专题工作 | “健康码”数据安全和个人信息保护措施与建议（可下载查阅）

“健康码”在我国的疫情防控中发挥了重大作用，为新冠肺炎疫情防控的精准施策、动态清零等举措提供了关键支撑，当前每个人的日常生活、工作都离不开它。

“健康码”运转的背后逻辑是海量个人信息的汇集、共享，并利用算法进行自动化决策等等。若“健康码”所处理的大量敏感个人信息一旦被泄露、滥用等均会直接影响到大量民众的切身利益，还可能会增加社会治理成本、损害政府公信力。

而此前，各地“健康码”在不断运行完善的过程中，也曾暴露出一些安全方面的问题、隐患，随着“健康码”的持续运行、功能更迭，其数据安全和个人信息保护方面仍需得到高度重视。

“CCIA数据安全工作委员会”组织委员会单位专家，联合“数据保护官（DPO）沙龙”的专家组成工作小组，以安全风险、现状、案例为视角，以法律法规、规章和规范性文件、标准等为参考，对“健康码”涉及的数据处理的各个环节进行分析，对数据安全和个人信息保护方面可采取的措施与建议进行研究、归纳，形成了《“健康码”数据安全和个人信息保护措施与建议》（简称“《措施与建议》”），以供“健康码”运营者参考。《措施与建议》内容简要如下：

01

主要参考依据

法 律
《民法典》	《网络安全法》
《数据安全法》	《个人信息保护法》
《传染病防治法》
相关规章、文件
《关于进一步做好联防联控和复工复产中数据安全与个人信息保护工作的通知》（中网办发电〔2020〕6号）	《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》（国卫办规划函〔2020〕100号）
《关于做好个人信息保护利用大数据支撑联防联控工作的通知》	《国家网络安全事件应急预案》（中网办发文〔2017〕4号）
标 准
《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》（GB/T 41391-2022）	《信息安全技术 政务信息共享  数据安全技术要求》 （GB/T 39477—2020）
《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）	《信息安全技术 网络数据处理安全要求》（GB/T 41479-2022）
《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）	《个人健康信息码  参考模型》（GB/T 38961-2020）
《信息安全技术 个人信息安全规范》   （GB/T 35273-2020）	《防疫通行码参考架构与技术指南》（T/SZS 4010—2020）
ISO 27001信息安全管理体系标准	ISO 22301业务连续性管理体系标准

02

数据处理过程的措施与建议

03

关键风险点的措施与建议

本《措施与建议》基于撰写人自身对法律法规和相关标准的认识和理解，并非权威官方的解释。因此，《措施与建议》难免存在各种错误和不足，因此诚挚欢迎各位同仁提出宝贵的意见与建议。我们将在适当的情况下更新迭代本《措施与建议》。