近期,在社会各界齐心协力共同应对疫情的过程中,网上出现多起以寻找确诊病例密切接触者为名公布他人姓名、手机号码等个人信息,甚至是户籍地址、身份证号码等个人敏感信息的事件,个别被公开信息的人员还受到了陌生人电话、微信等多种方式的骚扰,泄露的个人信息甚至可能被网络犯罪分子“觊觎”。
疫情防控背景下 个人信息泄露原因
1
纵观此次信息泄露原因,一方面是各地疾病防控机构、基层街道社区等普遍开展走访调查工作,统计相关人员个人信息,这个过程涉及到个人信息的采集、汇总、传输、披露等多个环节,任何环节出问题都会导致数据泄露、丢失、滥用等情形。
2
另一方面,很多参与传播的人也无意中成了推手,在传播是为了帮助监督、是为了控制疫情的认知下损害了他人隐私权,甚至导致疫情恐慌甚嚣尘上。
疫情防控背景下,个人信息防护相关规定
_
2020 年2月9日,网信办官网发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。要求,收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。未经被收集者同意,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
_
2020 年 01 月 29 日,交通运输部发布《关于统筹做好疫情防控和交通运输保障工作的紧急通知》(交运明电〔2020〕33 号)。通知强调,要依法严格保护个人隐私和个人信息安全,除因疫情防控需要,向卫生健康等部门提供乘客信息外,不得向其他机构、组织或者个人泄露有关信息、不得擅自在互联网散播。
_
《网络安全法》第四章网络信息安全要求:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
_
《信息安全技术·个人信息安全规范》(GB/T35273-2017)提出,个人信息保存期限应为实现目的所必需的最短时间,且在超出前述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
_
《中华人民共和国政府信息公开条例》于第15条设立了对个人隐私信息的保密性规定:涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。
_
《传染病防治法》第68条第5项规定:故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书。
_
《治安管理处罚法》第42条第6项规定:对于偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。
_
《民法总则》第111条规定:任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
世平个人信息防护解决方案
世平信息基于多年的信息安全从业经验,针对疫情防控下的个人隐私信息泄露现状,自主研发的产品以深度内容识别技术为核心,遵从行业标准、法规以及降低隐私数据安全风险的目标,全方位保障个人隐私数据的安全。
数据泄露防护系统(SIMP-DLP)
通过深度内容识别技术对存储、传输、使用中的疫情相关个人信息在采集、存储、使用、共享、传输、披露、销毁等生命周期各环节进行发现、定位、监控、阻断、溯源、审计等数据泄露风险管控。
一旦发现使用的数据内容涉及到个人隐私数据,超出自己的使用权限时,可以进行相对应的告警、审计、阻断的行为。
另外具有水印和溯源的功能,屏幕水印可对于拍照/截图等途径泄露的个人隐私数据实现可追溯的目的。
能够对此次疫情信息管控相关的工作人员有意或者无意的泄露行为起到警示作用。
真正做到了事前可防范、事后可追溯、信息安全可管可控,防范个人隐私数据泄露。
数据脱敏系统(SIMP-SDM)
对敏感信息通过脱敏规则进行数据变形处理,实现智能发现、自动分类、自动脱敏,并以静态脱敏库或即时逐条返回的形式自动装载还原,消除被共享、调用数据的敏感性。
有效降低敏感数据泄露风险,实现敏感数据的可靠保护。
针对此次疫情报告、通报和公布等对外披露工作以及政府、医院、科研机构等信息控制者在特定情况下(如涉及公共利益/法律法规要求时,或出于科学研究、公共卫生或医疗保健操作目的受限制数据集)披露等工作需求。
该系统能够对姓名、年龄、身份证号码、电话号码、家庭住址等敏感信息进行脱敏,做到满足社会一般公众对疫情状况的知情权,同时不公开其具体的个人信息,保障个人隐私信息的安全。
敏感信息风险监控系统(SIMP-SRD)
帮助疫情防控背景下监管机构及企业依法、有效地开展个人信息、行业敏感数据及违禁传播数据等的合规风险检测。
协助监管机构开展有效的信息合规风险检测,帮助平衡个人信息、敏感数据的利用效率与合规风险。