“健康码”数据安全和个人信息保护措施与建议-38页.pdf

CCIA-DSC-SW-202201 “健康码”数据安全和个人信息保护措施与建议 以安全风险、现状、案例为视角 以法律法规、规章、标准为参考 V 1.0 CCIA 数据安全工作委员会 专题工作小组 2022 年 7 月 声声 明明 2022 中国网络安全产业联盟（CCIA）数据安全工作委员会。版权所有，未经许可，不得使用。如进行转载或适当引用时请注明“来源：CCIA 数据安全工作委员会”。本文件仅供交流与研究使用，不构成专业咨询意见。编制单位及人员编制单位及人员 本文件由中国网络安全产业联盟（CCIA）数据安全工作委员会召集的专题工作小组编制，小组涉及的单位、人员、分工如下：序号 主要工作任务 主要参与单位及人员 1 编制统筹 第一节 概述 中国电子技术标准化研究院 何延哲 2 第二节 数据收集 世辉律师事务所 王新锐 北京汉华飞天信安科技有限公司 彭根 3 第三节 数据存储 同盾科技有限公司 刘晓霞 赵峰 北京神州绿盟科技有限公司 王晓丹 4 第四节 数据使用 竞天公诚律师事务所 袁立志 朱垒 上海杉涌律师事务所 石维娜 5 第五节 数据共享 世辉律师事务所 王新锐 6 第六节 数据接口安全 全知科技（杭州）有限责任公司 申杰 7 第七节 个人信息权利保障 竞天公诚律师事务所 袁立志 朱垒 8 第八节 数据安全管理 卫士通信息产业股份有限公司 查海平 北京安华金和科技有限公司 谭峻楠 9 第九节 其他情形 中国网络安全审查技术与认证中心 樊华 10 校审专家 北京理工大学 洪延青 11 文稿编辑、美化 深圳赛西信息技术有限公司 刘丹丹 符文田 目 录 第一节 概述.-1-第二节 数据收集.-2-一、现状分析.-2-二、参考依据.-4-三、措施建议.-5-第三节 数据存储.-7-一、现状分析.-7-二、参考依据.-9-三、措施建议.-9-第四节 数据使用.-10-一、现状分析.-10-二、参考依据.-12-三、措施建议.-13-第五节 数据共享.-14-一、现状分析.-14-二、参考依据.-16-三、措施建议.-16-第六节 数据接口安全.-17-一、现状分析.-17-二、参考依据.-19-三、措施建议.-19-第七节 个人信息权利保障.-21-一、现状分析.-21-二、参考依据.-22-三、措施建议.-22-第八节 数据安全管理.-23-一、现状分析.-23-二、参考依据.-27-三、措施建议.-28-第九节 其他情形.-30-一、现状分析.-30-二、参考依据.-31-三、措施建议.-32-1-第一节第一节 概述概述 本文件所称“健康码”，是指广泛应用于新冠疫情防控和复工复产过程中，与居民身份信息绑定，能够反映其是否与确诊患者、密接人员等存在时空交集而存在的风险、核酸检测结果、疫苗接种情况等的一串数字、字母的序列或信息。“健康码”通常使用二维码作为存贮媒体，部分地区会将“健康码”进行自行命名，并同时随码展示某些个人信息（如查询时间、掩码姓名、注射疫苗或核酸检测情况等），以便于公众使用。“健康码”自诞生以来，因其简单、易用、高效、互通等特点，为新冠肺炎疫情防控的精准施策、动态清零等举措提供了关键支撑，是应用大数据进行疫情防控的重大创新举措。“健康码”运转的背后是海量个人信息的汇集、共享并利用算法进行自动化决策。显然，“健康码”的运行需要遵循 个人信息保护法数据安全法 网络安全法等法律法规的要求，“健康码”运营者具有履行个人信息保护和数据安全的法定义务。从 个人信息保护法第十三条来看，“健康码”的个人信息处理行为具有合法性，但其他法定的个人信息保护和数据安全义务仍然需要遵守。此外，“健康码”所处理的大量敏感个人信息一旦被泄露、滥用等均会直接影响到大量民众的切身利益，对社会公共利益、国家安全产生直接影响，还可能会增加社会治理成本、损害政府公信力，因此“健康码”所涉及的数据处理和安全保护还显著区别于一般情况。在全球新冠疫情仍然持续的大背景下，“健康码”还将在我国的疫-2-情防控中持续发挥重大作用，其自身的安全、所处理数据的安全一直且依然是各地使用“健康码”的重中之重。而此前，各地“健康码”在不断运行完善的过程中，也曾暴露出一些安全方面的问题、隐患，后续“健康码”的持续运行、功能更迭仍然可能面临着众多安全威胁，其数据安全和个人信息保护形势仍然不容乐观。CCIA 数据安全工作委员会为履行社会责任，组织委员会单位专家和外部专家组成工作小组，以安全风险、现状、案例为视角，以法律法规、规章和规范性文件、标准等为依据，对“健康码”涉及的数据处理的各个环节进行分析，对数据安全和个人信息保护方面可采取的措施与建议进行研究、归纳，形成了“健康码”数据安全和个人信息保护措施与建议（简称“措施与建议”），以供“健康码”运营者参考。本措施与建议基于撰写人自身对法律法规和相关标准的认识和理解，并非权威官方的解释。因此，措施与建议难免存在各种错误和不足，因此诚挚欢迎各位同仁提出宝贵的意见与建议。我们将在适当的情况下更新迭代本措施与建议。第二节第二节 数据收集数据收集 一、现状分析一、现状分析“健康码”的生成、申领必然涉及个人信息的收集，环节存在用户主动申报信息、多方数据打通、人脸识别验证等场景；在使用健康码进行防疫过程中，也存在相关单位要求用户出示、提供、留存健康-3-码信息的场景。1、用户主动申报信息、用户主动申报信息 用户在申领健康码时，各地一般通过小程序、App 等方式（“健康码应用”）收集申报所需的个人信息，包括用户的身份信息、行程信息、健康信息、接触史信息等。但除了部分健康码应用在注册时需用户点击同意各地方政府的运营管理机构制定的用户协议和隐私政策，以告知如何处理个人信息外，还存在健康码应用用户直接进入具体的信息填报注册页面并无相应告知页面的情况。为方便使用，健康码会被整合到微信、支付宝等第三方平台，会出现请求用户点击同意第三方平台的授权书，但是该授权多系第三方平台就所授权信息（如第三方平台的账号名、实名认证信息等）获得用户的“单独同意”，对健康码收集个人信息的规则说明不够。此外，有的健康码还会嵌入当地政务服务 App 或小程序、关联电子社保卡和健康卡，但是并未区分和告知不同应用和场景下收集使用个人信息的不同目的。除了告知不充分，曾经有用户反馈，个别健康码在主动申报环节还存在过度收集个人信息的问题，如收集特定金融机构储户身份、生活习惯等，甚至用户的运动情况、饮酒、吸烟、睡眠等都会纳入申报健康码时的提交信息范围。收集上述个人信息很可能超出健康码防疫本身功能之必要。2、间接获取、间接获取健康码健康码数据数据-4-各地健康码管理平台会从各地社区、卫生健康、工信、交通运输等部门间接获取个人信息，以实现行程追踪、精准防控的目的。例如，健康码系统会接入航空、铁路、公路以及城市公共交通（地铁、公交）等交通数据、银行金融机构支付数据等，以获取完整的行程、轨迹信息。当民众申报健康码时，后台会根据申报人的身份信息，自动比对其他渠道的行程信息、定位数据，并给用户赋码。3、人脸识别验证、人脸识别验证 部分健康码将人脸识别作为使用健康码所必要的信息。在人脸识别验证环节，即在用户申领健康码时，人脸验证为用户完成实名认证的唯一方式，并未提供其他的身份验证方式。4、相关单位要求用户提供健康码、相关单位要求用户提供健康码 根据防疫要求，学校机构、企业单位等机构可能会要求用户定期提供健康码。收集的信息不仅包括健康码截图本身，有的还要求附带在截图图片上备注的姓名、电话、甚至身份证号等敏感个人信息。二、参考依据二、参考依据 数据收集阶段，可参考的相关法律法规、规章、标准如下：网络安全法第 40、41、43 条 数据安全法第 32、38 条 个人信息保护法第 5、6、7、10、13、14、17、34、35 条 关于做好个人信息保护利用大数据支撑联防联控工作的通知第 1、2、3 条-5-关于进一步做好联防联控和复工复产中数据安全与个人信息保护工作的通知（中网办发电20206 号）信息安全技术 个人信息安全规范（GB/T 35273-2020）第5 章 信息安全技术 网络数据处理安全要求（GB/T 41479-2022）第 5.2、A.3 条 信息安全技术 移动互联网应用程序（App）收集个人信息基本要求（GB/T 41391-2022）第 6 章 三、措施建议三、措施建议 根据当前存在的问题及上述法律和规范性文件，相关单位在收集健康码数据时应确保具备个人信息处理的合法基础，采取对个人权益最小的处理方式，以显著方式、清晰易懂的语言真实、准确、完整地进行告知等，具体的措施建议如下：1、告知规则：、告知规则：通过隐私政策、弹窗等各种形式具体、完整、清晰、显著地告知用户关于健康码应用处理其个人信息的相关事宜：通过隐私政策等方式公开个人信息收集使用规则。除了在登录界面或获取个人信息界面放置隐私政策链接入口外，在以后完成登录后将隐私政策放置于用户容易获得的位置；通过弹窗等形式显著提示用户阅读个人信息收集使用规则。为了方便用户了解规则，可以概括隐私政策的核心内容，以弹窗的形式推送至用户，以更好地完成告知义务；-6-完整告知个人信息收集使用事项，对于所收集的敏感个人信息还需要告知处理的必要性以及对个人权益的影响。如在收集人脸信息时，明确告知收集人脸个人信息的目的、必要性及对个人权益的影响。2、区分功能：、区分功能：将基于生成健康码的个人信息使用目的与其他场景的使用目的分别告知。如在隐私政策中，区分个人信息使用的功能，将生成和使用健康码用作疫情防控作为单独的一类使用场景，列明其中所涉的个人信息的使用目的与方式；健康码的基本功能为疫情防控。该功能需独立运行，不应将该功能与其他功能进行捆绑，且在用户首次申请健康码时，不宜向用户推荐更不用默认开启疫情防控以外的其他功能，其他功能的开启只能由用户自主选择单独开启、开启其他功能时亦应有明显的提示和告知。3、最少必要：、最少必要：仅收集健康码应用所必要的个人信息，不收集个人职业、生活习惯等与疫情防控并无直接关联的个人信息；用户通过人脸识别验证身份等方式完成健康码申领后，在用户登录环境等未发生变化时，可采用用户账号、手机号、身份证号一致性等方式来进行身份再次鉴别以减少反复收集人脸信息。4、合法性基础：、合法性基础：-7-仅在应对突发卫生事件或者防疫目的下收集个人信息，否则应取得用户的同意；对于间接收集的个人信息，应从数据来源合法的机构获取。5、安全传输：、安全传输：不应采用低强度加密算法或容易破解的加密机制对健康码数据传输进行简单加密处理；可同时采用信道加密和内容加密技术对手机号、身份证、人脸图片、核酸结果、家庭住址等信息进行高强度加密后再进行数据传输。第三节第三节 数据存储数据存储 一、现状分析一、现状分析 在健康码生成、亮码及扫码场景下，可能涉及应用程序端、扫码端对于个人信息的存储期限、存储期届满后相关个人信息处理措施等事项。1、存储位置、存储位置 总体来说，在健康码生成、亮码及扫码的过程中，主要涉及健康码应用程序端、健康码后台系统、扫码端三个主体。而在健康码从生成到使用的整个周期中，上述三个主体均可能存储相关的个人信息。部分健康码未向用户告知其健康码相关的个人信息的具体处理者、数据存储的平台所在地域等信息，将可能影响用户进行申诉的便利性。-8-2、存储方式及期限、存储方式及期限 部分健康码展示界面会显示用户身份信息（如经掩码处理的证件、号码）及健康状况（如核酸检测结果、检测时间），此外健康码所关联的信息汇总分析了多类个人信息（如疫苗记录、行程记录、不满十四周岁的未成年人个人信息），根据个人信息保护法第 28 条，此类信息包含敏感个人信息，应当采取严格保护措施。因此在健康码生成后，对于健康码及健康码所关联的个人信息以及个人信息的分析结果等数据的存储，均应符合法规及监管要求。在实际应用过程中，一些健康码应用未告知用户健康码相关信息的存储期限，对其中的敏感个人信息如何严格保护和存储也并不明确。3、存储安全措施、存储安全措施 数据存储往往是数据最为集中的环