新冠肺炎疫情發生以來,中國信息通信研究院互聯網新技術新業務安全評估中心持續對涉疫情個人信息和數據安全事件與風險問題進行監測,密切跟蹤相關事件發展情況,評估風險威脅程度和影響範圍,提出風險防範建議。
涉疫情數據安全保護總體態勢情況
一、疫情期間數據安全事件多發,現已呈下降趨勢。
從事件總量看,據不完全統計,境內網站已累計報道涉疫情數據安全事件60餘起、發佈新聞3800餘條、用戶總訪問量約爲120餘萬次。從事件趨勢看,數據安全事件自一月末開始出現,二月上旬數量較多,二月中下旬起事件發生得到有效控制,公開報道數量明顯減少。
二、數據安全事件對個人信息主體造成嚴重影響。
從影響範圍看,相關事件的發生場景主要是醫療數據和個人信息遭泄露、超範圍共享、被盜用等,涉及春運期間流動人員、湖北地區人員、確診患者及密切接觸者等海量人員信息。從影響程度看,疫情背景下信息迅速傳播轉發,難以得到有效控制,對維護個人信息主體合法權益造成一定威脅,也在疫情防控的關鍵時期引發了公衆對配合提供個人信息的擔憂。
三、數據安全事件場景與行業企業應用緊密關聯。
從已發生事件場景看,互聯網即時通信軟件成爲此次疫情中個人信息泄露的主要途徑,應用中出現大量包含原始個人敏感信息的數據表格。從現存風險隱患看,在疫情防控和復工復產“兩手抓”的關鍵時期,相關疫情信息登記、遠程辦公、健康狀況申報等網站及APP數據安全風險突出。
疫情期間數據安全保護突出問題及隱患分析
一、疫情防控期間數據使用處理方式不當,引發個人信息泄露事件。
在疫情防控工作大規模鋪開的初期,部分衛生和防疫部門工作人員、醫務人員、社區工作者等出於疫情防控的迫切心情,突破了個人信息使用處理限度,發生擅自將個人原始信息上傳至互聯網、未經授權二次轉發擴散等違法違規行爲。
二、疫情下平臺網站數據安全保護措施不足,導致數據安全風險突出。
爲便於開展涉疫情人員排查等工作,部分地區上線信息登記、健康狀況申報等應用平臺。但部分應用在緊急上線情況下缺少或簡化安全評估流程,致使數據安全保障能力缺失,存在非加密訪問、明文傳輸個人敏感信息、敏感端口開放等情況,爲事件發生埋下隱患。
三、疫情期間用戶數據保護意識不到位,不法分子伺機獲取個人信息。
不法分子利用廣大羣衆對信息報備等工作的良好配合度、以及對疫情防護用品的迫切需求,通過冒充防疫部門工作人員、發佈虛假口罩預約網站等方式套取個人信息,致使個人信息濫用風險及相關涉詐隱患突出。
數據安全保護下步措施建議
一、建設數據安全事件整體應急處置能力。
進一步深化落實工信部“電信和互聯網行業提升網絡數據安全保護能力專項行動”重點任務要求,優化行業數據安全應急保障制度,引導企業定期開展數據安全事件應急演練,持續優化應急預案,落實重大數據安全事件報告、調查追責、向社會公告等要求。
二、加強數據安全事件風險評估與動態監測。
針對國內外政府機構、行業組織、科研機構等信息發佈平臺,密切跟蹤掌握數據安全事件情況,及時就有關問題進行監測分析和評估研判,發現數據安全風險隱患。有效利用相關工作機制及時通報處置數據安全事件風險,提高數據安全整體風險防範水平。
三、深化落實數據安全合規性評估工作要求。
行業企業持續性開展數據安全合規性自評估工作,通過評估及時發現風險併科學防範。企業大數據、即時通信等重點業務應用,嚴格落實數據採集使用、共享轉移及第三方合作等合規性要求,加強安全審計和對數據接口等的監測巡查,有效防範數據安全事件發生。
四、發揮新技術對數據安全保護的促進作用。
綜合利用大數據、雲計算、人工智能、區塊鏈等新技術服務疫情監測分析、患者追蹤、復工復產人員流動管理,在保護個人信息的同時開展疫情精準防控。進一步引導企業發揮技術示範效應,在產學研用各領域數據安全保護方面形成一批可複製、可推廣的典型案例,不斷促進相關技術應用發展。