疫情期间,为了便于对个人的健康状况进行查询和验证,各地陆续上线了健康码服务。健康码是一个数字化的健康评估证明,在此次疫情防控和复工复产中得到广泛应用。用户申请健康码时,通常需要在相关App或小程序上注册并提供自身的实名信息,验证用户身份(部分应用可能会用到人脸识别技术)之后,填写自己的体温和接触史等健康信息,有的健康码还会结合权威数据平台查询用户的行踪记录、健康状况等,最终生成一个带有颜色标记的二维码作为用户的健康证明。健康码通过颜色来区分不同的风险级别,比如“绿码”可以正常通行、“黄码”和“红码”需要继续等待以满足相应的隔离要求。同时,部分健康码还支持通过授权客户端扫码,可以提取具体的健康数据等个人信息。

除健康码以外,还出现了一些与健康码类似的“出行码”“畅行码”“安心码”等等,以二维码方式展示个人健康状态等个人信息,确实方便了民众,避免了交叉接触,减少了重复登记,提升了管理效率。但是如此大规模应用,是否存在个人信息泄露风险,是否能兼顾安全性,值得探讨和关注。本文就该问题进行浅显的分析,提出一些安全建议供参考。

1 健康码生成技术原理

健康码本质上是一个二维码,日常生活中最常见二维码是QR码(Quick Response Code)。QR码的编码遵循国际标准ISO/IEC 18004,国内则遵循国家标准GB/T 18284。通常,二维码的编码过程如下图所示,对于给定的数据,首先需要通过标准定义的转换方法将其转换成二进制0和1表示,再将0和1的编码按规则对应到二维码图案中,0对应白色方块,1对应黑色方块。除了数据信息外,一个二维码中还包含定位图形、位置探测图形(寻象图形)、纠错码、格式信息等。正因为大家遵循统一的标准,一个组织生成的二维码才能被其他组织识别。

按照二维码的生成方式、展示内容状态,可以简单把二维码分为静态码和动态码两种。

静态码中可直接编码想要展示的信息,通过手机等设备扫码后直接展示二维码中编码的内容(如上图所示)。静态码中通常只能编码字母、数字、字符或汉字等文本信息,无法编码图片等多媒体信息。对于静态码来说,如果要变更其中保存的内容,就要改变生成的二维码图形。静态码适用于需要离线扫码或者二维码内容固定不变的场景。如果要保护静态码中编码的信息,防止其被任意扫描设备读取,可以先对要编码的明文信息进行加密,再将加密后的信息编码进二维码中,这样只有提前知晓对应解密方式的扫描设备,才能扫码并解密出对应信息,其他设备扫码后只能看到密文数据。

动态码的特点是二维码所展示内容是动态变化的,其编码的内容通常是一个链接(或者是服务访问接口)。编码内容是网页链接的,通过手机等设备扫码后,会解析出其中编码的网址进而跳转到相应的页面,用户看到的是网页中的内容(如下图所示),此种方式可以通过调整网页内容达到动态展示的目的。编码内容是服务访问接口,并与相关数据库相连的,除了能调整扫码的展示内容外,还可以通过设定规则生成可以自动更新的“动码”,进一步降低二维码信息泄露风险。

与静态码相比,动态码的优势在于:

1、编码的是链接,链接本身字符数不多,进而使二维码图形简单易识别;短链接到真实链接的跳转可以改变,灵活性更高;

2、使用网页链接方式的,更改网页中的内容时,不需要更改二维码图形;

3、可以通过链接跳转或网页访问等方式追踪二维码被扫描的数据,如时间、次数、地点等;

4、除了可以对链接进行加密保护外,在链接的页面、接口也可以通过身份认证等方式保护所要展示的信息;

5、使用服务访问接口的,可以通过动态生成二维码方式,防止二维码信息泄漏后被恶意使用。

2 健康码生成、使用方式与安全风险分析

如前文所述,健康码实质上是一个二维码。经调研,健康码生成方式主要有以下几种:

1、明文直接生成静态码方式

该方式指将个人身份信息和健康信息直接以明文形式编码在静态健康码中(如下图所示)。通常,使用一些开源、免费的二维码工具时会出现该情形。使用此种方式时,保存有个人敏感信息的二维码可以被任意扫码终端读取,一旦二维码遗失、被拍、被传播等就会造成个人敏感信息的泄露。

2、明文加密后生成静态码方式

该方式指将个人身份信息和健康信息加密后以密文的形式编码在静态健康码中(如下图所示)。使用此种处理方式时,虽然只有知晓解密方法的扫码终端可以读取该健康码中的信息,一定程度上保护了个人敏感信息的安全,但是由于静态码中无法保存图片信息,其中的个人身份信息是否为本人信息较难核验,存在健康码被他人盗用、冒用的风险。加密后生成的文本过长也可能影响扫码的速度。此外,加密算法不当、密钥强度不够时,也存在被解密后导致个人敏感信息泄露的风险。建议仅在条件受限等特殊情况下(如离线情形)使用该方式。

3、生成动态码方式

生成动态码方式是目前普遍使用的健康码生成方式。使用网页链接方式时,个人身份信息和健康信息展示在网页上,网页上的数据来源于数据库,网页链接被编码在二维码中。网页链接可以进行加密以限制只有特定扫码设备可以访问该网页,网页被访问时也可以验证访问者身份和授权情况来保护用户的个人敏感信息不被未授权的访问。网页内容可以随着用户健康状态的变化进行更新,不再使用时也可以直接删除。同时,根据网页被访问的情况,也便于记录用户被扫码的时间、地点、次数,以满足后续追溯的需要,省去了用户填写、登记的麻烦。使用服务访问接口方式的,还可以通过生成动态的二维码进一步降低风险,但是,还需要从易用性、兼容性等方面考虑具体的应用策略,防止对数据互通互认等方面造成障碍。

从健康码的安全管理方面来看,虽然健康码降低了在数据采集、使用、展示等环节的安全风险,但是数据传输、流通、内部管理等方面还需注重安全保护。大量民众个人敏感信息不可避免在系统后台进行聚集,大批量的上报、登记、查询等过程,海量数据的调取以及授权扫描客户端大量存在,这些都可能成为管理上疏忽的环节。当前,健康码正在被广泛应用,也出现了一些社区、学校、企业等自建、使用免费工具或委托开发健康码相关系统的情况,这势必导致标准不一,管理水平不一等现状,不利于个人信息保护和数据互认互通。

从健康码的实际使用过程来看,健康码的背后不仅仅是个人交通出行记录、通信记录、就诊记录、个人登记信息等各类数据,而且还包括了大数据分析给出的个人的健康状态的判断,也就是健康码的颜色,其直接关系到了用户切身利益。近期,有媒体报道,部分用户反映,在自身健康状况达标,满足隔离条件,甚至持有医院开具的健康证明或核酸检测证明的情况下,仍被标记为“红码”,由于相关方缺乏对大数据或人工智能分析机制的充分解释,用户无从得知被判定为“红码”的具体原因,也无法反馈和纠正,而使用方又只认码的“颜色”,无视其他证明,这就给用户日常生活带来了影响。不难看出,健康码的生成过程属于能对个人信息主体权益造成显著影响的自动化决策机制。在新发布的2020版《个人信息安全规范》中,对于自动化决策机制方面就提出:在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。大数据分析,在无法保证数据源百分百准确、全面时,在方便绝大多数人的同时,也要提供备选方案以应对特殊情况,这样才能让大数据更好地“服务”每个人,而非“支配”每个人。

3 对于健康码的个人信息保护建议

目前,健康码的相关标准尚未统一,正在不断摸索和完善过程中,开发、使用、管理各种“健康码”“畅行码”时,对于个人信息保护,有以下初步建议供参考

1、个人信息不应以明文形式直接编码在健康码中,个人敏感信息不宜仅采取简单转码等形式直接编码在健康码中。

2、生成健康码需遵循告知同意的基本规则,明确告知用户生成健康码时需要直接采集以及间接获取用户的哪些个人信息,健康码被扫码时会提取用户的哪些信息,并征得用户的明示同意。

3、健康码生成原理需清晰可解释,仅采集、获取生成健康码所需的必要信息。

4、在相关应用程序界面对健康码的功能机制、建议使用范围进行充分阐述,避免出现误用、混用等情况。

5、应采取技术措施(如加密、校验、访问控制等)防止健康码信息被未授权的扫码客户端访问,扫码后显示的内容可对个人敏感信息去标识化后再显示。

6、未经本人同意,任何组织和个人不应公开披露其健康码信息。

7、应采取技术措施保证扫码客户端只能对健康码数据可查可用,但不能保存、导出,经有权部门认可的情形除外。

8、设定健康码的有效期,在有效期结束或主动停止使用健康码后,及时删除或依法妥善处置其关联的个人信息。

9、针对不具备客观条件等原因(如无手机、无近期数据等)无法提供健康码的人员,以及用户对健康码显示结果存在质疑的情形,尽可能制定切实可行的应对方案。

10、尽可能避免自建健康码相关系统,而是选用由疫情防控有关部门发布的通用健康码系统,以保证安全性和兼容性。

11、作为健康码的技术服务和支撑的企业、机构,应严格遵循授权机构的相关要求,不应私自留存健康码及其关联个人信息,或更改其使用目的。

建议用户在使用健康码服务时,应当仔细阅读注册健康码时的服务协议和隐私政策,不要把自己的健康码在公开渠道随意分享。发现存在个人信息安全问题的,可向本平台举报。

4 结语

健康码的使用和推广,是此次疫情防控中,大数据、人工智能等技术迸发的一次创新,在防止重复登记、减少人员接触、简化证明程序等方面效果显著,把握了个人信息保护和使用平衡点。然而,健康码背后毕竟是关联了个人的敏感信息,还应当不断加强安全措施,完善管理机制,让“健康码”变得有“强度”,有“速度”,也有“温度”,同时为健全国家公共健康卫生应急管理体系积累宝贵的经验与财富。

(作者:中国电子技术标准化研究院信息安全研究中心 刘行)

声明:本文来自App个人信息举报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。