涉疫情个人信息和数据安全保护态势分析报告

新冠肺炎疫情发生以来，中国信息通信研究院互联网新技术新业务安全评估中心持续对涉疫情个人信息和数据安全事件与风险问题进行监测，密切跟踪相关事件发展情况，评估风险威胁程度和影响范围，提出风险防范建议。

 

涉疫情数据安全保护总体态势情况

一、疫情期间数据安全事件多发，现已呈下降趋势。

从事件总量看，据不完全统计，境内网站已累计报道涉疫情数据安全事件60余起、发布新闻3800余条、用户总访问量约为120余万次。从事件趋势看，数据安全事件自一月末开始出现，二月上旬数量较多，二月中下旬起事件发生得到有效控制，公开报道数量明显减少。

二、数据安全事件对个人信息主体造成严重影响。

从影响范围看，相关事件的发生场景主要是医疗数据和个人信息遭泄露、超范围共享、被盗用等，涉及春运期间流动人员、湖北地区人员、确诊患者及密切接触者等海量人员信息。从影响程度看，疫情背景下信息迅速传播转发，难以得到有效控制，对维护个人信息主体合法权益造成一定威胁，也在疫情防控的关键时期引发了公众对配合提供个人信息的担忧。

三、数据安全事件场景与行业企业应用紧密关联。

从已发生事件场景看，互联网即时通信软件成为此次疫情中个人信息泄露的主要途径，应用中出现大量包含原始个人敏感信息的数据表格。从现存风险隐患看，在疫情防控和复工复产“两手抓”的关键时期，相关疫情信息登记、远程办公、健康状况申报等网站及APP数据安全风险突出。

 

疫情期间数据安全保护突出问题及隐患分析

 

一、疫情防控期间数据使用处理方式不当，引发个人信息泄露事件。

在疫情防控工作大规模铺开的初期，部分卫生和防疫部门工作人员、医务人员、社区工作者等出于疫情防控的迫切心情，突破了个人信息使用处理限度，发生擅自将个人原始信息上传至互联网、未经授权二次转发扩散等违法违规行为。

二、疫情下平台网站数据安全保护措施不足，导致数据安全风险突出。

为便于开展涉疫情人员排查等工作，部分地区上线信息登记、健康状况申报等应用平台。但部分应用在紧急上线情况下缺少或简化安全评估流程，致使数据安全保障能力缺失，存在非加密访问、明文传输个人敏感信息、敏感端口开放等情况，为事件发生埋下隐患。

三、疫情期间用户数据保护意识不到位，不法分子伺机获取个人信息。

不法分子利用广大群众对信息报备等工作的良好配合度、以及对疫情防护用品的迫切需求，通过冒充防疫部门工作人员、发布虚假口罩预约网站等方式套取个人信息，致使个人信息滥用风险及相关涉诈隐患突出。

 

数据安全保护下步措施建议

 

一、建设数据安全事件整体应急处置能力。

进一步深化落实工信部“电信和互联网行业提升网络数据安全保护能力专项行动”重点任务要求，优化行业数据安全应急保障制度，引导企业定期开展数据安全事件应急演练，持续优化应急预案，落实重大数据安全事件报告、调查追责、向社会公告等要求。

二、加强数据安全事件风险评估与动态监测。

针对国内外政府机构、行业组织、科研机构等信息发布平台，密切跟踪掌握数据安全事件情况，及时就有关问题进行监测分析和评估研判，发现数据安全风险隐患。有效利用相关工作机制及时通报处置数据安全事件风险，提高数据安全整体风险防范水平。

三、深化落实数据安全合规性评估工作要求。

行业企业持续性开展数据安全合规性自评估工作，通过评估及时发现风险并科学防范。企业大数据、即时通信等重点业务应用，严格落实数据采集使用、共享转移及第三方合作等合规性要求，加强安全审计和对数据接口等的监测巡查，有效防范数据安全事件发生。

四、发挥新技术对数据安全保护的促进作用。

综合利用大数据、云计算、人工智能、区块链等新技术服务疫情监测分析、患者追踪、复工复产人员流动管理，在保护个人信息的同时开展疫情精准防控。进一步引导企业发挥技术示范效应，在产学研用各领域数据安全保护方面形成一批可复制、可推广的典型案例，不断促进相关技术应用发展。