新冠肺炎疫情发生以来，中国信息通信研究院互联网新技术新业务安全评估中心持续对涉疫情个人信息和数据安全事件与风险问题进行监测，密切跟踪相关事件发展情况，评估风险威胁程度和影响范围，提出风险防范建议。当前，疫情防控工作已开展一个月有余，信通院评估中心依托技术手段和数据分析能力，就涉疫情数据安全保护总体态势情况进行了梳理研究，对出现的数据安全风险隐患做出归纳总结，了解掌握行业内数据安全保护措施情况与数字技术应用情况，并进一步对做好数据安全风险防范提出应对措施建议。有关情况如下：
1、 涉疫情数据安全保护总体态势情况
自1月20日官方正式启动新冠肺炎疫情报道以来，信通院安全评估中心依托数据安全威胁感知与监管系统、全国互联网信息安全管理系统等开展监测工作，监测发现涉疫情数据安全保护总体态势呈以下特点：
一是疫情期间数据安全事件多发，现已呈下降趋势。从事件总量看，据不完全统计，境内网站已累计报道涉疫情数据安全事件60余起、发布新闻3800余条、用户总访问量约为120余万次。从事件趋势看，数据安全事件自一月末开始出现，二月上旬数量较多，二月中下旬起事件发生得到有效控制，公开报道数量明显减少。
二是数据安全事件对个人信息主体造成严重影响。从影响范围看，相关事件的发生场景主要是医疗数据和个人信息遭泄露、超范围共享、被盗用等，涉及春运期间流动人员、湖北地区人员、确诊患者及密切接触者等海量人员信息。从影响程度看，疫情背景下信息迅速传播转发，难以得到有效控制，对维护个人信息主体合法权益造成一定威胁，也在疫情防控的关键时期引发了公众对配合提供个人信息的担忧。
三是数据安全事件场景与行业企业应用紧密关联。从已发生事件场景看，互联网即时通信软件成为此次疫情中个人信息泄露的主要途径，应用中出现大量包含原始个人敏感信息的数据表格。从现存风险隐患看，在疫情防控和复工复产“两手抓”的关键时期，相关疫情信息登记、远程办公、健康状况申报等网站及APP数据安全风险突出。
2、 疫情期间数据安全保护突出问题及隐患分析
针对涉疫情个人信息和数据安全事件发生情况，信通院安全评估中心组织对有关问题进行持续监测和跟踪研究，总结出从此类事件中暴露出的数据安全保护突出问题和风险隐患，包括相关人员涉疫情数据使用处理不当、平台网站数据安全保护措施不足、用户数据安全保护意识不到位等，重点体现在以下几个方面：
一是疫情防控期间数据使用处理方式不当，引发个人信息泄露事件。在疫情防控工作大规模铺开的初期，部分卫生和防疫部门工作人员、医务人员、社区工作者等出于疫情防控的迫切心情，突破了个人信息使用处理限度，发生擅自将个人原始信息上传至互联网、未经授权二次转发扩散等违法违规行为。
二是疫情下平台网站数据安全保护措施不足，导致数据安全风险突出。为便于开展涉疫情人员排查等工作，部分地区上线信息登记、健康状况申报等应用平台。但部分应用在紧急上线情况下缺少或简化安全评估流程，致使数据安全保障能力缺失，存在非加密访问、明文传输个人敏感信息、敏感端口开放等情况，为事件发生埋下隐患。
三是疫情期间用户数据保护意识不到位，不法分子伺机获取个人信息。不法分子利用广大群众对信息报备等工作的良好配合度、以及对疫情防护用品的迫切需求，通过冒充防疫部门工作人员、发布虚假口罩预约网站等方式套取个人信息，致使个人信息滥用风险及相关涉诈隐患突出。
三、已采取的数据安全保护措施做法和进展情况
为在疫情期间做好个人信息和数据安全保护工作，有效保护我国重要数据资产安全、维护用户合法权益，政企研联合发力采取了一系列工作举措：
一是行业主管部门积极履职，加强疫情期间个人信息保护监督管理。针对疫情期间个人信息保护问题，工信部发布《关于支撑开展疫情联防联控工作切实加强个人信息保护的通知》，要求各单位在疫情联防联控工作中，严格遵守《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规和中央网信办《关于做好个人信息保护利用大数据支撑联防联防工作的通知》要求，将个人信息保护各项要求落到实处。各地通信管理局按照工信部有关部署，组织属地企业严格执行数据脱敏、数据最小化收集等措施，在确保用户信息安全基础上，配合相关部门开展疫情防控形势分析、疫情预警排查等工作。
二是科研机构加强评估研判，开展疫情数据安全风险态势监测和研究。中国信通院评估中心成立专项工作团队，在工信部网络安全管理局指导下每日监测数据安全事件，研判风险并及时上报汇编情况，借助技术平台重点针对疫情信息登记平台、相关行业系统、App进行风险监测分析，累计监测平台系统299个、App44款，发现问题应用197个。赛迪研究院、电子四院等也在开放安全应用服务平台共享、推进数据开放共享标准制定等方面助力开展数字化疫情防控工作。
三是基础企业落实主体责任，在提供防疫数据支撑同时保证数据安全。三家基础电信企业充分发挥全网数据集中优势，快速形成大数据应用解决方案并向全国部署，提供疫情态势分析报告、交付疫情防控大数据平台、上线疫情风险预警平台以及提供“14天内到访地查询”等服务，有效支撑疫情防控工作。与此同时，在数据分析使用过程中，严格落实数据安全和个人信息保护相关措施。通过在数据流转、使用等各环节部署防攻击、防泄露、防窃取等安全防护技术手段措施，切实加强数据安全保护。
四是互联网企业利用技术优势，助力疫情防控同时加强数据安全保护。互联网企业运用大数据技术支撑实现涉疫情数据协同和信息公开发布，上线疫情专题地图应用、疫情数据监测及防疫物资信息服务平台等。在此基础上，不断加强数据安全保护产品研发，在数据防泄漏方面，上线有限分享、隐藏加密等功能，防止涉疫情信息不当截屏与转发，阻断个人敏感信息传播链条。在线上服务安全方面，通过安全沙箱、访问控制等方式，保护线上问诊、教育等平台用户信息及教育培训资源安全。在数据资产管理方面，上线智能运维平台，实现远程对企业内部设备及数据资产的实时监控保护。
四、数据安全保护下步措施建议
深入贯彻落实习近平总书记关于疫情防控工作的重要讲话指示精神，积极运用大数据、人工智能、云计算等数字技术，在疫情监测分析、资源调配等方面更好发挥支撑作用，及时梳理总结此次疫情中发生的个人信息和数据安全事件情况，分析查找问题，积极防范风险隐患，进一步统筹处理好数据使用和数据保护的关系，重点抓好以下工作落实：
一是建设数据安全事件整体应急处置能力。进一步深化落实工信部“电信和互联网行业提升网络数据安全保护能力专项行动”重点任务要求，优化行业数据安全应急保障制度，引导企业定期开展数据安全事件应急演练，持续优化应急预案，落实重大数据安全事件报告、调查追责、向社会公告等要求。
二是加强数据安全事件风险评估与动态监测。针对国内外政府机构、行业组织、科研机构等信息发布平台，密切跟踪掌握数据安全事件情况，及时就有关问题进行监测分析和评估研判，发现数据安全风险隐患。有效利用相关工作机制及时通报处置数据安全事件风险，提高数据安全整体风险防范水平。
三是深化落实数据安全合规性评估工作要求。行业企业持续性开展数据安全合规性自评估工作，通过评估及时发现风险并科学防范。企业大数据、即时通信等重点业务应用，严格落实数据采集使用、共享转移及第三方合作等合规性要求，加强安全审计和对数据接口等的监测巡查，有效防范数据安全事件发生。
四是发挥新技术对数据安全保护的促进作用。综合利用大数据、云计算、人工智能、区块链等新技术服务疫情监测分析、患者追踪、复工复产人员流动管理，在保护个人信息的同时开展疫情精准防控。进一步引导企业发挥技术示范效应，在产学研用各领域数据安全保护方面形成一批可复制、可推广的典型案例，不断促进相关技术应用发展。
 
文章来源：“互联网新技术新业务安全评估中心”微信公众号
发布时间：2020年3月4日