疫情下个人数据安全和工作机制的思考
2020-02-26 09:00:45 Author: www.freebuf.com(查看原文) 阅读量:172 收藏

2019年12月武汉爆发了“新冠”病毒引发的疫情,病毒引起发烧、咳嗽等症状,具备“人传人”可能且暂无特效药,有人因此丢掉生命。正逢中国春节的到来,2020年武汉春运终有500万人离开,“人传人”从而引发疫情蔓延。1月25日中央成立应对疫情工作领导小组,全国各地疫情防控全面展开,我们都坚信在党中央的领导下防疫战役终能取得胜利。

有史以来人员出入最少,社区管理最严的春节与“新冠”疫情同时到来了。大家都能感觉到社区联防工作的效果非常好,各单位的工作协同前所未有的高效,这是必须点赞的,也为祖国上下同心和强大的执行力感到自豪。

我算专业做安全工作的,应该属于最早防控疫情的一拨人。整个春节就没闲着,各种工作和要求都要落实,事关国家安全责无旁贷,防控疫情更是应尽义务。工作了30多天,支持5类以上单位的联控工作配合。正是因为全国各条战线防控人员都在努力,所以全面联控得到了好的成效,疫情新增减少和治愈患者增多。

2月13日中央政治局常委会强调,实事求是做好疫情防控工作。十六字要求中“科学防治、精准施策”是重要内容;不能一关了之、一停了之;基于此和30多天工作情况提两点思考供大家在后续工作中参考。

一是,疫情中的个人数据安全问题。

防疫过程中,相关单位需要大数据来辅助疫情防控工作,不仅在疫情数据、病毒数据分析上有直接作用,还能发现故意隐瞒和可能扩散病毒的人员,所以第一时间掌握大 数据至关重要。疫情数据和病毒数据基本应用在专业机构,分析工作涉及的信息化系统和人员也相对独立或安全级别较高,扩散的可能性较小,做好关机基础设施保护就能有效防护。但还有一部分机关单位、社区防疫工作人员在个人数据采集、使用和传递中缺少必要的保护意识和工作流程,大量 抽调的防控人员接触和使用个人数据更缺少数据安全作业规则。那么涉及全国防疫联控工作中收集使用到 的(姓名、小区、单位、电话、车牌、家庭成员、***号等)众多个人数据, 在疫情中、后期会流失到哪里,会造成什么影响,这点目前还是未知,但未知不代表没有,只是说无法预测影响有多重、有多大。

人民日报公众号2月18日在“武汉病毒研究所陈全姣实名举报所长?发文真相让人不寒而栗”一文中提到,近些年境外反华势力通过非法盗用公民个人信息的黑色产业链,已经从中获取了大量国内公民的个人信息。反华势力非法得到我国公民个人信息还能做什么不言而喻。

公安部历年净网行动有着一个不变的内容就是继续依法严厉打击侵犯公民个人信息。近日公安部网安局也发出战“疫”期间保护公民个人信息要做到6条的要求,尤其对相关单位、物业公司使用个人数据提出警示。

1、采集个人信息应遵循目的限定原则,合理确定个人信息采集范围,避免采集与疫情防控无关的个人信息;

2、使用个人信息应严格限定使用范围,为疫情排查收集的个人信息,不用于其他用途;

3、对信息系统采集的个人信息,应采取访问控制、加密存储和审计等必要措施,确保采集的个人信息,特别是个人敏感信息不被泄露、篡改、损坏;

4、以纸质填表方式登记个人信息的,应严格管理纸质材料,妥善保管、使用、销毁;

5、在发生或可能发生个人信息泄露、损失、丢失的情况下,应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;

6、不通过信息网络或者其他途径发布个人信息,但经过匿名处理,无法识别被顶个人且不能复原的除外。

那么在疫情防控期间,谁来对个人用户数据的安全负责。这里为大家提供几个参考,或许能说明一些责任和要求。2月4日中央网络安全和信息化委员会办公室发布了“关于做好个人信息保护利用大数据支撑联防联控工作的通知”。这里解读4条,

1、除国务院卫健部门依法授权部门外,其他机构和个人不得以疫情为由收集个人用户信息(法律要求除外);

2、收集使用个人信息必需采用最小化原则,一般不得特定区域所有人;

3、防疫用个人信息不得用作其他用途,因联防工作需脱敏使用;

4、收集个人信息的机构和个人承担被收集信息的安全责任。最后一条,任何组织和个人发现违法收集、使用个人信息的行为可以向网信、公安部门举报。相关部门可依法打击。

另在下面的法律条文中也能让大家对个人数据安全的法律要求有所了解,有兴趣的可以自行查阅原文。

《中华人民共和国民法总则》

第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

《中华人民共和国刑法》

第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

《中华人民共和国网络安全法》

第四十一条至第四十五条也对个人信息的收集、使用明确了法律要求和相关权利义务。

那么如何规避和减少这样问题,这应该是第二个思考。总书记说“两难问题多从群众角度想,要把人民的利益放在第一位”。

二是,政治过硬、服务人民、训练有素、底线思维的必备问题

现阶段个别工作能用一个“急”解千愁,一个“紧急”能防万一,而且理由充分,所以可以放低下限、打破原则、再权衡利弊。我们相信如果遇到战争人民军队不会这样,他们一直准备着,时刻保卫祖国;发生火灾消防员不会这样,他们训练有素,有条不紊面对灾难;疫情爆发在武汉的医务人员不会这样,他们政治过硬心系患者,专业技能扎实有效。既然这么紧急的事情发生都能应对,什么情况下需要用“紧急”为理由打破原则。

2014年我国全面推进依法治国,就是要依法执政,依法工作。那么在防疫期间有些单位采用行政手段使用个人数据,对使用个人数据的最小化和必要性原则以及个人知情权;个人数据传递过程中必要的加密或脱敏保护;使用后的个人数据如何删除或存储;适合的法律法规不甚了解或者简单扩大和推导法律解释,这可以说明在需要的情况下,个别人和单位对依法合规还没有充分认知和履行。

上海交大数据法律研究中心执行主任何渊发文说“面对来势汹汹的新型冠状病毒,我们必须把握好政府信息公开及数据开放的法律边界及“颗粒度”,即不得突破“三安全一稳定(国家安全、公共安全、经济安全及社会稳定)”及“二秘密一隐私(国家秘密、商业秘密及个人隐私)”等底线思维”。

其实,各单位都有情况突发的应急预案,预案应该涵盖的不仅有组织机构还应该要求专业事专业人做,不仅有工作流程还应该明确适用法律法规,不仅有责任分工还应该有标准和原则。越是关键时期工作人员政治必须更过硬,为人们服务意识必须更强化、底线思维必须更加坚守,专业人员作用必须充分发挥。这样才能更好的落实总书记说的“两难问题多从群众角度想,要把人民的利益放在第一位”,这样应该可以兼顾和有效防范更多问题的发生。

当然,出现问题不会是一个角度能分析全面,也不是一个措施能解决所有。那么每一次都有改进和完善就会越来越重要,只要坚持下来,相信全面推进依法治国也会更快。

*本文原创作者:blsnjun,本文属于FreeBuf原创奖励计划,未经许可禁止转载


文章来源: https://www.freebuf.com/articles/security-management/227625.html
如有侵权请联系:admin#unsafe.sh