来源 : 互联网
时间 : 2021-04-01
A+
(健康时报记者 张赫 实习记者 陈琳辉)“我们县城第一个确诊病例的所有信息都被全县曝光了,在朋友圈里疯传。”晓娟(化名)告诉记者,“那时候我连续接到好几个陌生电话,告知通过大数据追踪,我返乡途经武汉,去过药店,必须提供身份证号码、详细家庭住址、家庭成员姓名及身体状况等信息。”
民警和医务人员到受访者家中采集个人信息(受访者供图)
疫情期间,这种情况并不少见。扫码、刷脸、信息录入。疫情期间大数据追踪和人脸识别技术被应用到众多场景中,健康码对疫情防控更是起到了重要作用,但其中也不乏强制要求录入数据和个人信息泄露的情况。
对此,广州信息安全测评中心刘琦表示,个人也需要做好信息分级分类保护,打上数据标签,有必要录入个人生物特征数据的时候,要选择有官方背景且安全系数比较高的平台。生物特征数据具有唯一性和不可再生性,一旦数据库遭受攻击,将造成比传统密码泄露更加严重的影响。
疑问:刷脸时个人信息采集安全吗?
“青岛胶州中心医院出入人员登记的名单信息,大概有6000多人吧,姓名、住址、联系方式、身份证号码等到医院登记的信息全部出现在微信群里。”青岛市民张鑫(化名)告诉记者,青岛胶州中心医院6685人就诊名单信息曾出现在微信群,警方介入侦办。中国疾控中心研究员张流波曾在国务院联防联控机制发布会上表示,“医院是新冠肺炎防控任务最艰巨、最复杂的单位之一,医院内的传染病防控是当下最重要的工作内容之一。”
“我只是想挂一个号,需要输入我的真实姓名、手机号码、银行卡号、身份证正反面照片,还不如直接到医院挂号方便。”同样担心自己个人数据泄露的郑燕(化名)表示,刚开始觉得网上预约挂号可能更加快捷方便,但看见需要录入那么多个人信息,还不知道这个应用程序是不是安全,难免会越想越担心。
郑燕告诉记者,现在宁愿麻烦点直接去医院挂号,不接受医疗应用程序有可能存在强制授权、过度采集、超范围收集个人信息的方式。
“滴,未见异常,请通过。”郑燕一边描述着人脸识别技术的场景一边说,每次刷脸,都感觉自己的信息,再一次暴露在看不见的阳光下。对此,刘琦表示,在个人隐私数据中,人脸识别数据等生物特征数据是最为敏感的核心数据,在特定领域的应用存在严重风险。
“刷脸的时候,有专业人士要评估应用的后台服务等级,提升安全意识,尽量减少生物特征数据的使用场景。自身安全性不高或不能为用户提供安全保护的医疗单位,更不能收集生物特征数据,否则需要承担责任。”刘琦告诉健康时报记者,建议个人也需要对身份证、手机号码、金融类资产账号的密码做好分级分类保护,建议最好根据不同信息等级使用不同的密码,避免个人信息泄露后造成更大的损失。”
“期待从政府层面制定数据保护清单,严控生物、医药等关键领域内的数据在互联网上应用,切断风险源头。” 刘琦说,“疫情初期,健康码这类的应用比较敏感,在早期确实存在一些小的漏洞,但防护力量相对来说也比较充分,大的安全泄露事件目前还未发现。”
规范:《信息安全技术个人信息安全规范》国家标准正式发布
为了疫情防控的需要,2020年上半年的大数据应用,成了抗击新冠肺炎的技术手段,根据《传染病防治法》,全国紧急数据采集录入,建立了疫情大数据的分析模型,聚焦重点区域、重点时间结点来分析预测确诊、疑似患者以及密切接触人员等重点人群的流动情况。
“疫情期间,网络应用先上,需求先行,信息采集的安全措施没有及时同步上来,出现了一些医院预约挂号软件和医院本身的医疗数据泄露的案例,同时黑客组织也可能比较关注这方面信息,所以疫情期间经常看到一些医院和药店的软件出现漏洞,钓鱼邮件、勒索攻击等情况更多地出现。”
刘琦回忆说,今年3月,美国第二大药店沃尔格林(Walgreens)官方移动APP被曝存在漏洞,导致用户个人详细信息被曝光。泄露信息包括了姓名、处方详细信息、商店编号和送货地址等,泄露数据5000万条。
“今年全国人大已把专门的数据安全立法纳入今年第一批的立法计划。”刘琦表示,目前国家标准《信息安全技术 个人信息安全规范》正式发布,对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。此次标准的修订发布,是为了进一步落实2017年《中华人民共和国网络安全法》规定的个人信息收集、使用的“合法、正当、必要”基本原则,帮助提升行业和社会的个人信息保护水平。