疫情之下，个人隐私急需“防护服”

微信邦

陈旧的数据处理手段、薄弱的隐私保护意识与有待完善的法律法规，疫情下暴露出的问题告诉我们，对个人隐私的保护，是时候“升级”了。

❒

老鹰

IDF极安客【益云】实验室联合创始人

随着2019-nCoV新型冠状病毒引发的肺炎疫情防控形势不断升级，曾参与多次地震救灾信息技术支持的我，怎能置身度外“安宅”家中？自1月23日起，我便报名参加了多个志愿者协作微信群，参与了医疗物资需求统计、物资筹集等工作。

在除夕夜，我却意外的在一个由互联网人和媒体人组成的500人群中看到一张截图：

在这张截图的原文件中，旅客姓名、详细住址、身份证号等信息清晰可见。

这显然是因为各地对湖北返乡人员的排查和上报（作为非常时期利用行政手段和实名制，运用业务大数据来对风险人群进行统一有效应急的社会管理本身是合法合规的）过程中产生的数据泄漏。

在应急状态下开展数据采集，应该采用何种工具、如何处理加工及其过程中的风险控制似乎被忽略了，#武汉返乡人员信息被泄露#话题也迅速登上微博话题榜。

01

在个人信息被泄露后，许多武汉返乡人员不断收到骚扰电话和侮辱谩骂消息，甚至连家人都被波及。这早已超过正常防控和隔离的范围。而后，防疫信息登记信息广泛的、任意的传播现象，也呈现出网络舆论对公民隐私权保护的无视与无知。

其实，除了针对湖北返乡人员，不少社区、企业、学校、工厂等，因关心成员的健康，也采取了信息集中和每日上报机制。大量的信息将以前所未有的规模重组和传播，这很大程度上也影响着民众的知情范围、心理感受和行动路径。

疫情之下，民众心理压力巨大、精神高度紧张，难免给了浑水摸鱼之徒假借支持防疫、奉献爱心等名义进行伪装的机会，这又会加剧社会恐慌。

例如，不久前临汾网警查处了4起散布公民个人隐私信息的案件。

又如，湖南某卫生局副局长也因为将内部工作文件和涉及多人隐私的调查报告泄露到微信群、侵害他人隐私而被立案调查。

这些故意泄露个人信息的行为，均在一定程度上侵犯了公民的合法权益，不仅暴露出某些单位内部信息管理和保密制度存在漏洞，相关行为人还有可能触犯《网络安全法》、涉嫌侵犯公民个人信息刑事犯罪——

《网络安全法》第六十四条 规定：违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

《刑法》第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

而根据我在春节期间的观察，目前全国防疫行动中存在的隐私泄露和安全风险主要有以下三类：

• 碎片化的社交快速裂变，原有的社群边界被打破，由此带来了钓鱼、社交欺诈风险（例如利用群信任和医疗物资急迫性信息，骗取货款售卖假冒伪劣物资）；
• 大量的数据被采集与共享（包括患者信息、医院医生信息、志愿者信息、湖北出入旅客信息等），但权限分配规则缺乏，过程及事中事后的保护手段缺失，由此带来隐私泄露风险；
• 由以上两点带来的个人和单位隐私数据被再加工、被篡改和再传播带来的各类延伸风险。
  
  

*注：根据国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》，个人的住所信息、电话号码、健康信息、行踪轨迹等隐私信息可都是 “个人敏感信息”！14岁及以下儿童的个人信息更是 “个人敏感信息”。

对全国防疫工作而言，隐私泄漏的同时反过来无疑会加大疫情信息统计与搜集的难度。

部分民众可能由于担心自身隐私安全而拒绝提供正常防疫申报相关的各项信息，而个人隐私的泄露也将加剧民众对于政府机构或信息采集机构（包括公益组织、志愿者活动）的信任危机，不利于后续相关措施推进。

在我看来，上述问题和风险产生的原因，其实是信息的采集者和共享者缺乏协作工具使用经验和意识。传统的手工录入、电子填表等方式继续在社交网络上被大规模使用，但一方面，因为疫情规模和时间的急迫性，另一方面，因为移动互联网打破了原有封闭体系，打破了原有体制中的报送机制和安全控制边界，导致大量没有安全保护措施的电子文档通过社交工具任意流传。

此时，一些具备协作功能的在线文档工具的价值就体现了出来。

02

根据我对疫情下众多志愿救助行动的观察，目前被较多采用且效率较好的在线协作方式主要还是以下几种——

其一，基于微信建群构建各种交流、协作渠道（如医院需求对接、各种信息分享、心理援助的咨询等）；其二，在微信群内分享一些在线文档协作工具，创建、编辑和更新相关表单、信息和数据，发布在线采集入口并进行分享；其三，在线文档信息采集、社交传播之后的数据再加工，开发出大量的小程序应用来丰富各种防疫行动中的场景应用（如科普、心理咨询、辟谣等）

本次防疫行动中我们技术志愿者创建的湖北防疫医疗物资需求和行动地图，信息均来自对在线协同文档平台的数据采集加工

相比各种由纯文本信息间接导致的虚假信息满天飞现象，以及各种excel表格的“裸奔”现象，此时，在线文档产品在隐私、权限、安全保护功能的设置与功能显得格外重要。

通过相关在线文档官方的安全文档手册、白皮书的说明和实际操作体验，我们可以大致从“系统技术侧”、“管理安全侧”两个纬度来理解在线文档在大规模社会行动中（以本次全国新冠病毒防疫为例）相比传统本地化工具在安全、隐私保护上的优势。

▌在系统技术侧

本地化的信息处理工具高度依赖使用者自身的个人电脑或手机的安全管理，一旦从本地传送到社交网络的云端，就完全离散化不可控。在防疫行动中，很多基层部门对突如其来的大量数据采集准备不足，成为在本地处理社交网络上报产生的众多信息泄露问题的根源。

而平台化的在线文档协作平台大多基于云端，通常都会接入到其云平台的安全体系中（如DDOS攻击、WEB入侵检测等），特别是其自身内控安全的治理和合规水平，都是需要按照国际、国家有关安全合规来设计部署并经第三方权威安全机构审计的（如国家等保、ISO27001等，这也涉及到平台方是否存在主动搜集文档创建者采集数据自用的风险问题，比如文档协作平台没有健全的隐私政策，不能很好地处理收集到的个人信息，那实际可能还为如今的防疫工作埋下了大隐患），这样可以降低平台自身数据泄露风险，也有利于增加协作者的安全感。

此外，还有文档协作平台的帐号管理体系的自身安全性。一般建议大家选择支持第三方（如QQ、微信、微博等相对成熟的社交网络工具账号）登陆的模式，一方面，有利于无缝对接协作者既有的社交工具和分享渠道；另一方面，这类第三方大厂的账号的自身安全维护能力已经非常成熟（如支持QQ或微信帐号登录的腾讯文档，两者帐号体系能够保障用户帐号安全，又接入了腾讯内部专业安全运维体系）。

▌在管理安全侧

首先，非常重要的文档协作权限配置：如腾讯文档可以配置私密文档权限、指定人权限、获得链接的人可查看/编辑权限，并支持创建者可随时根据需要修改文档权限。此外，还可以看看是否支持访客水印，以协助文档创建发布者了解文档的使用情况。

特别需要指出的是，防疫行动期间大量涉及隐私数据的采集应该是临时性的（比如我去药店给外婆买阿莫西林却被药房临时登记住所、身份证和电话信息），所以支持配置在线协作分档的分享链接有效期也应该作为其产品的安全基础表现而非特殊功能。

如上图所示，如果当初登记高铁信息的武汉返回旅客，采用的是这种志愿者群复盘总结使用的统计表形式，哪怕分享的二维码暴露在非工作关系的群中，最多智慧增加一些无效的数据，统计方也可以快速更改协作设置，加以权限锁定和配置。而不会出现本地电子表格群等共享方式可能导致的整套文件的大量数据泄露，这样的泄露是无法回收和溯源的。

基于上述经验，强烈建议在今后的防疫行动中—— 无论是志愿者组织还是基层社区居委会，在进行信息统计的过程中，优先使用安全技术性较强和隐私保护有可靠保证的在线文档平台。相比使用本地化的电子表格和社交工具里的纯文本复制粘贴，可以严格控制参与和查看人员，查看浏览记录，从而把控相关操作全流程的规范性。以此避免隐私信息被他人查看或利用。

03

当然，即使有了互联网文档协作平台这件利器，疫情防治中信息披露和个人信息保护的平衡问题，依然还有很多需要研讨和反思的地方。

其一，“关心疫情”不应成为泄露个人信息的理由

疫情爆发至今，已经出现了不少肺炎患者或其活动轨迹遭泄露和传播的消息。这些被泄露的信息，甚至具体到了人名、身份证号码、联系方式和车次航班号等。

基于对疫病的恐惧和防护的需要，对疫情的了解当然是应该和必要的，但并不是毫无限制的。事实上按照相关法律，即便是为了控制疫情需要，个人信息也不存在任何私自或任意传播的可能，《传染病防治法》仅仅规定了对疫情由有关部门了解汇总情况，同时又严格禁止了有关部门泄漏涉及个人隐私的信息。

其二，疫情中，信息公开和采集依然要遵循合法合规

在疫情等突发公共事件中，从程序上来讲，只要综合《政府信息公开条例》、《信息安全技术个人信息安全规范GB/T 35273—2017》等规定，在下列四种情况下可以进行信息公开：

• 经过个人同意或个人主动公开；
• 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；
• 即便未经本人同意，行政机关认为不公开会对公共利益造成重大影响的，主要涉及与公共安全、公共卫生、犯罪侦查、案件审判等；
• 即便未经本人同意，出于公共利益开展统计或学术研究所必要。
  
  

但程序上的允许公开，并非公开的内容可以无限制、无顾忌。

《网络安全法》第四十二条就规定所披露信息必须“经过处理无法识别特定个人且不能复原的”，但《网络安全法》的这条规定仍然存在一些留待今后复盘研讨之处，如：这条规定所调整的主体是网络运营者，公权力部门在未经个人同意披露个人信息时可释放的内容边界在哪里，目前并不明确。

这些问题，期待已列入2020立法计划的《个人信息保护法》，可以结合本次规模空前的防疫行动中延伸出的相关问题，经过审慎的复盘，广泛征集产业、行业意见，在此基础上讨论后给出更加科学、可操作的答案。

真实的披露信息，是凝聚共识、抗击疫情的有力措施。

在全民防疫这场看不见硝烟的战争中，在呵护人民生命健康、聚合社会力量与爱心的同时，不要忘记保护公民隐私和信息安全，不要因“好心办坏事”而重复制造新的社会问题。

祝疫情早日结束，祝孩子们都能健康快乐地自由奔跑！安全技术宅加油，防疫志愿者加油！