摘要:在数字化防疫的进程中,健康码作为关键工具,承载了海量用户的身份信息、行踪轨迹及健康数据。随着疫情防控常态化,多地健康码逐步退出使用场景,但遗留在各平台中的个人信息若未妥善处...
在数字化防疫的进程中,健康码作为关键工具,承载了海量用户的身份信息、行踪轨迹及健康数据。随着疫情防控常态化,多地健康码逐步退出使用场景,但遗留在各平台中的个人信息若未妥善处理,可能面临泄露、滥用等风险。如何确保海量敏感信息在退出后实现安全闭环,既是技术挑战,也是法律与问题。
法律框架下的数据处理
我国《个人信息保护法》第四十七条明确规定,当处理目的已实现或不再必要时,个人信息处理者应主动删除或销毁数据。健康码的原始设计目标是为疫情精准防控服务,随着应用场景的缩减,其数据处理的合法性基础已发生根本变化。例如浙江省2023年发布的《健康码管理与服务暂行办法》第三十八条,明确要求健康码下线后需进行数据销毁并接受社会监督。
从法理层面看,健康码数据包含身份证号、手机号、医疗记录等敏感信息,属于“一旦泄露可能危及人身安全”的高风险数据类别。中国人民大学张新宝教授指出,健康码的退出必须伴随数据全生命周期管理,任何以“可能未来有用”为由的留存行为均属违法。实际操作中,广东、上海等地已建立健康码数据销毁的倒计时机制,通过政务云平台完成数据迁移与物理销毁。
技术层面的脱敏与销毁
数据脱敏是处理敏感信息的关键技术手段。根据《信息安全技术 个人信息安全规范》,健康码数据的脱敏需采用不可逆方式,如对身份证号进行部分遮蔽(如“5101980”)、对GPS坐标进行泛化处理(精确到千米级)。某省级政务平台的技术方案显示,其采用K-匿名化算法,确保任意一条记录至少与K-1条其他记录不可区分,从而阻断个体识别路径。
销毁环节则需符合《信息安全技术 数据销毁安全要求》。通信运营商在行程卡下线后,通过覆写存储介质三次以上的方式彻底消除数据残留;健康码数据因多存储于政务云平台,需由专业机构执行磁盘消磁、物理破碎等操作。值得关注的是,部分第三方平台存在数据缓存问题,如某出行App在2024年被曝仍保留场所码历史记录,暴露出跨平台数据协同销毁的漏洞。
用户端的自主管理
个人用户可通过多渠道解除信息授权。支付宝用户需进入“隐私-个人信息授权管理”界面,逐项解除健康码相关权限;微信用户则需在“设置-个人信息与权限-授权管理”中完成操作。实际操作中发现,约23%的用户存在多平台重复绑定,例如同时授权过“粤康码”“随申码”等区域性平台,需逐一排查清理。
对于已解绑数据的留存问题,部分地区提供数据清除工具。海南省“码上办事”平台允许用户发起数据清除请求,系统在72小时内反馈处理进度;浙江省的“浙里办”App则开发一键式数据擦除功能,同步删除本地缓存与云端备份。但第三方支付平台的数据关联仍需警惕,某案例显示用户解绑健康码后,其疫苗接种记录仍可通过电商平台的健康模块间接查询。
监管机制的协同构建
中央网信办在2025年启动的个人信息保护专项行动中,将健康码数据清理列为重点任务。通过建立跨部门数据溯源系统,追踪健康码数据的流转路径,仅2025年第一季度就发现并整改17起违规留存事件。第三方审计机构的介入强化了监督力度,如某会计师事务所采用区块链技术对某省政务云平台的数据销毁过程进行存证,确保操作不可篡改。
公众监督机制同样发挥重要作用。《新冠肺炎疫情防控健康码管理与服务暂行办法》第二十九条赋予公民举报权,任何组织违规使用健康码数据均可向网信、公安部门举报。2024年河南省某医院因擅自将健康码数据用于商业保险推广,被处以200万元罚款,成为首例健康码数据滥用的行政处罚案件。这种“技术+制度”的双重监管模式,为数据安全提供了立体化保障。
风险防范的持续跟进
解绑后的信息泄露风险仍不容忽视。诈骗分子利用残留数据实施精准攻击,2024年出现的“密接红码续费”骗局中,不法分子通过伪造疾控通知,诱导用户点击钓鱼链接更新健康码,进而窃取银行账户。安全专家建议公众定期检查短信、邮件中的可疑链接,并通过官方渠道核验信息真伪。
技术防护手段的升级也在持续推进。部分省份推出“隐私哨兵”系统,实时监控个人信息的异常调用,一旦发现健康码历史数据被非法调取,立即触发预警并自动阻断访问。零知识证明、同态加密等新型隐私计算技术的应用,为健康码数据的合规利用提供了新思路,确保数据“可用不可见”。
