一、小白剧场
小白:回顾2020年最受我青睐(最常使用)的APP榜单,没想到北京健康宝榜上有名呀!
大东:哈哈哈,在北京,进出每一个地方都需要扫一扫北京健康宝,只有听到它发出“通过”的声音你才能自由通行。
小白:是呢,由于新冠肺炎疫情的原因,记录人员的流行足迹是很有必要的。像健康宝这类的软件在我们疫情防控环节中起到了很大的作用呢。
大东:那你在使用这个软件的过程中,有没有感觉有什么不妥之处呢?
小白:当然有!我之前用其它软件进行扫码登记的时候,根本不会显示我的人脸。但是北京健康宝就不同了,它不仅要记录你的面部,还会在你每次扫码的时候显示你的照片。天呐,我每次都不忍心看到自己的照片。
大东:小白,你的关注点很独特呀!那作为安全人员,你有没有想过其它的不妥之处呢?
小白:其实有很多人都在吐槽北京健康宝照片的问题,不止我一个。在最初使用此类软件的时候,我还在担心这个软件记录了我们的个人身份信息,还记录了我们每天的行程,如果有不法分子盗取了这些信息,后果不敢想象呀。不过后来在使用的过程中也就忘记这件事情了。
大东:的确,隐私泄露是一个大问题,这不最近就爆出了健康宝泄露明星隐私信息的事件。
小白:这个事件一经爆出,就成了人们关注的焦点。当天此事件就上了微博的热搜排行榜。
微博热搜排行榜(图片来源于网络)
大东:那我们就趁此事件聊一下隐私泄露吧。
小白:好呀好呀!
二、话说事件
大东:近日,明星“代拍”行业里,出现了一项新型的“健康宝照片”买卖交易。
代拍群信息(图片来源于网络)
小白:是呀,听说非常猖狂,隐私以极低的价格被泄露,如“1元购买健康宝查询方式”、“2元70多位艺人健康宝照片”、“1元1000多位艺人身份证号”。
大东:据了解,在代拍群中,开始是花1元可购买1位明星健康宝照片,后来出现了3元可打包“tnt时代少年团”7人的健康宝照片,随后,又出现了2元打包70多位艺人健康宝照片,1000多位艺人身份证号仅售1元等。
小白:惊呆!但这个是怎么做到的呢?
大东:其实没有很复杂的操作。在微信中搜索“北京健康宝”小程序,将本人信息注册之后,点击“健康服务预约查询”,随后点击底部链接打开“核酸检测”服务,最后点击“他人核酸检测结果代查”即可达到输入界面。
健康宝程序界面(图片来源于网络)
小白:也就是只要正确输入他人信息,就可以获取到此人的核酸检测详情信息。
大东:没错,在上述页面中输入明星的姓名与身份证号,无需再次人脸识别,即可获得他人在录入个人信息时,进行人脸识别的照片,即代拍们所贩卖的“健康宝照片”。
贩卖的明星信息(图片来源于网络)
小白:那核算检测结果信息也可以被获取?
大东:对,如果被搜索的人做过核酸检查,通过该方式还可得到该人的核酸检查结果与检测机构、检测时间。
三、大话始末
小白:那隐私泄露之后平台做了哪些措施呢?
大东:首先,北京经信局及时地做出回应,核实此事件。
北京经信局回应(图片来源于网络)
小白:那核实之后问题解决了吗?
大东:不要急,北京市经济和信息化局大数据建设处(智慧城市建设处)已回应:“此问题已解决。”
小白:他们是不是在他人待查核酸检测之前添加了验证环节?
大东:没错,代查他人健康状态及核酸检测需姓名和身份证号外,已改为还需要被代查人人脸识别认证。
人脸识别图片(图片来源于网络)
小白:这个方法不错。东哥,我还有个问题,明星健康宝照片属于个人隐私吗?
大东:看一点专业的解释,即将施行的《民法典》对隐私的定义是“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
小白:嗯!
大东:还有,判断相关信息是否属于个人隐私,往往还需考虑当事人对相关信息及其产生场景的预期。也就是说,如果按一般正常人的认知,当事人对所处空间的预期是私密的,认为其在该等空间的自由行为不会公开,且社会公众也认为该等信息不应被他人所知。那么,当事人在该等空间的行为可以认为属于个人隐私。
小白:也就是说,如果明星拍照时处于私密空间,加之明星使用健康宝拍照是为进行人脸识别,显然没有将照片公之于众、广泛传播的预期。从这一层面,不排除明星健康宝照片被认定为属个人隐私的可能性。
大东:不过,目前被泄露的信息不仅包含明星照片,还包括姓名、身份证号、电话号码等综合信息,该等信息实际已落入法律对“个人信息”的定义。
小白:那出售或传播个人信息将面临什么后果?
大东:咳咳,我国《刑法》中设有侵犯公民个人信息罪。向他人出售或者提供公民个人信息;或是将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的;以及窃取或者以其他方法非法获取公民个人信息的,视情节严重性,都有可能构成犯罪,被处以有期徒刑或者拘役,并处或者单处罚金。
四、小白内心说
小白:小白和小白的朋友们都不会助纣为虐的。话说回来,小白我听完这件事情后,更加认可技术和隐私保护要迭代发展的观念了。
大东:是的,在个人隐私数据流转的全链条里面,只要出现一个漏洞,引发大规模数据泄露及其舆论风波,多方共赢就可能沦为多方共输:泄露数据的涉事企业要因此承担法律责任,推广“健康宝”的地方政府因此公信力受损,对“健康宝”拒绝共享数据或配合检查的居民则可能承担新冠肺炎感染风险。
小白:是的,这次健康宝的补救措施还做得不错,这个问题被曝光之后,他们立马就更新了版本,增加了人脸识别的功能。
大东:没错,对于平台方,一旦发现软件存在漏洞,应迅速行动,绝不能让个人姓名、身份证号、出行轨迹、脸部照片等个人信息“裸奔”在互联网的世界里。
小白:由于防控疫情的需求,我们越来越能接受在合理范围内出让自己的隐私,将行程、健康状态相对开放的个人信息分享出来以便能在社会层面上获取更多的便利、安全。不过我们的隐私信息一定要被保护在安全圈内,不能被非法分子所利用。
大东:是呀,鉴于大数据具有零成本复制、容易反向脱敏、容易删后恢复的特性,要从隐私数据的最初产生直到彻底湮灭,将数据安全防护贯穿全生命周期。
小白:嗯嗯嗯!
参考资料:
1. 各方回应!大量明星核酸检测人脸照片被买卖?https://mp.weixin.qq.com/s/QSkT-XmRSjeZ5f8OjxckWA
2. 百位明星健康宝照片外泄 窥私应该有底线
https://ent.people.com.cn/n1/2020/1230/c1012-31984109.html
3. “健康宝”明星隐私泄露事件:数据保护须闭环管理http://www.eeo.com.cn/2020/1229/451168.shtml
4. “健康宝”泄露明星个人信息,技术与隐私何去何从?https://mp.weixin.qq.com/s/edQbq87mV6iTW4Whf89K5w
来源:中国科学院信息工程研究所
来源:中科院之声
