疫情期間,為了便於對個人的健康狀況進行查詢和驗證,各地陸續上線了健康碼服務。健康碼是一個數位化的健康評估證明,在此次疫情防控和復工復產中得到廣泛應用。用戶申請健康碼時,通常需要在相關App或小程序上註冊並提供自身的實名信息,驗證用戶身份(部分應用可能會用到人臉識別技術)之後,填寫自己的體溫和接觸史等健康信息,有的健康碼還會結合權威數據平臺查詢用戶的行蹤記錄、健康狀況等,最終生成一個帶有顏色標記的二維碼作為用戶的健康證明。健康碼通過顏色來區分不同的風險級別,比如「綠碼」可以正常通行、「黃碼」和「紅碼」需要繼續等待以滿足相應的隔離要求。同時,部分健康碼還支持通過授權客戶端掃碼,可以提取具體的健康數據等個人信息。
除健康碼以外,還出現了一些與健康碼類似的「出行碼」「暢行碼」「安心碼」等等,以二維碼方式展示個人健康狀態等個人信息,確實方便了民眾,避免了交叉接觸,減少了重複登記,提升了管理效率。但是如此大規模應用,是否存在個人信息洩露風險,是否能兼顧安全性,值得探討和關注。本文就該問題進行淺顯的分析,提出一些安全建議供參考。
01健康碼生成技術原理
健康碼本質上是一個二維碼,日常生活中最常見二維碼是QR碼(Quick Response Code)。QR碼的編碼遵循國際標準ISO/IEC 18004,國內則遵循國家標準GB/T 18284。通常,二維碼的編碼過程如下圖所示,對於給定的數據,首先需要通過標準定義的轉換方法將其轉換成二進位0和1表示,再將0和1的編碼按規則對應到二維碼圖案中,0對應白色方塊,1對應黑色方塊。除了數據信息外,一個二維碼中還包含定位圖形、位置探測圖形(尋象圖形)、糾錯碼、格式信息等。正因為大家遵循統一的標準,一個組織生成的二維碼才能被其他組織識別。
按照二維碼的生成方式、展示內容狀態,可以簡單把二維碼分為靜態碼和動態碼兩種。
靜態碼中可直接編碼想要展示的信息,通過手機等設備掃碼後直接展示二維碼中編碼的內容(如上圖所示)。靜態碼中通常只能編碼字母、數字、字符或漢字等文本信息,無法編碼圖片等多媒體信息。對於靜態碼來說,如果要變更其中保存的內容,就要改變生成的二維碼圖形。靜態碼適用於需要離線掃碼或者二維碼內容固定不變的場景。如果要保護靜態碼中編碼的信息,防止其被任意掃描設備讀取,可以先對要編碼的明文信息進行加密,再將加密後的信息編碼進二維碼中,這樣只有提前知曉對應解密方式的掃描設備,才能掃碼並解密出對應信息,其他設備掃碼後只能看到密文數據。
動態碼的特點是二維碼所展示內容是動態變化的,其編碼的內容通常是一個連結(或者是服務訪問接口)。編碼內容是網頁連結的,通過手機等設備掃碼後,會解析出其中編碼的網址進而跳轉到相應的頁面,用戶看到的是網頁中的內容(如下圖所示),此種方式可以通過調整網頁內容達到動態展示的目的。編碼內容是服務訪問接口,並與相關資料庫相連的,除了能調整掃碼的展示內容外,還可以通過設定規則生成可以自動更新的「動碼」,進一步降低二維碼信息洩露風險。
與靜態碼相比,動態碼的優勢在於:
1、編碼的是連結,連結本身字符數不多,進而使二維碼圖形簡單易識別;短連結到真實連結的跳轉可以改變,靈活性更高;
2、使用網頁連結方式的,更改網頁中的內容時,不需要更改二維碼圖形;
3、可以通過連結跳轉或網頁訪問等方式追蹤二維碼被掃描的數據,如時間、次數、地點等;
4、除了可以對連結進行加密保護外,在連結的頁面、接口也可以通過身份認證等方式保護所要展示的信息;
5、使用服務訪問接口的,可以通過動態生成二維碼方式,防止二維碼信息洩漏後被惡意使用。
02健康碼生成、使用方式與安全風險分析
如前文所述,健康碼實質上是一個二維碼。經調研,健康碼生成方式主要有以下幾種:
1、明文直接生成靜態碼方式
該方式指將個人身份信息和健康信息直接以明文形式編碼在靜態健康碼中(如下圖所示)。通常,使用一些開源、免費的二維碼工具時會出現該情形。使用此種方式時,保存有個人敏感信息的二維碼可以被任意掃碼終端讀取,一旦二維碼遺失、被拍、被傳播等就會造成個人敏感信息的洩露。
2、明文加密後生成靜態碼方式
該方式指將個人身份信息和健康信息加密後以密文的形式編碼在靜態健康碼中(如下圖所示)。使用此種處理方式時,雖然只有知曉解密方法的掃碼終端可以讀取該健康碼中的信息,一定程度上保護了個人敏感信息的安全,但是由於靜態碼中無法保存圖片信息,其中的個人身份信息是否為本人信息較難核驗,存在健康碼被他人盜用、冒用的風險。加密後生成的文本過長也可能影響掃碼的速度。此外,加密算法不當、密鑰強度不夠時,也存在被解密後導致個人敏感信息洩露的風險。建議僅在條件受限等特殊情況下(如離線情形)使用該方式。
3、生成動態碼方式
生成動態碼方式是目前普遍使用的健康碼生成方式。使用網頁連結方式時,個人身份信息和健康信息展示在網頁上,網頁上的數據來源於資料庫,網頁連結被編碼在二維碼中。網頁連結可以進行加密以限制只有特定掃碼設備可以訪問該網頁,網頁被訪問時也可以驗證訪問者身份和授權情況來保護用戶的個人敏感信息不被未授權的訪問。網頁內容可以隨著用戶健康狀態的變化進行更新,不再使用時也可以直接刪除。同時,根據網頁被訪問的情況,也便於記錄用戶被掃碼的時間、地點、次數,以滿足後續追溯的需要,省去了用戶填寫、登記的麻煩。使用服務訪問接口方式的,還可以通過生成動態的二維碼進一步降低風險,但是,還需要從易用性、兼容性等方面考慮具體的應用策略,防止對數據互通互認等方面造成障礙。
從健康碼的安全管理方面來看,雖然健康碼降低了在數據採集、使用、展示等環節的安全風險,但是數據傳輸、流通、內部管理等方面還需注重安全保護。大量民眾個人敏感信息不可避免在系統後臺進行聚集,大批量的上報、登記、查詢等過程,海量數據的調取以及授權掃描客戶端大量存在,這些都可能成為管理上疏忽的環節。當前,健康碼正在被廣泛應用,也出現了一些社區、學校、企業等自建、使用免費工具或委託開發健康碼相關系統的情況,這勢必導致標準不一,管理水平不一等現狀,不利於個人信息保護和數據互認互通。
從健康碼的實際使用過程來看,健康碼的背後不僅僅是個人交通出行記錄、通信記錄、就診記錄、個人登記信息等各類數據,而且還包括了大數據分析給出的個人的健康狀態的判斷,也就是健康碼的顏色,其直接關係到了用戶切身利益。近期,有媒體報導,部分用戶反映,在自身健康狀況達標,滿足隔離條件,甚至持有醫院開具的健康證明或核酸檢測證明的情況下,仍被標記為「紅碼」,由於相關方缺乏對大數據或人工智慧分析機制的充分解釋,用戶無從得知被判定為「紅碼」的具體原因,也無法反饋和糾正,而使用方又只認碼的「顏色」,無視其他證明,這就給用戶日常生活帶來了影響。不難看出,健康碼的生成過程屬於能對個人信息主體權益造成顯著影響的自動化決策機制。在新發布的2020版《個人信息安全規範》中,對於自動化決策機制方面就提出:在規劃設計階段或首次使用前開展個人信息安全影響評估,並依評估結果採取有效的保護個人信息主體的措施;向個人信息主體提供針對自動決策結果的投訴渠道,並支持對自動決策結果的人工覆核。大數據分析,在無法保證數據源百分百準確、全面時,在方便絕大多數人的同時,也要提供備選方案以應對特殊情況,這樣才能讓大數據更好地「服務」每個人,而非「支配」每個人。
03對於健康碼的個人信息保護建議
目前,健康碼的相關標準尚未統一,正在不斷摸索和完善過程中,開發、使用、管理各種「健康碼」「暢行碼」時,對於個人信息保護,有以下初步建議供參考:
1、個人信息不應以明文形式直接編碼在健康碼中,個人敏感信息不宜僅採取簡單轉碼等形式直接編碼在健康碼中。
2、生成健康碼需遵循告知同意的基本規則,明確告知用戶生成健康碼時需要直接採集以及間接獲取用戶的哪些個人信息,健康碼被掃碼時會提取用戶的哪些信息,並徵得用戶的明示同意。
3、健康碼生成原理需清晰可解釋,僅採集、獲取生成健康碼所需的必要信息。
4、在相關應用程式界面對健康碼的功能機制、建議使用範圍進行充分闡述,避免出現誤用、混用等情況。
5、應採取技術措施(如加密、校驗、訪問控制等)防止健康碼信息被未授權的掃碼客戶端訪問,掃碼後顯示的內容可對個人敏感信息去標識化後再顯示。
6、未經本人同意,任何組織和個人不應公開披露其健康碼信息。
7、應採取技術措施保證掃碼客戶端只能對健康碼數據可查可用,但不能保存、導出,經有權部門認可的情形除外。
8、設定健康碼的有效期,在有效期結束或主動停止使用健康碼後,及時刪除或依法妥善處置其關聯的個人信息。
9、針對不具備客觀條件等原因(如無手機、無近期數據等)無法提供健康碼的人員,以及用戶對健康碼顯示結果存在質疑的情形,儘可能制定切實可行的應對方案。
10、儘可能避免自建健康碼相關系統,而是選用由疫情防控有關部門發布的通用健康碼系統,以保證安全性和兼容性。
11、作為健康碼的技術服務和支撐的企業、機構,應嚴格遵循授權機構的相關要求,不應私自留存健康碼及其關聯個人信息,或更改其使用目的。
建議用戶在使用健康碼服務時,應當仔細閱讀註冊健康碼時的服務協議和隱私政策,不要把自己的健康碼在公開渠道隨意分享。發現存在個人信息安全問題的,可向本平臺舉報。
04結語
健康碼的使用和推廣,是此次疫情防控中,大數據、人工智慧等技術迸發的一次創新,在防止重複登記、減少人員接觸、簡化證明程序等方面效果顯著,把握了個人信息保護和使用平衡點。然而,健康碼背後畢竟是關聯了個人的敏感信息,還應當不斷加強安全措施,完善管理機制,讓「健康碼」變得有「強度」,有「速度」,也有「溫度」,同時為健全國家公共健康衛生應急管理體系積累寶貴的經驗與財富。
(作者為劉行,就職於中國電子技術標準化研究院信息安全研究中心)