应用

技术

物联网世界 >> 物联网新闻 >> 物联网热点新闻
企业注册个人注册登录

健康宝成为隐私泄露重灾区:明星照片大量泄露,2元可打包70张照片

2020-12-30 09:17 芦依-钛媒体

导读:律师认为,向他人出售或者提供公民个人信息,情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

在疫情之下,健康宝已经成为用户能否进入公共场所、甚至搭乘公共交通的重要凭证。而令人惊讶的是,在一连串的“贩卖”人脸信息事件之后,健康宝也成为隐私泄露的重灾区。

近日,“明星健康宝照片泄露”一事引发关注。在一些微信群里,出现了打包好的多位明星的健康宝照片,在照片中还包括了姓名和身份证号、核酸检测结果、检测机构和时间。

被泄露的明星健康宝照片

而针对这些健康宝照片,相关的信息贩卖产业链也在形成。据网传截图显示,在群里花1元即可购买明星健康宝的查询方式、2元可获得70多位艺人健康宝照片、1元可获得1000多位艺人身份证号等等……

群里在卖明星信息(来源红星新闻)

钛媒体曾详述过当前网络黑产的种种套路。当诈骗团伙利用技术不断升级新的黑产作案工具、多种黑产相互勾连团伙作战,用户被泄露的个人信息,很可能通向的是网络赌博、连环诈骗等种种深渊。

“他人代查”是如何被钻空子的?

据悉,健康宝指的是“北京健康宝”,是北京市大数据中心依托北京市防疫相关数据和国家政务服务平台,针对新冠肺炎疫情防控需要推出的小程序。

健康宝采集的信息十分详尽,包括姓名、性别、手机号、身份证号、活动轨迹、健康信息、接触史等信息。除此以外,为防控疫情,健康宝还接入了民航、铁路、公路以及公交车等交通数据,电信运营商数据、银行金融机构支付数据等。

代拍健康宝查询信息,针对的正是北京健康宝里的健康服务预约查询功能。该功能重点围绕核酸检测进行,可帮他人进行核算检测结果代查。

他人核酸检测结果待查

据悉,他人代查功能的出现,本是健康宝为了照顾没有智能手机、不会使用智能手机的人群。

北京市政府官网曾介绍,代查他人健康状态功能需要在填写他人身份信息过后,通过代查人的人脸识别认证,每人最多可为4人代查,代查后可删除代查记录。被查人之后在自己或其他账号生成健康状态后,前述查询结果自动失效。

据钛媒体测试,在点击他人代查后,的确需要提供姓名、身份证号和进行人脸识别。

不过,据媒体报道,并不是所有情况下代查都需要进行人脸识别认证。这也就意味着,通过非法手段获取明星的身份证号后,无需再次人脸识别,就能获得他人在健康宝上的人脸识别照片。

早在今年8月,面对“健康宝扫码登记会泄露个人信息”的争议,“北京发布”就在微博做出过回应。

回应指出,“健康宝”始终坚持“个人信息最小化采集”的设计理念,仅需进行必要的实名认证,即可登录使用健康宝相关服务,且登录状态长期有效。在登录状态下,每次打开健康宝可直接使用健康状态查询等服务,不需要再次人脸识别。若主动退出登录,为保障信息安全,需重新进行实名认证。

回应还指出,在新增的扫码功能界面中,个人信心均以脱敏形式呈现,能够有效避免隐私泄露风险。且所有信息仅保存于北京市政务云,仅用于防疫追溯及相关工作。

这种本来贴心的设定,或许也让不法分子钻了空子。

“北京发布”回应隐私泄露一事

风波背后的隐忧

针对贩卖“健康宝照片”的风波,软件开发平台方、监管部门已经开始调查。

据21世纪经济报道,12月28日,负责研发北京“健康宝”的中关村科学城城市大脑股份有限公司的工作人员表示,已有很多电话咨询这一问题,相关项目负责同事正在跟进此事。

据南方都市报报道,北京市经济和信息化局的一名工作人员表示,对于明星核酸检测照片泄露事件,以及为什么人脸识别功能未触发的问题,已向上反映,目前正在核实了解相关情况,后续将会公开相关调查结果。

而针对这场风波存在的隐忧,多名业内人士纷纷发声。

上海汉联律师事务所合伙人律师宋一欣表示,这是侵犯个人信息及隐私权、肖像权的行为,不但卖者有责,买者也有责,平台更有责。对此,监管部门应予以查处,受害者亦可以通过诉讼维权。

金融科技行业专家张鲲则指出,“可以肯定的是,健康宝存在漏洞,所有使用过健康宝的个人相关信息都可获取,只是流传出来的是明星的信息,因为传播价值更高。”

张鲲建议道,从立法层面,希望《个人信息保护法》尽快落地,相关司法解释能够从重处理,以起到警示作用。从个人层面,希望停止无心转发。“下游黑客盗信息,中游黑客卖工具,上游黑客钓大鱼。你的无心转发,会被别有用心的人利用。”

全国企业合规委员专家丁继华则强调了企业加强个人数据保护的重要性,他建议道,

对这些大批量收集、控制或处理的组织来说,很有必要把个人数据保护的合规培训、任命数据保护合规官、建立相应的制度和流程作为开展业务的前提。

这次泄漏明星隐私的行为,不知道相关企业或组织有没有相应的合规管理制度,有没有对相关员工开展合规培训。如果没有,那么无论是企业或者组织,都应该承担主要责任。

他还建议相关企业或者组织,应该加快评估合规风险,制定补救措施,开展积极补救。

据红星新闻报道,河南豫龙律师事务所律师付建认为,公民的身份证号码是其个人信息的一部分,除非其自己主动公布,不然通过其他渠道获取相关身份信息,以谋利为目的出售明星个人信息,相关人员可能涉嫌侵犯公民个人信息罪,要承担刑事责任。

付建表示,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。