工信等部门牵头,尽快研究在线新经济所催生的新业态新模式,强化区块链、联邦学习、数据水印等新技术体系应用,培育和规制数据要素市场。设立国家级重大专项,开发关于在线新经济的风险评估、动态监测、溯源取证等安全产品,推动系统可信向数据互信转变。