删除的行程数据哪来的?专家回应
The following article is from 隐私护卫队 Author 樊文扬 蒋琳
今日(13日)零点,由中国信息通信研究院开发、运营近三年的“通信行程卡”(下称“行程卡”)正式下线,包括短信、网页、微信小程序、支付宝小程序、App等。
12月12日晚,中国电信、中国联通、中国移动三大运营商先后表示,行程卡服务下线后,将同步删除用户行程相关数据,依法保障个人信息安全。
此前报道↓↓
行程卡的“前世今生”
南都记者查阅行程卡App的隐私政策发现,其中仅提及会收集手机号,还承诺不会收集行程信息。那么,三大运营商将删除的“用户行程相关数据”又是如何获得的?手机号信息又将被如何处理?
行程卡App承诺不收集行程信息
据介绍,行程卡是一种公益性的行程查询服务,可以免费为用户提供本人过往14天(后调整为7天)内到访过的国家(地区)和停留满4小时的国内城市证明,用于对来自疫情严重的国家和地区的人群进行筛查,及时发现瞒报、漏报、不实申报行程信息等问题,诞生后迅速成为各地防疫的重要工具。根据工信部今年5月公布的数据,行程卡用户查询次数累计已达到556亿次以上。
根据“通信行程卡”官方公众号公布的技术原理,行程卡分析的是手机信令和话单数据,由运营商通过用户所用手机号所处的基站位置获取,“位置信息来源于基站,不会收集定位信息”。
南都记者梳理发现,在行程卡上线不久后的2020年3月,时任工业和信息化部信息通信管理局局长的韩夏就曾在国务院联防联控新闻发布会上解释过行程卡的个人信息安全问题。她表示,行程卡的一大优点是安全可靠,其不收集用户身份证号码、家庭住址等信息,而且详细的查询结果只显示在用户本人手机上。
为进一步了解行程卡收集了哪些个人信息,南都记者查阅了中国信通院开发的“通信行程卡”App中的隐私政策。其中明确提到——行程卡软件或服务将收集手机号,用于发送密接情况的短信通知和提供行程查询服务。
此外,还会收集随机生成的加密ID以及蓝牙接触信息(包括接触时间和信号强度),并承诺“我们不会收集您的身份证件、行程信息、设备信息及其它任何信息。”
在信息保存方面,隐私政策声称,将在系统中保存用户手机号码便于查询本人的行程信息。另外,除非用户被诊断为确诊/疑似患者,否则蓝牙接触信息(包括接触时间及信号强度)将加密保存在用户手机终端,且会被定期清除。
运营商删除的行程相关数据从哪来?
个人信息保护法规定,存在处理目的已实现、无法实现或者为实现处理目的不再必要,以及个人信息处理者停止提供产品或者服务,或者保存期限已届满等情形之一的,个人信息处理者应当主动删除个人信息。
按照“通信行程卡”App隐私政策,App收集了用户手机号。当收集不再必要,这些个人信息应该被删除。不过,截至13日上午8时许,中国信通院暂未做出回应。
另一方面,既然“通信行程卡”App隐私政策以及官方公众号发文都承诺不收集行程信息,那么运营商要删除的“行程相关数据”又是从何而来?
对于行程卡数据采集的办法,12月12日晚,一位不愿具名的网络安全专家告诉南都记者,这类数据采集方式有两种,“一种是切片方式,运营商定时统计后将数据推送给信通院,供用户查询使用。另一种方式是运营商开放查询接口,这种方式数据是存储在运营商。当个人用户发起查询的时候,会先经过信通院的服务器,再由信通院通过所属运营商的接口查询并返回,最终信息返回C端,也就是用户端。这个就是实时的接口,数据更新速度会比第一种切片的方式要快。”
北京汉华飞天信安科技有限公司总经理彭根解释,行程卡中的“行程相关数据”并非通过向用户收集得来,而是基于运营商自有信息“算”出来的。“比如我提供一个手机号给移动,(移动)就可以通过我手机周围的三个基站大概计算出我所在的范围,可能精确到三五百米到一公里以内。”
他表示,这些数据本就存在于运营商的数据库内,是为了提供行程卡服务,才把这部分数据整理出来,从而生成为满足疫情防控所需的行程数据。也就是说,运营商扮演的角色更类似于数据提供方。
运营商将如何删除行程卡相关数据?
根据个人信息保护法,个人的行踪轨迹属于敏感个人信息。
中国政法大学传播法研究中心副主任朱巍指出,敏感个人信息的处理,除了需要获得个人同意之外,还需要具备特定目的和充分必要性。“我国防疫政策已经发生重大调整,再采集处理敏感信息已缺乏必要性基础,必须及时下线并做好信息脱敏和删除措施。”
IT领域律师、北京云嘉律师事务所副主任律师赵占领向南都记者表示,行程卡里涉及的手机号码、特定身份、行踪轨迹、医疗健康都属于个人信息,属于个人保护法规定的敏感信息范畴,这类信息在收集和使用的环节都有严格的规则。赵占领认为,个人信息保护法的条款围绕行程卡退出机制,缺少行政部门或第三方独立机构的监督。用户个人基本上难以发现是否从根本上删除,只有删除后由监管部门核查,才能有效地保证信息的处理者真正做到了删除义务。
广州电信一位负责人告诉南都记者,据其了解,本次删除是将为了行程码单独记录的一部分信息,比如轨迹信息,进行销毁。
对于运营商宣布即时销毁的说法,有网友提出质疑,根据网络安全法第二十一条第三款,“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,按照这个规定,新近的行程卡后台数据应该在180天后销毁。
上述电信公司负责人解释称,用户原始数据会按照法规保留,删除的是运营商匹配的漫游城市的信息,这部分信息是根据手机连接的基站位置信息倒推的用户漫游区域信息。
南方都市报(nddaily)、N视频报道
南都记者 樊文扬 蒋琳 黄驰波