信息化觀察網(wǎng)

圖片來源 視覺中國

在疫情之下，健康寶已經(jīng)成為用戶能否進入公共場所、甚至搭乘公共交通的重要憑證。而令人驚訝的是，在一連串的“販賣”人臉信息事件之后，健康寶也成為隱私泄露的重災(zāi)區(qū)。

近日，“明星健康寶照片泄露”一事引發(fā)關(guān)注。在一些微信群里，出現(xiàn)了打包好的多位明星的健康寶照片，在照片中還包括了姓名和身份證號、核酸檢測結(jié)果、檢測機構(gòu)和時間。

被泄露的明星健康寶照片

而針對這些健康寶照片，相關(guān)的信息販賣產(chǎn)業(yè)鏈也在形成。據(jù)網(wǎng)傳截圖顯示，在群里花1元即可購買明星健康寶的查詢方式、2元可獲得70多位藝人健康寶照片、1元可獲得1000多位藝人身份證號等等……

群里在賣明星信息（來源紅星新聞）

鈦媒體曾詳述過當(dāng)前網(wǎng)絡(luò)黑產(chǎn)的種種套路。當(dāng)詐騙團伙利用技術(shù)不斷升級新的黑產(chǎn)作案工具、多種黑產(chǎn)相互勾連團伙作戰(zhàn)，用戶被泄露的個人信息，很可能通向的是網(wǎng)絡(luò)賭博、連環(huán)詐騙等種種深淵。

“他人代查”是如何被鉆空子的？

據(jù)悉，健康寶指的是“北京健康寶”，是北京市大數(shù)據(jù)中心依托北京市防疫相關(guān)數(shù)據(jù)和國家政務(wù)服務(wù)平臺，針對新冠肺炎疫情防控需要推出的小程序。

健康寶采集的信息十分詳盡，包括姓名、性別、手機號、身份證號、活動軌跡、健康信息、接觸史等信息。除此以外，為防控疫情，健康寶還接入了民航、鐵路、公路以及公交車等交通數(shù)據(jù)，電信運營商數(shù)據(jù)、銀行金融機構(gòu)支付數(shù)據(jù)等。

代拍健康寶查詢信息，針對的正是北京健康寶里的健康服務(wù)預(yù)約查詢功能。該功能重點圍繞核酸檢測進行，可幫他人進行核算檢測結(jié)果代查。

他人核酸檢測結(jié)果待查

據(jù)悉，他人代查功能的出現(xiàn)，本是健康寶為了照顧沒有智能手機、不會使用智能手機的人群。

北京市政府官網(wǎng)曾介紹，代查他人健康狀態(tài)功能需要在填寫他人身份信息過后，通過代查人的人臉識別認證，每人最多可為4人代查，代查后可刪除代查記錄。被查人之后在自己或其他賬號生成健康狀態(tài)后，前述查詢結(jié)果自動失效。

據(jù)鈦媒體測試，在點擊他人代查后，的確需要提供姓名、身份證號和進行人臉識別。

不過，據(jù)媒體報道，并不是所有情況下代查都需要進行人臉識別認證。這也就意味著，通過非法手段獲取明星的身份證號后，無需再次人臉識別，就能獲得他人在健康寶上的人臉識別照片。

早在今年8月，面對“健康寶掃碼登記會泄露個人信息”的爭議，“北京發(fā)布”就在微博做出過回應(yīng)。

回應(yīng)指出，“健康寶”始終堅持“個人信息最小化采集”的設(shè)計理念，僅需進行必要的實名認證，即可登錄使用健康寶相關(guān)服務(wù)，且登錄狀態(tài)長期有效。在登錄狀態(tài)下，每次打開健康寶可直接使用健康狀態(tài)查詢等服務(wù)，不需要再次人臉識別。若主動退出登錄，為保障信息安全，需重新進行實名認證。

回應(yīng)還指出，在新增的掃碼功能界面中，個人信心均以脫敏形式呈現(xiàn)，能夠有效避免隱私泄露風(fēng)險。且所有信息僅保存于北京市政務(wù)云，僅用于防疫追溯及相關(guān)工作。

這種本來貼心的設(shè)定，或許也讓不法分子鉆了空子。

“北京發(fā)布”回應(yīng)隱私泄露一事

風(fēng)波背后的隱憂

針對販賣“健康寶照片”的風(fēng)波，軟件開發(fā)平臺方、監(jiān)管部門已經(jīng)開始調(diào)查。

據(jù)21世紀經(jīng)濟報道，12月28日，負責(zé)研發(fā)北京“健康寶”的中關(guān)村科學(xué)城城市大腦股份有限公司的工作人員表示，已有很多電話咨詢這一問題，相關(guān)項目負責(zé)同事正在跟進此事。

據(jù)南方都市報報道，北京市經(jīng)濟和信息化局的一名工作人員表示，對于明星核酸檢測照片泄露事件，以及為什么人臉識別功能未觸發(fā)的問題，已向上反映，目前正在核實了解相關(guān)情況，后續(xù)將會公開相關(guān)調(diào)查結(jié)果。

而針對這場風(fēng)波存在的隱憂，多名業(yè)內(nèi)人士紛紛發(fā)聲。

上海漢聯(lián)律師事務(wù)所合伙人律師宋一欣表示，這是侵犯個人信息及隱私權(quán)、肖像權(quán)的行為，不但賣者有責(zé)，買者也有責(zé)，平臺更有責(zé)。對此，監(jiān)管部門應(yīng)予以查處，受害者亦可以通過訴訟維權(quán)。

金融科技行業(yè)專家張鯤則指出，“可以肯定的是，健康寶存在漏洞，所有使用過健康寶的個人相關(guān)信息都可獲取，只是流傳出來的是明星的信息，因為傳播價值更高。”

張鯤建議道，從立法層面，希望《個人信息保護法》盡快落地，相關(guān)司法解釋能夠從重處理，以起到警示作用。從個人層面，希望停止無心轉(zhuǎn)發(fā)。“下游黑客盜信息，中游黑客賣工具，上游黑客釣大魚。你的無心轉(zhuǎn)發(fā)，會被別有用心的人利用。”

全國企業(yè)合規(guī)委員專家丁繼華則強調(diào)了企業(yè)加強個人數(shù)據(jù)保護的重要性，他建議道，

對這些大批量收集、控制或處理的組織來說，很有必要把個人數(shù)據(jù)保護的合規(guī)培訓(xùn)、任命數(shù)據(jù)保護合規(guī)官、建立相應(yīng)的制度和流程作為開展業(yè)務(wù)的前提。

這次泄漏明星隱私的行為，不知道相關(guān)企業(yè)或組織有沒有相應(yīng)的合規(guī)管理制度，有沒有對相關(guān)員工開展合規(guī)培訓(xùn)。如果沒有，那么無論是企業(yè)或者組織，都應(yīng)該承擔(dān)主要責(zé)任。

他還建議相關(guān)企業(yè)或者組織，應(yīng)該加快評估合規(guī)風(fēng)險，制定補救措施，開展積極補救。

據(jù)紅星新聞報道，河南豫龍律師事務(wù)所律師付建認為，公民的身份證號碼是其個人信息的一部分，除非其自己主動公布，不然通過其他渠道獲取相關(guān)身份信息，以謀利為目的出售明星個人信息，相關(guān)人員可能涉嫌侵犯公民個人信息罪，要承擔(dān)刑事責(zé)任。

付建表示，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

（鈦媒體App編輯蘆依整理）