“健康碼”數(shù)據(jù)安全和個人信息保護(hù)措施與建議

1、 HYPERLINK / “健康碼”數(shù)據(jù)安全和個人信息保護(hù)措施與建議 HYPERLINK / 以安全風(fēng)險、現(xiàn)狀、案例為視角 HYPERLINK / 以法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)為參考目 錄 HYPERLINK l _bookmark0 第一節(jié) 概述 . - 1 - HYPERLINK l _bookmark1 第二節(jié) 數(shù)據(jù)收集. - 2 - HYPERLINK l _bookmark2 一、現(xiàn)狀分析. - 2 - HYPERLINK l _bookmark3 二、參考依據(jù). - 4 - HYPERLINK l _bookmark4 三、措施建議. - 5 - HYPERLINK l _bookmar

2、k5 第三節(jié) 數(shù)據(jù)存儲. - 7 - HYPERLINK l _bookmark6 一、現(xiàn)狀分析. - 7 - HYPERLINK l _bookmark7 二、參考依據(jù). - 9 - HYPERLINK l _bookmark8 三、措施建議. - 9 - HYPERLINK l _bookmark9 第四節(jié) 數(shù)據(jù)使用.- 10 - HYPERLINK l _bookmark10 一、現(xiàn)狀分析.- 10 - HYPERLINK l _bookmark11 二、參考依據(jù).- 12 - HYPERLINK l _bookmark12 三、措施建議.- 13 - HYPERLINK l _book

3、mark13 第五節(jié) 數(shù)據(jù)共享.- 14 - HYPERLINK l _bookmark14 一、現(xiàn)狀分析.- 14 - HYPERLINK l _bookmark15 二、參考依據(jù).- 16 - HYPERLINK l _bookmark16 三、措施建議.- 16 - HYPERLINK l _bookmark17 第六節(jié) 數(shù)據(jù)接口安全. - 17 - HYPERLINK l _bookmark18 一、現(xiàn)狀分析.- 17 - HYPERLINK l _bookmark19 二、參考依據(jù).- 19 - HYPERLINK l _bookmark20 三、措施建議.- 19 - HYPERL

4、INK l _bookmark21 第七節(jié) 個人信息權(quán)利保障. - 21 - HYPERLINK l _bookmark22 一、現(xiàn)狀分析.- 21 - HYPERLINK l _bookmark23 二、參考依據(jù).- 22 - HYPERLINK l _bookmark24 三、措施建議.- 22 - HYPERLINK l _bookmark25 第八節(jié) 數(shù)據(jù)安全管理. - 23 - HYPERLINK l _bookmark26 一、現(xiàn)狀分析.- 23 - HYPERLINK l _bookmark27 二、參考依據(jù).- 27 - HYPERLINK l _bookmark28 三、措施

5、建議.- 28 - HYPERLINK l _bookmark29 第九節(jié) 其他情形.- 30 - HYPERLINK l _bookmark30 一、現(xiàn)狀分析.- 30 - HYPERLINK l _bookmark31 二、參考依據(jù).- 31 - HYPERLINK l _bookmark32 三、措施建議.- 32 -第一節(jié) 概述本文件所稱“健康碼”，是指廣泛應(yīng)用于新冠疫情防控和復(fù)工復(fù)產(chǎn)過程中，與居民身份信息綁定，能夠反映其是否與確診患者、密接人員等存在時空交集而存在的風(fēng)險、核酸檢測結(jié)果、疫苗接種情況等的一串?dāng)?shù)字、字母的序列或信息?！敖】荡a”通常使用二維碼作為存貯媒體，部分地區(qū)會將“健康

6、碼”進(jìn)行自行命名，并同時隨碼展示某些個人信息（如查詢時間、掩碼姓名、注射疫苗或核酸檢測情況等），以便于公眾使用?！敖】荡a”自誕生以來，因其簡單、易用、高效、互通等特點，為新冠肺炎疫情防控的精準(zhǔn)施策、動態(tài)清零等舉措提供了關(guān)鍵支撐，是應(yīng)用大數(shù)據(jù)進(jìn)行疫情防控的重大創(chuàng)新舉措?！敖】荡a”運轉(zhuǎn)的背后是海量個人信息的匯集、共享并利用算法進(jìn)行自動化決策。顯然，“健康碼”的運行需要遵循個人信息保護(hù)法數(shù)據(jù)安全法網(wǎng)絡(luò)安全法等法律法規(guī)的要求，“健康碼”運營者具有履行個人信息保護(hù)和數(shù)據(jù)安全的法定義務(wù)。從個人信息保護(hù)法第十三條來看，“健康碼”的個人信息處理行為具有合法性，但其他法定的個人信息保護(hù)和數(shù)據(jù)安全義務(wù)仍然需要遵守

7、。此外，“健康碼”所處理的大量敏感個人信息一旦被泄露、濫用等均會直接影響到大量民眾的切身利益，對社會公共利益、國家安全產(chǎn)生直接影響，還可能會增加社會治理成本、損害政府公信力，因此“健康碼”所涉及的數(shù)據(jù)處理和安全保護(hù)還顯著區(qū)別于一般情況。在全球新冠疫情仍然持續(xù)的大背景下，“健康碼”還將在我國的疫情防控中持續(xù)發(fā)揮重大作用，其自身的安全、所處理數(shù)據(jù)的安全一直且依然是各地使用“健康碼”的重中之重。而此前，各地“健康碼”在不斷運行完善的過程中，也曾暴露出一些安全方面的問題、隱患，后續(xù) “健康碼”的持續(xù)運行、功能更迭仍然可能面臨著眾多安全威脅，其數(shù)據(jù)安全和個人信息保護(hù)形勢仍然不容樂觀。CCIA 數(shù)據(jù)安全工

8、作委員會為履行社會責(zé)任，組織委員會單位專家和外部專家組成工作小組，以安全風(fēng)險、現(xiàn)狀、案例為視角，以法律法規(guī)、規(guī)章和規(guī)范性文件、標(biāo)準(zhǔn)等為依據(jù)，對“健康碼”涉及的數(shù)據(jù)處理的各個環(huán)節(jié)進(jìn)行分析，對數(shù)據(jù)安全和個人信息保護(hù)方面可采取的措施與建議進(jìn)行研究、歸納，形成了“健康碼”數(shù)據(jù)安全和個人信息保護(hù)措施與建議（簡稱“措施與建議”），以供“健康碼”運營者參考。本措施與建議基于撰寫人自身對法律法規(guī)和相關(guān)標(biāo)準(zhǔn)的認(rèn)識和理解，并非權(quán)威官方的解釋。因此，措施與建議難免存在各種錯誤和不足，因此誠摯歡迎各位同仁提出寶貴的意見與建議。我們將在適當(dāng)?shù)那闆r下更新迭代本措施與建議。第二節(jié) 數(shù)據(jù)收集一、現(xiàn)狀分析“健康碼”的生成、申領(lǐng)

9、必然涉及個人信息的收集，環(huán)節(jié)存在用戶主動申報信息、多方數(shù)據(jù)打通、人臉識別驗證等場景；在使用健康碼進(jìn)行防疫過程中，也存在相關(guān)單位要求用戶出示、提供、留存健康碼信息的場景。1、用戶主動申報信息用戶在申領(lǐng)健康碼時，各地一般通過小程序、App 等方式（“健康碼應(yīng)用”）收集申報所需的個人信息，包括用戶的身份信息、行程信息、健康信息、接觸史信息等。但除了部分健康碼應(yīng)用在注冊時需用戶點擊同意各地方政府的運營管理機構(gòu)制定的用戶協(xié)議和隱私政策，以告知如何處理個人信息外，還存在健康碼應(yīng)用用戶直接進(jìn)入具體的信息填報注冊頁面并無相應(yīng)告知頁面的情況。為方便使用，健康碼會被整合到微信、支付寶等第三方平臺，會出現(xiàn)請求用戶點

10、擊同意第三方平臺的授權(quán)書，但是該授權(quán)多系第三方平臺就所授權(quán)信息（如第三方平臺的賬號名、實名認(rèn)證信息等）獲得用戶的“單獨同意”，對健康碼收集個人信息的規(guī)則說明不夠。此外，有的健康碼還會嵌入當(dāng)?shù)卣?wù)服務(wù) App 或小程序、關(guān)聯(lián)電子社?？ê徒】悼?，但是并未區(qū)分和告知不同應(yīng)用和場景下收集使用個人信息的不同目的。除了告知不充分，曾經(jīng)有用戶反饋，個別健康碼在主動申報環(huán)節(jié)還存在過度收集個人信息的問題，如收集特定金融機構(gòu)儲戶身份、生活習(xí)慣等，甚至用戶的運動情況、飲酒、吸煙、睡眠等都會納入申報健康碼時的提交信息范圍。收集上述個人信息很可能超出健康碼防疫本身功能之必要。2、間接獲取健康碼數(shù)據(jù)各地健康碼管理平臺會從

11、各地社區(qū)、衛(wèi)生健康、工信、交通運輸?shù)炔块T間接獲取個人信息，以實現(xiàn)行程追蹤、精準(zhǔn)防控的目的。例如，健康碼系統(tǒng)會接入航空、鐵路、公路以及城市公共交通（地鐵、公交）等交通數(shù)據(jù)、銀行金融機構(gòu)支付數(shù)據(jù)等，以獲取完整的行程、軌跡信息。當(dāng)民眾申報健康碼時，后臺會根據(jù)申報人的身份信息，自動比對其他渠道的行程信息、定位數(shù)據(jù)，并給用戶賦碼。3、人臉識別驗證部分健康碼將人臉識別作為使用健康碼所必要的信息。在人臉識別驗證環(huán)節(jié)，即在用戶申領(lǐng)健康碼時，人臉驗證為用戶完成實名認(rèn)證的唯一方式，并未提供其他的身份驗證方式。4、相關(guān)單位要求用戶提供健康碼根據(jù)防疫要求，學(xué)校機構(gòu)、企業(yè)單位等機構(gòu)可能會要求用戶定期提供健康碼。收集的信

12、息不僅包括健康碼截圖本身，有的還要求附帶在截圖圖片上備注的姓名、電話、甚至身份證號等敏感個人信息。二、參考依據(jù)數(shù)據(jù)收集階段，可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)如下：網(wǎng)絡(luò)安全法第 40、41、43 條數(shù)據(jù)安全法第 32、38 條個人信息保護(hù)法第 5、6、7、10、13、14、17、34、35 條關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知第 1、2、3 條關(guān)于進(jìn)一步做好聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)中數(shù)據(jù)安全與個人信息保護(hù)工作的通知（中網(wǎng)辦發(fā)電20206 號）信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第 5 章信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求（GB/T 41479-2022）第

13、 5.2、A.3 條信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求（GB/T 41391-2022）第 6 章三、措施建議根據(jù)當(dāng)前存在的問題及上述法律和規(guī)范性文件，相關(guān)單位在收集健康碼數(shù)據(jù)時應(yīng)確保具備個人信息處理的合法基礎(chǔ)，采取對個人權(quán)益最小的處理方式，以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地進(jìn)行告知等，具體的措施建議如下：1、告知規(guī)則：通過隱私政策、彈窗等各種形式具體、完整、清晰、顯著地告知用戶關(guān)于健康碼應(yīng)用處理其個人信息的相關(guān)事宜：通過隱私政策等方式公開個人信息收集使用規(guī)則。除了在登錄界面或獲取個人信息界面放置隱私政策鏈接入口外，在以后完成登錄后將隱私政策放置于用戶容易

14、獲得的位置；通過彈窗等形式顯著提示用戶閱讀個人信息收集使用規(guī)則。為了方便用戶了解規(guī)則，可以概括隱私政策的核心內(nèi)容，以彈窗的形式推送至用戶，以更好地完成告知義務(wù)；完整告知個人信息收集使用事項，對于所收集的敏感個人信息還需要告知處理的必要性以及對個人權(quán)益的影響。如在收集人臉信息時，明確告知收集人臉個人信息的目的、必要性及對個人權(quán)益的影響。2、區(qū)分功能：將基于生成健康碼的個人信息使用目的與其他場景的使用目 的分別告知。如在隱私政策中，區(qū)分個人信息使用的功能， 將生成和使用健康碼用作疫情防控作為單獨的一類使用場景，列明其中所涉的個人信息的使用目的與方式；健康碼的基本功能為疫情防控。該功能需獨立運行，不

15、應(yīng)將該功能與其他功能進(jìn)行捆綁，且在用戶首次申請健康碼時，不宜向用戶推薦更不用默認(rèn)開啟疫情防控以外的其他功能，其他功能的開啟只能由用戶自主選擇單獨開啟、開啟其他功能時亦應(yīng)有明顯的提示和告知。3、最少必要：僅收集健康碼應(yīng)用所必要的個人信息，不收集個人職業(yè)、生活習(xí)慣等與疫情防控并無直接關(guān)聯(lián)的個人信息；用戶通過人臉識別驗證身份等方式完成健康碼申領(lǐng)后，在用戶登錄環(huán)境等未發(fā)生變化時，可采用用戶賬號、手機號、身份證號一致性等方式來進(jìn)行身份再次鑒別以減少反復(fù)收集人臉信息。4、合法性基礎(chǔ)：僅在應(yīng)對突發(fā)衛(wèi)生事件或者防疫目的下收集個人信息，否則應(yīng)取得用戶的同意；對于間接收集的個人信息，應(yīng)從數(shù)據(jù)來源合法的機構(gòu)獲取。5

16、、安全傳輸：不應(yīng)采用低強度加密算法或容易破解的加密機制對健康碼數(shù)據(jù)傳輸進(jìn)行簡單加密處理；可同時采用信道加密和內(nèi)容加密技術(shù)對手機號、身份證、人臉圖片、核酸結(jié)果、家庭住址等信息進(jìn)行高強度加密后再進(jìn)行數(shù)據(jù)傳輸。第三節(jié) 數(shù)據(jù)存儲一、現(xiàn)狀分析在健康碼生成、亮碼及掃碼場景下，可能涉及應(yīng)用程序端、掃碼端對于個人信息的存儲期限、存儲期屆滿后相關(guān)個人信息處理措施等事項。1、存儲位置總體來說，在健康碼生成、亮碼及掃碼的過程中，主要涉及健康碼應(yīng)用程序端、健康碼后臺系統(tǒng)、掃碼端三個主體。而在健康碼從生成到使用的整個周期中，上述三個主體均可能存儲相關(guān)的個人信息。部分健康碼未向用戶告知其健康碼相關(guān)的個人信息的具體處理者、

17、數(shù)據(jù)存儲的平臺所在地域等信息，將可能影響用戶進(jìn)行申訴的便利性。2、存儲方式及期限部分健康碼展示界面會顯示用戶身份信息（如經(jīng)掩碼處理的證件、號碼）及健康狀況（如核酸檢測結(jié)果、檢測時間），此外健康碼所關(guān) 聯(lián)的信息匯總分析了多類個人信息（如疫苗記錄、行程記錄、不滿十 四周歲的未成年人個人信息），根據(jù)個人信息保護(hù)法第 28 條，此 類信息包含敏感個人信息，應(yīng)當(dāng)采取嚴(yán)格保護(hù)措施。因此在健康碼生 成后，對于健康碼及健康碼所關(guān)聯(lián)的個人信息以及個人信息的分析結(jié) 果等數(shù)據(jù)的存儲，均應(yīng)符合法規(guī)及監(jiān)管要求。在實際應(yīng)用過程中，一些健康碼應(yīng)用未告知用戶健康碼相關(guān)信息 的存儲期限，對其中的敏感個人信息如何嚴(yán)格保護(hù)和存儲也

18、并不明確。3、存儲安全措施數(shù)據(jù)存儲往往是數(shù)據(jù)最為集中的環(huán)節(jié)，因此發(fā)生數(shù)據(jù)泄露、丟失、非授權(quán)訪問的風(fēng)險也最高。當(dāng)大量用戶的健康碼相關(guān)信息在后臺匯聚時，大批量的上報、登記、查詢等過程都涉及對存儲在數(shù)據(jù)庫中數(shù)據(jù)的訪問，如安全措施不足，則任何疏漏都可能造成個人信息的泄露。4、存儲期屆滿后的處理由于健康碼應(yīng)用后臺可能融合了多部門相關(guān)個人信息及數(shù)據(jù)，部分平臺在此基礎(chǔ)上開發(fā)了為其他服務(wù)目的功能，在防疫目的實現(xiàn)后，是通過刪除方式，或通過再次取得用戶同意的方式進(jìn)行處理，部分健康碼應(yīng)用還未提供明確的聲明。二、參考依據(jù)在數(shù)據(jù)存儲階段，可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)定或要求如下：網(wǎng)絡(luò)安全法第 21、42、43 條

19、數(shù)據(jù)安全法第 19 條個人信息保護(hù)法 第 19、28、35、36、47、51 條信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第 6 章個人健康信息碼 參考模型（GB/T 38961-2020）信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239- 2019）第 H4.3 節(jié)三、措施建議根據(jù)上述法律和規(guī)范性文件，針對健康碼應(yīng)用的數(shù)據(jù)存儲環(huán)節(jié)的措施建議如下：1、分區(qū)存儲：劃定敏感個人信息和其他個人信息或數(shù)據(jù)區(qū)域進(jìn)行分區(qū)存儲，方便進(jìn)行差異化防控，比如將身份證號碼與其他數(shù)據(jù)分離存儲。2、最少存儲：針對不同的存儲位置，如健康碼應(yīng)用程序端、健康碼后臺系統(tǒng)、掃碼端，各端僅在滿足功

20、能需要的前提下，保留本端所需最少夠用的數(shù)據(jù)即可。3、密文存儲：兼顧業(yè)務(wù)及安全性，對于敏感個人信息可以采取表空間加密算法降低對業(yè)務(wù)系統(tǒng)性能的影響，如身份證號碼等；對于準(zhǔn)標(biāo)識符等個人信息只存儲消息摘要（如進(jìn)行加鹽的 SHA256 處理），以防止被拖庫造成個人信息的泄露。加密的密鑰應(yīng)定期更新輪換防止被暴力破解同時應(yīng)加密存儲秘鑰，形成多級密鑰并備份。4、數(shù)據(jù)備份：根據(jù)需要對數(shù)據(jù)進(jìn)行全量備份，具備條件的可采取異地備份的措施，以保證一旦數(shù)據(jù)丟失、被破壞后，健康碼應(yīng)用可以迅速恢復(fù)正常服務(wù)。5、數(shù)據(jù)庫安全：健康碼應(yīng)用后臺系統(tǒng)中存儲個人信息的數(shù)據(jù)庫要及時修補漏洞。如果條件允許宜提升數(shù)據(jù)庫的安全級別，使用安全數(shù)據(jù)

21、庫。6、及時刪除：系統(tǒng)內(nèi)存儲的個人信息，應(yīng)在合法期限屆滿后，及時刪除或匿名化處理。如需要進(jìn)行其他用途使用，可在期限屆滿前，向用戶再次單獨告知并獲取明確授權(quán)或具備其他合法性基礎(chǔ)，再繼續(xù)保留以用作新目的。第四節(jié) 數(shù)據(jù)使用一、現(xiàn)狀分析在健康碼應(yīng)用場景，比較復(fù)雜的個人信息使用環(huán)節(jié)可能涉及自動化決策、信息展示、數(shù)據(jù)融合等情形。1、自動化決策針對用戶申領(lǐng)健康碼時填報的個人信息以及衛(wèi)生健康、工信、交通運輸、海關(guān)、移民管理、民航、鐵路等方面提供的醫(yī)療、行程、身份等基礎(chǔ)數(shù)據(jù)，各地健康碼的運營管理部門通過計算機程序?qū)@些基礎(chǔ)數(shù)據(jù)進(jìn)行自動處理，進(jìn)而生成健康碼以用于評估和判斷用戶在疫情期間的涉疫或健康狀態(tài)。根據(jù)個人信

22、息保護(hù)法第 73 條，這一處理行為構(gòu)成利用個人信息進(jìn)行自動化決策。在健康碼應(yīng)用中，自動化決策機制成為大數(shù)據(jù)精準(zhǔn)防控的核心，但也暴露出“人工干擾賦碼機制”的個案，讓本來規(guī)則清晰的決策機制變得 “不可捉摸”，甚至出現(xiàn)通過賦碼直接讓用戶“行動受限”等個人權(quán)益受到嚴(yán)重影響的情況。2、信息展示用戶通過申領(lǐng)健康碼后，將在應(yīng)用前端進(jìn)行展示，以用于健康碼掃碼、核驗通行等要求。通常展示的信息包括健康碼、用戶真實姓名、人像圖片（身份證照片/實時采集照片）、核酸狀態(tài)、抗原狀態(tài)、所在場所地址等信息（各地有不同，對姓名和號碼多有掩碼）。用戶通過專門的掃碼終端掃描身份證件或健康碼后，有的掃碼端終端屏幕甚至?xí)⒂脩舻男彰?/p>

23、身份證號碼、健康碼狀態(tài)、體溫、核酸報告、抗原報告等信息進(jìn)行展示。曾有部分地區(qū)健康碼亮碼端或掃碼端應(yīng)用界面展示健康碼信息時，未對個人信息進(jìn)行脫敏處理（如完整展示用戶手機號、將用戶證件照片高清大尺寸展示），或者還可能進(jìn)行語音播報，使得現(xiàn)場的核驗者或其他自然人可知悉用戶健康碼下的多種信息，導(dǎo)致用戶在亮碼、掃碼、終端展示等過程中存在泄露個人信息的風(fēng)險。此外，健康碼生成的機制中，各地的方式方法有所不同，曾出現(xiàn)過將個人信息以明文形式或簡單加密（使用固定密碼）后直接生成靜態(tài)碼的情形，在信息展示過程欠缺安全考慮，一旦二維碼信息泄露也就意味多項個人信息泄露。3、數(shù)據(jù)融合為便于防疫工作高效開展，很多地區(qū)、城市還將

24、健康碼相關(guān)數(shù)據(jù)與疫苗接種、核酸檢測等事宜、大數(shù)據(jù)行程卡等進(jìn)行融合，實現(xiàn)一碼通功能，用戶的健康碼頁面同時顯示疫苗接種記錄、行程數(shù)據(jù)等信息。還有部分地區(qū)、城市將健康碼與居民“電子健康卡”數(shù)據(jù)進(jìn)行融合，為電子健康卡的二維碼加上“顏色”，方便本地居民在就醫(yī)過程中實現(xiàn)一碼掛號、防疫檢查、看病就醫(yī)等。二、參考依據(jù)數(shù)據(jù)使用階段，可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)定或要求如下：網(wǎng)絡(luò)安全法第 41 條數(shù)據(jù)安全法第 32、38 條個人信息保護(hù)法第 5、6、9、13、24、33、34、35、51、 55 條關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知第 3、4 條關(guān)于進(jìn)一步做好聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)中數(shù)據(jù)安全與

25、個人信息保護(hù)工作的通知（中網(wǎng)辦發(fā)電20206 號）關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知（國衛(wèi)辦規(guī)劃函2020100 號）信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第 7 章個人健康信息碼 參考模型（GB/T 38961-2020）第 5.1 條三、措施建議根據(jù)上述法律和規(guī)范性文件，相關(guān)部門在健康碼應(yīng)用中使用數(shù)據(jù)應(yīng)遵循合法、正當(dāng)、必要的原則，具體的措施建議如下：1、目的限制：為疫情防控、疾病防治應(yīng)用健康碼，不得任意改變健康碼使用目的，不得超出必要范圍收集和使用健康碼數(shù)據(jù)；如為聯(lián)防聯(lián)控工作確有需要，應(yīng)事先充分告知用戶；聯(lián)防聯(lián)控過程中產(chǎn)生的重要數(shù)據(jù)與個人信

26、息不得用于商業(yè)目的。2、權(quán)限管控：對健康碼相關(guān)信息系統(tǒng)采取訪問權(quán)限管控措施，合理確定相關(guān)人員的操作權(quán)限，采取限制查詢/下載/截屏、數(shù)字水印、日志審計、風(fēng)險報警等技術(shù)措施，防止健康碼數(shù)據(jù)泄露、濫用。3、編碼安全：不應(yīng)將個人信息以明文形式、或簡單轉(zhuǎn)碼（如使用 MD5 處理、固定密碼加密）后直接編碼在健康碼中，可采用安全機制更為完善的動態(tài)碼機制（如將個人信息植入在可訪問的動態(tài)加密鏈接中）；同時，應(yīng)采取技術(shù)手段確保二維碼只能被授權(quán)數(shù)據(jù)采集員、采集終端識別并獲取相關(guān)個人信息。4、融合評估：將健康碼相關(guān)個人信息與其他個人信息進(jìn)行融合，應(yīng)通過個人信息保護(hù)影響評估分析可能對個人權(quán)益帶來的影響，融合后的信息用于

27、其他目的的，如就醫(yī)、入校等，應(yīng)在充分告知后，由用戶自主選擇同意開啟相應(yīng)功能。5、透明公正：應(yīng)保證健康碼生成機制的透明度及決策結(jié)果的公平公正，并對基本的生成機制進(jìn)行說明，不得引入無關(guān)參數(shù)干擾決策結(jié)果；涉及人工干預(yù)結(jié)果的，需制定嚴(yán)格的管理、審計措施，保證所有干預(yù)過程可追溯，如對個人權(quán)益造成重大影響的，應(yīng)當(dāng)保障用戶的請求解釋說明權(quán)及拒絕權(quán)。6、脫敏展示：在亮碼端或掃碼端應(yīng)用界面展示健康碼及其他個人信息的，宜對需展示的個人信息（如姓名、身份證號等）采取去標(biāo)識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險；掃碼端有信息播報功能的，僅播報健康碼狀態(tài)、核酸狀態(tài)等滿足核查要求的信息即可，避免播報身份證號碼、手

28、機號、家庭住址等無關(guān)信息。7、限制公開：不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址、車輛信息等個人信息，因疫情聯(lián)防聯(lián)控工作需要公開的，應(yīng)經(jīng)過處理使之無法識別特定個人且不能復(fù)原（指被工作人員以外人員復(fù)原）后再行公開。第五節(jié) 數(shù)據(jù)共享一、現(xiàn)狀分析隨著疫情防控的常態(tài)化開展，健康碼也在常態(tài)化使用的同時逐漸走向流通與共享。當(dāng)前健康碼的共享主要有以下幾種情形。1、健康碼跨省、跨市范圍內(nèi)共享健康碼的跨省、跨市流通有助于防疫工作的高效開展，并減輕了人民群眾申領(lǐng)健康碼的負(fù)擔(dān)。2020 年底國家衛(wèi)生健康委員會、國家醫(yī)療保障局、國家中醫(yī)藥管理局就聯(lián)合發(fā)布了關(guān)于深入推進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”“五個一”服務(wù)行動的

29、通知，明確要求各地落實健康碼全國互認(rèn)、一碼通行。2022 年 4 月 28 日，在國務(wù)院聯(lián)防聯(lián)控機制召開的新聞發(fā)布會上，有關(guān)部門再次強調(diào)將進(jìn)一步推動健康碼全國互認(rèn)。目前，健康碼跨省、跨市范圍內(nèi)的互認(rèn)正在逐步推進(jìn)，而這也意味著健康碼個人信息在跨省、跨市的共享。實踐中，涉及向其他地區(qū)健康碼管理政府部門提供健康碼時，共享個人信息事項的告知是否充分、明確需要引起關(guān)注。此外，部分健康碼即使在個人信息保護(hù)政策中向用戶告知了其會共享個人信息，但沒有詳細(xì)告知共享的具體情況（如與之共享的其他個人信息處理者的名稱、聯(lián)系方式等具體信息）。2、各部門之間的健康碼共享健康碼會與公共交通管理部門、公共交通運營者共享。出于

30、部分地區(qū)疫情防控政策要求，乘坐公共交通工具或進(jìn)入公共場所，需要持 72 小時核酸檢測陰性證明，健康碼管理平臺需要將健康碼提供給交通管理部門、公共交通運營者，以落實當(dāng)?shù)氐囊咔榉揽匾?。雖然為了落實疫情防控要求和滿足人民出行的需要，將健康碼共享給交通管理部門與公共交通運營者確有必要，但與此同時除了需履行上述“共享”告知義務(wù)外，還需要考慮到公共交通管理部門或公共交通運營者作為個人信息接收方可能帶來的個人信息安全和超范圍使用風(fēng)險問題，如：（1）個人信息接收方可能未有足夠的安全措施保障個人信息安全；（2）個人信息接收方可能會基于其他目的使用健康碼個人信息。如果在共享健康碼之前沒有考慮到個人信息泄露等可能

31、存在的安全和風(fēng)險，可能會直接導(dǎo)致信息泄露，進(jìn)而引發(fā)網(wǎng)絡(luò)暴力、社會歧視等各種嚴(yán)重后果。二、參考依據(jù)數(shù)據(jù)共享階段，可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)如下：網(wǎng)絡(luò)安全法第 42、44 條數(shù)據(jù)安全法第 38、40 條個人信息保護(hù)法第 5、6、7、23、34、35 條關(guān)于進(jìn)一步做好聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)中數(shù)據(jù)安全與個人信息保護(hù)工作的通知（中網(wǎng)辦發(fā)電20206 號）信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第 9 章信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求（GB/T 41479-2022）第 5.7、A.7 條三、措施建議根據(jù)上述法律和規(guī)范性文件，相關(guān)單位在共享數(shù)據(jù)時，應(yīng)遵循合法、正當(dāng)、必要的原則

32、，具體的措施建議如下：1、告知同意：告知個人信息的共享場景。在隱私政策中有關(guān)“共享”的部分，詳細(xì)披露與共享有關(guān)的情況，包括個人信息接收方的名稱等信息、所共享的個人信息、個人行使權(quán)利的方式和程序等。僅在應(yīng)對突發(fā)衛(wèi)生事件或者實現(xiàn)防疫目的情況下共享個人信息，否則應(yīng)另行取得用戶的單獨同意。2、事前評估：從處理目的、處理方式是否合法、正當(dāng)、必要，對個人權(quán)益的影響（如是否限制個人自主決定權(quán)、是否引發(fā)差別性待遇等維度），安全風(fēng)險（網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個人信息處理流程等風(fēng)險源）等方面進(jìn)行評估，如評估后存在風(fēng)險，應(yīng)采取必要措施控制風(fēng)險后再向接收方提供。第六節(jié) 數(shù)據(jù)接口安全一、現(xiàn)狀分析在健康碼應(yīng)用中，數(shù)據(jù)的使用、

33、共享等通常是通過對外的接口來實現(xiàn)的，涉及的場景有：互聯(lián)網(wǎng)側(cè)的健康碼申領(lǐng)、查詢服務(wù)，核酸檢測機構(gòu)、社區(qū)工作人員、疫情管控人員的健康碼變更服務(wù)，健康碼相關(guān)的核酸檢測管理等。具體為：1、互聯(lián)網(wǎng)側(cè)的健康碼申領(lǐng)、查詢服務(wù)的數(shù)據(jù)接口場景在疫情管控中，各級政府都在推出本地區(qū)健康碼的申領(lǐng)和查詢服 務(wù)，但因開發(fā)和安全水平參差不齊，且在相關(guān)數(shù)據(jù)接口開放過程中也 缺乏對于個人信息保護(hù)的風(fēng)險評估，故存在個人信息泄露的安全隱患。從健康碼的申請環(huán)節(jié)、展示環(huán)節(jié)的數(shù)據(jù)接口的原理來看，其可能存在的風(fēng)險有：水平越權(quán)、接口遍歷、未鑒權(quán)訪問、脫敏不當(dāng)?shù)龋热纾喝绻】荡a相關(guān)系統(tǒng)存在未鑒權(quán)訪問和遍歷人員信息的高風(fēng)險漏洞，可能被不法分子

34、或境外組織利用，輕易獲取所關(guān)聯(lián)全部人員的個人信息，如姓名、身份證號、電話、住址、健康狀態(tài)等。如果健康碼相關(guān)系統(tǒng)存在參數(shù)被篡改的高風(fēng)險漏洞，再結(jié)合接口未授權(quán)訪問和可遍歷風(fēng)險等漏洞將可能實現(xiàn)更改個人健康狀態(tài)，嚴(yán)重影響公眾日常生活、社會公共秩序以及地方政府公信力。2、疫情防控工作人員、社區(qū)工作人員的健康碼變更的數(shù)據(jù)接口場景在健康碼的管理流程中，數(shù)據(jù)往往會與核酸檢測機構(gòu)、社區(qū)工作人員、疫情管控人員的操作進(jìn)行同步，在這個過程中如相關(guān)人員的法律意識和安全意識淡薄，擅自對不符合賦碼條件的人員賦紅碼，可能會有意或者無意地導(dǎo)致疫情數(shù)據(jù)篡改風(fēng)險，嚴(yán)重?fù)p害健康碼管理使用相關(guān)規(guī)定的嚴(yán)肅性，造成嚴(yán)重不良影響。因此，涉及

35、健康碼數(shù)據(jù)變更的數(shù)據(jù)接口服務(wù)有必要具備監(jiān)測和審計的能力，對健康碼的變更行為進(jìn)行留痕記錄，持續(xù)監(jiān)測可能存在的異常風(fēng)險。3、健康碼相關(guān)的核酸檢測管理的數(shù)據(jù)接口場景在健康碼的管理中“核酸檢測結(jié)果”具有非常重要的作用，核酸檢測關(guān)聯(lián)的敏感個人信息比較多，在管理和數(shù)據(jù)使用中，數(shù)據(jù)接口的安全性尤為重要；如果相關(guān)數(shù)據(jù)接口在權(quán)限和開放范圍層面存在缺陷，可能導(dǎo)致大量個人信息泄露。例如，如果新冠核酸檢測平臺存在嚴(yán)重 的數(shù)據(jù)泄露隱患，他人通過查詢接口參數(shù)遍歷，則可能獲取到大量個 人信息甚至敏感個人信息，查詢賬號關(guān)聯(lián)醫(yī)院內(nèi)進(jìn)行核酸檢查人員的 詳細(xì)個人信息，包括個人姓名、年齡、性別、證件號、手機號、住址、 核酸檢測結(jié)果等

36、個人信息。二、參考依據(jù)關(guān)于數(shù)據(jù)接口安全，可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)定或要求如下：數(shù)據(jù)安全法第 29、30 條個人信息保護(hù)法第 9、51 條關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知第 3、4 條關(guān)于進(jìn)一步做好聯(lián)防聯(lián)控和復(fù)工復(fù)產(chǎn)中數(shù)據(jù)安全與個人信息保護(hù)工作的通知（中網(wǎng)辦發(fā)電20206 號）信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第7.1 節(jié)、第 11.7 節(jié)信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求（GB/T 394772020）第 6 章三、措施建議根據(jù)上述法律和規(guī)范性文件，相關(guān)部門在健康碼應(yīng)用中應(yīng)當(dāng)關(guān)注數(shù)據(jù)接口的安全，防止未經(jīng)授權(quán)的訪問以及個人信息

37、泄露、篡改、丟失，具體的措施如下：1、數(shù)據(jù)接口臺賬梳理：梳理數(shù)據(jù)接口（特別是涉及個人信息的數(shù)據(jù)接口）的處理場景，以便采取更有針對性的安全措施，包括：個人信息的請求和返回的 API 接口梳理。如：應(yīng)用臺賬（應(yīng)用名稱、應(yīng)用訪問源、應(yīng)用涉及的個人信息類型）、API 接口臺賬（接口名稱、接口訪問參數(shù)、接口訪問終端、接口請求和返回中的個人信息類型）。涉及個人信息的 API 接口的生命周期管理。生命周期包括：新增、失活、變更、復(fù)活。2、數(shù)據(jù)接口缺陷評估：對數(shù)據(jù)接口的處理場景進(jìn)行相應(yīng)的數(shù)據(jù)安全風(fēng)險評估，如發(fā)現(xiàn)數(shù)據(jù)泄露隱患和安全管理缺陷，進(jìn)行及時整改修復(fù)。包括：數(shù)據(jù)暴露面缺陷：比如數(shù)據(jù)類型暴露過多、數(shù)據(jù)量暴露

38、過多、數(shù)據(jù)脫敏不合規(guī)等。數(shù)據(jù)訪問權(quán)限缺陷：比如未鑒權(quán)可訪問缺陷、水平越權(quán)缺陷、參數(shù)可遍歷缺陷等?？诹钫J(rèn)證類缺陷：比如登錄弱口令缺陷、認(rèn)證方式不合理缺陷、明文密碼傳輸缺陷等。3、數(shù)據(jù)接口風(fēng)險監(jiān)測：對數(shù)據(jù)接口的處理過程加強風(fēng)險監(jiān)測的能力，防止未經(jīng)授權(quán)的數(shù)據(jù)濫用、泄露或者篡改。包括：賬號行為風(fēng)險：比如賬號暴力破解、賬號異常登錄等。數(shù)據(jù)訪問風(fēng)險：比如數(shù)據(jù)持續(xù)拉取風(fēng)險，數(shù)據(jù)大量訪問風(fēng)險，數(shù)據(jù)出境風(fēng)險等。數(shù)據(jù)修改風(fēng)險：比如數(shù)據(jù)大批量修改風(fēng)險，數(shù)據(jù)異常篡改風(fēng)險等。4、重點數(shù)據(jù)處理行為審計：對數(shù)據(jù)接口的重點處理行為所涉及的數(shù)據(jù)處理者和數(shù)據(jù)處理對象進(jìn)行留痕審計，確保數(shù)據(jù)安全事件發(fā)生后提供追溯的能力?？蓪徲嬊鍐沃?/p>

39、要包括：數(shù)據(jù)訪問行為、數(shù)據(jù)下載行為、數(shù)據(jù)篡改行為、數(shù)據(jù)刪除行為。5、數(shù)據(jù)處理活動追溯：當(dāng)發(fā)生數(shù)據(jù)安全事件的時候，及時追溯安全事件的相關(guān)日志信息，排查發(fā)現(xiàn)存在風(fēng)險的數(shù)據(jù)處理者和數(shù)據(jù)處理場景，并且對于數(shù)據(jù)安全事件的影響進(jìn)行評估。根據(jù)泄露或篡改的數(shù)據(jù)進(jìn)行溯源，分析該數(shù)據(jù)的處理接口、涉及的賬號、IP 和日期。根據(jù)發(fā)生風(fēng)險的賬號、IP 進(jìn)行泄露或篡改的數(shù)據(jù)安全事件影響面評估。第七節(jié) 個人信息權(quán)利保障一、現(xiàn)狀分析保障用戶對于其個人信息處理享有的權(quán)利是個人信息保護(hù)法律法規(guī)中的重點內(nèi)容，健康碼處理個人信息的同時，對個人權(quán)利的必要保障不能缺位。從實際情況來看，部分健康碼僅簡單說明健康碼的應(yīng)用場景，未提供獨立的“

40、隱私政策”或“個人信息處理規(guī)則”；部分程序雖提供隱私政策，但其中并未披露個人權(quán)利的類型、行使方式、渠道等信息，僅簡單提供了聯(lián)系方式。同時，目前全國范圍內(nèi)各省份健康碼的主管部門并不統(tǒng)一，涉及的部門包括大數(shù)據(jù)管理部門、經(jīng)濟(jì)和信息化局、衛(wèi)健委、疾病預(yù)防控制中心、疫情防控指揮部、醫(yī)保局、數(shù)字辦等。委托第三方服務(wù)商為健康碼運營提供技術(shù)支持情況比較多見。用戶通過何種渠道可以就健康碼事宜進(jìn)行申訴也可能因為涉及的相關(guān)方過于復(fù)雜而變得不便。二、參考依據(jù)個人信息的權(quán)利保障可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)定或要求如下：網(wǎng)絡(luò)安全法第 43 條個人信息保護(hù)法第 15、24、44、45、46、47、48、49、 50

41、條民法典第 1037 條關(guān)于做好個人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知第 6 條信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第 8 章三、措施建議根據(jù)上述法律和規(guī)范性文件，相關(guān)部門在健康碼應(yīng)用場景下應(yīng)充分保障個人權(quán)利行使，具體的措施建議如下：1、規(guī)則透明：通過隱私政策等文件充分說明用戶對健康碼信息享有的權(quán)利，并告知行使該等權(quán)利的方式；將健康碼場景下個人信息處理的相關(guān)規(guī)則予以說明，以保障用戶知情權(quán)。2、便捷行權(quán)：為用戶提供在線查詢、更正、補充基礎(chǔ)數(shù)據(jù)的功能，如通過小程序相應(yīng)入口提供查詢用戶填報的數(shù)據(jù)詳情、申領(lǐng)記錄等功能，并為用戶提供更正或補充基礎(chǔ)數(shù)據(jù)的功能。如為聯(lián)防聯(lián)控

42、需要而保障用戶填報數(shù)據(jù)的真實性、避免反復(fù)修改，可將部分無法修改的信息（如實名認(rèn)證信息）進(jìn)行顯著標(biāo)識或設(shè)置一定期限的凍結(jié)期。如因相關(guān)基礎(chǔ)數(shù)據(jù)錯誤、更新遲延等原因?qū)е陆】荡a賦碼錯誤，則應(yīng)為用戶提供申訴入口，經(jīng)核實后確有錯誤的應(yīng)予以轉(zhuǎn)碼。此外，可在相關(guān)頁面展示健康碼數(shù)據(jù)保護(hù)應(yīng)用常見問答或設(shè)置在線客服自動答復(fù)相關(guān)咨詢，以充分保障用戶請求解釋說明的權(quán)利。3、申訴響應(yīng)：建立便捷有效的用戶行使權(quán)利的申請受理機制，并在接到個人權(quán)利請求的 15 日內(nèi)或法律法規(guī)規(guī)定的期限內(nèi)及時響應(yīng)處理。第八節(jié) 數(shù)據(jù)安全管理一、現(xiàn)狀分析健康碼涉及的數(shù)據(jù)安全管理是典型的大數(shù)據(jù)及個人信息安全管理場景，其中安全管理涉及相關(guān)的情形主要包括

43、：1、數(shù)據(jù)安全責(zé)任落實數(shù)據(jù)安全責(zé)任是數(shù)據(jù)安全管理工作的根本，“責(zé)任到部門、責(zé)任到崗、責(zé)任到人”是組織決策層需首要考慮的問題，責(zé)任不清晰，將可能直接導(dǎo)致數(shù)據(jù)非法利用、管理缺位、措施失效。在責(zé)任清晰的基礎(chǔ)上，數(shù)據(jù)安全的治理、管理等體系和相關(guān)團(tuán)隊才能正常運轉(zhuǎn)，數(shù)據(jù)安全的預(yù)算才能趨于合理，數(shù)據(jù)安全措施才能發(fā)揮作用，也是事后能真正追責(zé)的必要條件。健康碼在以往應(yīng)用中暴露的一些錯誤賦碼、個人信息不當(dāng)使用和展示、數(shù)據(jù)泄露隱患、業(yè)務(wù)抗壓能力差等問題，是否與責(zé)任不清晰、對數(shù)據(jù)安全和個人信息保護(hù)重要性的認(rèn)識不足有關(guān)聯(lián)值得去復(fù)盤。除此以外，也要從數(shù)據(jù)安全預(yù)算和資源投入不足、安全能力建設(shè)跟不上需求，而導(dǎo)致不能有效應(yīng)對外

44、部威脅、或滿足廣大用戶的使用需要去分析。曾經(jīng)，就有某地健康碼無法正常使用，且沒能短時間內(nèi)恢復(fù)，導(dǎo)致影響民眾有序出行、工作等的情況。除此以外，各地“健康碼”的建設(shè)、運營機制不盡相同，但引入供 應(yīng)商參與其中是非常常見的情況。而對于“健康碼”的供應(yīng)商及其人員 管理，是否能夠做到使其能與運營單位人員處于同一個管理水準(zhǔn)之上，是否向供應(yīng)商壓實其具體的數(shù)據(jù)安全責(zé)任，是否有對其履責(zé)情況進(jìn)行 日常監(jiān)督與反饋，可能直接關(guān)系到健康碼安全穩(wěn)定運行。2、數(shù)據(jù)安全管理體系數(shù)據(jù)安全管理體系是管理體系思想和方法在數(shù)據(jù)安全領(lǐng)域的應(yīng)用，是組織建立數(shù)據(jù)安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系，包括數(shù)據(jù)安全管理的方針、策略、程

45、序、記錄等要素。健康碼的背后，其運營單位的數(shù)據(jù)安全管理體系是否健全，是否從數(shù)據(jù)安全法個人信息保護(hù)法等法律法規(guī)角度落實相關(guān)要求，值得高度關(guān)注。例如，缺少數(shù)據(jù)分類分級制度，可能對敏感個人信息的使用缺乏進(jìn)一步的保護(hù)；缺乏數(shù)據(jù)質(zhì)量校驗制度，可能導(dǎo)致因數(shù)據(jù)質(zhì)量問題，出現(xiàn)健康碼信息誤報；缺失健康碼算法人工干預(yù)和審批制度，可能會出現(xiàn)健康碼的誤用、濫用；缺少用戶反饋和舉報受理制度，可能導(dǎo)致問題無法得到有效響應(yīng)，甚至釀成大范圍的輿情事件等。此外，還需要關(guān)注網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件應(yīng)急響應(yīng)機制，并進(jìn)行充分演練，曾經(jīng)就有多個健康碼遭受來源于境外地址的惡意攻擊，來自于外部的危險源也不容輕視。3、數(shù)據(jù)安全合規(guī)管理數(shù)據(jù)安全

46、合規(guī)是指企業(yè)在數(shù)據(jù)處理活動時的行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則等要求，并采取必要措施保障數(shù)據(jù)安全。健康碼數(shù)據(jù)安全合規(guī)既需要遵守網(wǎng)絡(luò)安全法數(shù)據(jù)安全法個人信息保護(hù)法等法律法規(guī)的相關(guān)要求，也需要遵守傳染病防治法關(guān)于個人信息保護(hù)的要求和各地關(guān)于健康碼管理的相關(guān)規(guī)定。如果健康碼相關(guān)的系統(tǒng)、平臺未向用戶說明、展示其合規(guī)現(xiàn)狀，將可能影響用戶對健康碼的信任度。此外，健康碼上線之初，可能由于沒有被列入本年度預(yù)算，且上線時間周期太短，數(shù)據(jù)安全合規(guī)的能力建設(shè)可能會出現(xiàn)滯后情況。4、個人信息保護(hù)影響評估健康碼所處理的數(shù)據(jù)，很多涉及敏感個人信息，對個人權(quán)益的潛在影響很大，而隨著健康碼應(yīng)用場景的日益豐富，參與數(shù)據(jù)處理

47、的主體更加多元化，系統(tǒng)、業(yè)務(wù)、組織邊界進(jìn)一步模糊。例如，一旦健康碼變“紅碼、黃碼”，對用戶的生活影響非常大，而一旦健康碼相關(guān)個人信息被泄露，則可能導(dǎo)致用戶遭受假冒防疫部門的機構(gòu)的精準(zhǔn)詐騙電話。因此，根據(jù)個人信息保護(hù)法要求，健康碼處理個人信息理應(yīng)開展個人信息保護(hù)影響評估。5、保密管理和安全培訓(xùn)健康碼是一個多層級、多角色參與的復(fù)雜平臺，涉及的用戶類型龐雜、人員眾多（如社區(qū)工作人員、防疫部門工作人員、系統(tǒng)開發(fā)和運維人員、有關(guān)主管部門人員等，也可能涉及臨時人員、非專業(yè)人員等）。而此前經(jīng)常出現(xiàn)的一些確診人員行程被公開后，其個人姓名、住址、電話等個人信息泄露的情況，導(dǎo)致當(dāng)事人被網(wǎng)暴。這很大可能是由于相關(guān)環(huán)

48、節(jié)人員保密意識不足、未掌握安全技能導(dǎo)致。6、安全審計上述小節(jié)相關(guān)內(nèi)容提到了一些常見的安全問題、風(fēng)險，除了采取防護(hù)措施以外，安全審計的作用不可忽略。比如，在健康碼信息被不當(dāng)使用、泄露后，如果能通過安全審計的措施鎖定源頭，則一方面可以快速應(yīng)急響應(yīng)，降低事件影響，另一方面可以將問題的具體原因、責(zé)任搞清楚，對癥下藥，明確問責(zé)，從而更好地推動各項措施有效運行。二、參考依據(jù)數(shù)據(jù)安全管理可參考的相關(guān)法律法規(guī)、規(guī)章、標(biāo)準(zhǔn)規(guī)定或要求如下：網(wǎng)絡(luò)安全法第 21 條民法典第 111 條、1034 條、1037 條、1038 條、1039 條數(shù)據(jù)安全法第四章個人信息保護(hù)法第 5、6、9、13、24、33、34、35、3

49、7、 51、55、56 條傳染病防治法第 12、68 條關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知（國衛(wèi)辦規(guī)劃函2020100 號）國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案（中網(wǎng)辦發(fā)文20174 號）信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239- 2019）第 8 章信息安全技術(shù) 個人信息安全規(guī)范（GB/T 35273-2020）第 11 章信息安全技術(shù) 個人信息安全影響評估指南（GB/T 39335- 2020）個人健康信息碼 參考模型（GB/T 38961-2020）第 7.5 條信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求（GB/T 41479-2022）第 6 章防疫通行碼參考架

50、構(gòu)與技術(shù)指南（T/SZS 40102020）第6 章ISO 27001 信息安全管理體系標(biāo)準(zhǔn) A.15.1 供應(yīng)商關(guān)系中的信息安全I(xiàn)SO 22301 業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)三、措施建議根據(jù)上述法律和規(guī)范性文件，相關(guān)部門在“健康碼”安全管理中，應(yīng)明確數(shù)據(jù)安全責(zé)任、健全數(shù)據(jù)安全管理體系、提升網(wǎng)絡(luò)安全和數(shù)據(jù)安全防護(hù)、監(jiān)測、應(yīng)急等綜合能力，具體的措施建議如下：1、安全責(zé)任：明確健康碼數(shù)據(jù)安全工作最高負(fù)責(zé)人，建議由法定代表人或主要負(fù)責(zé)人擔(dān)任，明確數(shù)據(jù)安全責(zé)任，確保數(shù)據(jù)安全工作預(yù)算、人力和資源投入。設(shè)置專職的健康碼數(shù)據(jù)安全管理崗位，明確人員資質(zhì)能力要求，加強數(shù)據(jù)安全管理。2、安全基礎(chǔ)：按照不低于網(wǎng)絡(luò)安全等

51、級保護(hù)三級要求，建設(shè)健康碼相關(guān)系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)防護(hù)和安全管理能力，至少通過網(wǎng)絡(luò)安全等級保護(hù)三級測評，確保網(wǎng)絡(luò)安全基礎(chǔ)能力達(dá)標(biāo)。此外，使用云計算服務(wù)的，建議使用通過“云計算服務(wù)安全評估”的政務(wù)云平臺。3、制度體系：按照網(wǎng)絡(luò)和數(shù)據(jù)安全管理體系要求，建立包括數(shù)據(jù)安全制度、作業(yè)規(guī)程、工作記錄等制度體系。建立健康碼數(shù)據(jù)分類分級制度、數(shù)據(jù)質(zhì)量校驗制度、健康碼算法人工干預(yù)制度、健康碼用戶反饋和舉報受理等制度。還可以通過數(shù)據(jù)安全管理體系相關(guān)認(rèn)證，確保數(shù)據(jù)安全制度落地實施。4、影響評估：根據(jù)法律要求，依據(jù)國家標(biāo)準(zhǔn) GB/T 39335 開展個人信息保護(hù)影響評估工作，形成評估報告。評估時，對個人權(quán)益影響分析方面

52、，可關(guān)注“人身自由受限”等可能對用戶自主決定權(quán)影響嚴(yán)重的情形，評估得出的風(fēng)險應(yīng)當(dāng)在可接受的范圍內(nèi)。否則，需要進(jìn)一步采取安全措施，或?qū)ο嚓P(guān)功能需求進(jìn)行調(diào)整。5、事件處置：建立數(shù)據(jù)備份機制，定期進(jìn)行數(shù)據(jù)備份恢復(fù)測試，提升容災(zāi)備份能力；建立數(shù)據(jù)安全風(fēng)險監(jiān)測能力，對安全事件能夠進(jìn)行預(yù)警；加強數(shù)據(jù)防泄漏措施建設(shè)，預(yù)防數(shù)據(jù)泄露事件發(fā)生；編制數(shù)據(jù)安全應(yīng)急預(yù)案，定期開展數(shù)據(jù)安全應(yīng)急演練；一旦出現(xiàn)被攻擊、數(shù)據(jù)泄露等事件，除啟動應(yīng)急響應(yīng)程序外，還需根據(jù)國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等要求向有關(guān)部門報告情況。6、供應(yīng)商管理：委托供應(yīng)商建設(shè)、維護(hù)健康碼系統(tǒng)，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序。通過合同、安全技術(shù)手段、安全審計措施等督促

53、、監(jiān)督供應(yīng)商作為受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)，確保供應(yīng)商嚴(yán)格根據(jù)授權(quán)范圍內(nèi)處理數(shù)據(jù)，不得擅自訪問、篡改、留存、使用、泄露或者向他人提供健康碼數(shù)據(jù)。7、人員安全：與能夠接觸到健康碼數(shù)據(jù)的人員簽訂保密協(xié)議，定期（至少每年一次）對可直接處理個人信息的相關(guān)崗位人員開展安全意識、技能培訓(xùn)和考核，明確在人員離崗離職、外部人員管理等方面的要求，確保相關(guān)人員均能了解其職責(zé)以及違規(guī)操作的法律責(zé)任。8、合規(guī)審計：設(shè)置數(shù)據(jù)合規(guī)安全審計崗位，開展數(shù)據(jù)合規(guī)安全審計工作，加強對數(shù)據(jù)使用的內(nèi)部監(jiān)督；建立數(shù)據(jù)合規(guī)安全績效評價機制，強化各級責(zé)任擔(dān)當(dāng)。9、業(yè)務(wù)連續(xù)性：根據(jù)健康碼所覆蓋人群使用量、使用規(guī)律測算業(yè)務(wù)峰值，使用彈性

54、擴展的方案保障健康碼數(shù)據(jù)的可用性，并協(xié)調(diào)相關(guān)資源進(jìn)行應(yīng)急演練，保證在突發(fā)情況下能優(yōu)先保證“健康碼”核心功能正常運行。第九節(jié) 其他情形一、現(xiàn)狀分析除“健康碼”以外，掃碼測溫設(shè)備、核酸檢驗機構(gòu)的小程序等也都與當(dāng)前疫情常態(tài)化防控密切相關(guān)。1、掃碼測溫設(shè)備由于疫情常態(tài)化及復(fù)工復(fù)產(chǎn)的需求，各地在部署新型冠狀病毒肺炎疫情聯(lián)防聯(lián)控工作的同時，提出了盡最大程度保持民眾原有出行、工作、生活方式不變的需求。掃碼測溫設(shè)備集成了測溫、查健康碼、識別人員身份多項功能，針對全國各地的“健康碼”，通過人臉識別、體溫檢測和人證核驗等，為民眾的出行提供快速便捷的通道。由于掃碼測溫設(shè)備可識別多地健康碼，且提供立式、閘機、桌面和手

55、持式等不同種類，靈活適用于出入口查驗、員工通道、停車場入口等多種應(yīng)用場景，現(xiàn)已在全國的行政機關(guān)、企事業(yè)單位、醫(yī)院、學(xué)校、銀行、寫字樓、園區(qū)景區(qū)社區(qū)、高鐵站、地鐵站、機場、商場、酒店、營業(yè)廳等場所廣泛落地。以下為該設(shè)備使用的幾類典型場景：交通管理的應(yīng)用：在進(jìn)出車站、火車高鐵站時，旅客通過刷二代身份證或“健康碼”，出示核驗健康碼狀態(tài)、行程信息、核酸報告、疫苗接種等防疫信息數(shù)據(jù)，即可快速通行。小區(qū)門禁的應(yīng)用：臉識別掃碼測溫門禁機是在臉識別門禁體機基礎(chǔ)上拓展出來的種能夠?qū)崿F(xiàn)刷臉識別、證件識別、體溫檢測、健康碼核驗等多功能于一體的防疫設(shè)備，且具有摘掉口罩不識別的提醒，起到雙層防護(hù)更安全的作用，對紅黃碼、體溫異常等風(fēng)險群可有效管控。醫(yī)院、商場的應(yīng)用：醫(yī)院門診大廳、商場等人流量大、不易管控的入口，引入了多功能掃碼測溫設(shè)備，通過人臉捕捉、識別，核驗健康碼即可完成健康碼、行程碼、體溫檢測以及核酸報告等信息的綜合查詢，提升出入效率、防止擁擠。文旅行業(yè)的應(yīng)用：在很多 5A 級景區(qū)門口，通過測溫掃