高校再现身份证号等个人信息泄露事件。8月15日发布的一份校方公告显示,河南财政金融学院网站公示的新闻、通知、附件等内容中存在未脱敏处理的身份证号、教工号/学号、手机号等个人敏感信息。
上述校方公告称,此类信息公开行为被上级公安部门及教育主管部门通报,违反了有关法律法规要求,存在重大信息泄露风险。河南财政金融学院就此要求,各类上网信息发布前,需对个人敏感信息进行脱敏处理,不得直接展示身份证完整号码等。例如,身份证号保留前6位(地址码)和后4位,中间部分用“*”替代。
南都·隐私护卫队注意到,保留身份证号后4位的脱敏处理方案,被不少企事业单位平台采用,但有声音质疑,身份证号后4位更具保密价值,不应该被暴露。
另据南都·隐私护卫队采访多位业内人士获悉,尽管已有推荐性的国家标准对个人信息去标识化予以规范,并列举了多种身份证号脱敏处理方式,但由于缺乏统一标准和实操细则,导致实践中的做法也五花八门。
对此,一些声音担忧,当脱敏操作不一致时,实际上可以将同一个体在不同平台上被公示的身份证号片段,加以拼接合并,复原出完整的身份证号。在网络“开盒”甚嚣尘上的背景下,是否应建立一套统一的身份证号脱敏处理规则,成为急需讨论的问题。
南都·隐私护卫队采访发现,对于如何给身份证号打码,各方观点不一。有的认为,应保留前六位;有的则表示,只保留前两位是相对安全的方案;也有的主张遵循最小化原则,在公开场景下,应该进行彻底匿名化处理;还有的专家追问,除了披露个人身份证号外,还有其他证明唯一性的方式吗?
8月15日,河南财政金融学院党委宣传部、信息化办公室发出紧急通知,要求加强网站信息发布管理及防止个人信息泄露。
通告称,近期,学校接到上级公安部门及教育主管部门通报,发现该校网站公示的各类上网信息存在未经脱敏处理的个人敏感信息,该校就此作出规范要求。同时明确,如因工作履职确需公开手机号码、电子邮箱地址的,须经所在单位负责人审批同意后,方可免于脱敏处理。
近年来,高校公示和单位招聘过程中的信息泄露并不鲜见。此前2020年9月,巴彦淖尔市人民政府门户网站公布一则人才引进公示公告时,直接公开了拟聘用人员的完整身份证号。
另据“网信南昌”公众号一份2024年9月的通报,南昌市某学校对网站公示附件中的学生名字、身份证号等4000多条个人信息,未采取技术措施和其他必要措施开展脱敏或去标识化处理,导致信息泄露风险。南昌市网信办依据《网络安全法》规定,对该学校作出警告的行政处罚。
绿盟科技集团天枢实验室安全研究员刘文新对南都·隐私护卫队表示,公开未脱敏的个人敏感信息,如身份证号、手机号,无异于让师生隐私“裸奔”,极易被不法分子利用,可能威胁到公民的个人利益和财产安全。同时,这也违反了我国相关法律、法规要求。
“这种现象是令人担忧的,存在极大的数据泄露风险,它暴露出部分公共服务机构在数据安全意识和管理上的明显短板。”刘文新说。
除了在涉个人信息公示环节未做脱敏处理外,一些高校也被通报由于未采取相应的技术措施而出现数据泄露问题。2023年8月,据江西网警消息,南昌一高校存储3000余万条信息的数据库被黑客非法入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门依据《网络安全法》对该校处以80万元罚款,主要责任人也被罚5万元。
启明星辰网络安全宣传部负责人孙志华从事网络安全相关工作已有20多年。他表示,学校掌握了大量个人信息,涉及的师生、职工人数众多;也因此,学校信息化系统经常面临黑客攻击,一旦出现被“拖库”的情况,个人信息泄露的影响范围广泛。普遍存在未对个人信息做脱敏处理的情形,暴露了教育行业对个人隐私保护、数据安全和网络安全合规认知不足。
需要重视的是,人们习以为常给出的身份证号,可从中解析出诸多个人信息。国家标准《GB11643-1999公民身份号码》,阐述了公民身份证号码的编码对象、号码结构和表示形式。
据悉,公民身份号码是特征组合码,由17位数字本体码和1位数字校验码组成。排列顺序从左至右依次为:前6位是地址码,第7-14位数字为出生日期码,随后3位是顺序码和最后1位为校验码。其中顺序码表示在同一地址码所标识的区域范围内,对同年、同月、同日出生的人编定的顺序号,奇数分配给男性,偶数分配给女性。校验码则是根据特殊公式计算得出。
也就是说,通过一个身份证号即可知道某某人的户籍所在地、今年多大年纪及其生日、是男是女,如果再匹配上其他个人信息,要锁定“你是谁”并非难事。
2020年3月发布的推荐性国家标准《信息安全技术 个人信息安全规范》中,明确将身份证号列入个人敏感信息。身份证号属于典型的具备唯一性且伴随个人终身的信息,一旦泄露,将可能使个人长期伴随较大的网络安全风险,而且时常成为个人被网络“开盒”的起点和关联点。
8月14日,最高人民法院发布的入库参考案例——“吴某慧、陈某强等侵犯公民个人信息案”披露,为获取被害人朱某个人信息并在网上发负面帖子对其抹黑,被告人吴某慧首先向陈某强提供了朱某妻子的身份证信息,以便查询朱某的个人信息。其后,陈某强购买了包含朱某及自己前女友杨某等人的住宿记录、民航、铁路购票记录等信息1442条。吴某慧从中挑选了部分信息撰写不实帖文诋毁朱某,帖子回复人数总计超200万。
这起网络“开盒”案件中,提供身份证号成为后续“开盒”更多信息的第一步。日前,南都·隐私护卫队在一些海外“社工库”网站上看到,仅需输入身份证号,支付一定价款,便可查询火车记录、航空订票记录、开房记录等个人信息。“社工库”是黑灰产从业者通过非法手段收集大量公民个人信息而搭建的数据库。
除了可能被“开盒”外,身份证号泄露后被非法利用,进而“被贷款”“被法人”“被入职”等事件也屡见不鲜。今年4月,“法治成都”公布的一起案例显示,办理过某大学学生团体保险业务的一名保险代理人,将掌握的大量学生身份证号等信息提供给一家公司,该公司利用这些信息虚列人员工资成本,来达到少缴税目的,268名学生在不知情时“被入职”。
具体到明星等群体,部分“私生粉”通过明星的身份号码抢先订票,以达到近距离跟踪偶像的目的。更有甚者将明星身份证信息滥用于遗体捐献登记。此前,张艺兴的身份证号被不法分子恶意用于遗体捐献登记,其家人就此呼吁法律严惩。
刘文新告诉南都·隐私护卫队,身份证号作为我国公民唯一的法定身份标识,如同个人信息的“万能钥匙”。一旦泄露,可能直接引发身份冒用、精准电信诈骗、金融账户盗用等连锁风险。此外,身份证号与手机号、人脸等生物信息结合后,会形成完整的身份画像,导致公民财产、征信乃至社会活动全面暴露于黑产威胁之下,其危害具有长期性和不可逆性。
为保障师生隐私安全,河南财政金融学院党委宣传部、信息化办公室在前述紧急通知中,发布了各类信息的脱敏参考。
从未对个人信息做脱敏处理,到现在开始加强网站信息发布管理规范,可以看到,随着《个人信息保护法》的落地和在监管的重视下,全社会保护个人信息的意识有所提升。但需要进一步探讨的问题是:各类上网信息涉及诸如身份证号等个人信息时,该怎么脱敏处理,才能最大程度防止个人隐私泄露?
南都·隐私护卫队发现,在实践中,保留身份证号前几位和后四位的打码方式,在企事业单位招聘招考、买房买车“摇号”公示等场景下,尤为常见。但也有人提出,后四位是最不该泄露的——因为身份证号前14位数字不具有唯一指向性,而后4位可直接定位到具体个人,且他人获知难度较高,这是身份证号码中最具保密价值的部分。
有业内专家则提供了另一种说法。该专家告诉南都·隐私护卫队,《指南》中示例的一种身份证号去标识方法——保留前6位和后4位,中间部分用“*”替代,这样设计的主要目的是减少重标识风险(把去标识化的数据集重新关联到原始个人信息主体或一组个人信息主体的过程)。
据其解释,信息获取越容易,其风险越高。正因为一个人所在地区、出生日期相对更容易被他人获知,如果去标识后的身份证号公开了这两类信息,这就缩小了定位目标个人的范围,增加了重标识风险。而身份证号后4位具有比较特殊的编码方式,不如前14位数规律明显,相当于一串没有“意义”的符号,即使获取了也很难定位到个人。
值得关注的是,尽管有类似《个人信息去标识化指南》的标准,但多位业内专家告诉南都·隐私护卫队,该国标不具备强制效力,在实操中仍缺少专门的标准和规范细则;基于不同行业和业务场景需求,对个人信息脱敏做法并不统一。
孙志华向南都·隐私护卫队表示,身份证号中含有个人的隐私信息,如在办理涉金融等业务时,身份证号末四位经常用于安全核验,而出生日期则常被人们用来设置个人密码的首选。在实践中,各行业各领域对身份号码隐私保护的控制点多少有些差别——但不管是隐去身份证号末四位,还是中间的“出生年月日”,都仍存在一定的信息泄露风险。
他建议,在顶层法律法规层面,亟须给出具体的指南和实操细则,才能让各行业的做法统一,尽可能更大程度地保护个人隐私信息。
前述业内专家也表示,“隐去中间8位出生日期”的去标识化方法主要是为解决重标识问题。但在不同脱敏规则下,多主体公布的数据可能被合并进而拼凑出完整身份号码,建议后续制定相关标准规范时,应对此进行重新考量。
不仅如此,南都·隐私护卫队梳理多家企事业单位公布的涉个人信息公告发现,个人证件号码被公开或部分公开时,往往还关联着其他个人信息——这意味着,解码去标识化的个人信息的难度将大幅下降。
以北京市2025年家庭新能源车指标积分排序入围名单为例,主申请人的申请编码、姓名、“保留前六和后四位”的身份证号、家庭代际数等信息,均一并公示。
8月19日,枣阳市住建局发布的2025申请公租房合格家庭的名单显示,申请人的姓名、“保留前十和后两位”的身份证号、现居住地址、家庭人口的信息,也被予以公示。
关于买房信息泄露的一个典型案例是,今年6月,台湾明星潘玮柏与内地艺人黄明昊的摇号购房信息,相继被网友从房产公示材料中挖掘出来。
在就业与考试场景下,公务员招录、事业单位招聘以及各类职业资格考试的公示名单,也普遍存在身份证号部分展示的情况。这些名单往往伴随姓名、准考证号或毕业院校等信息,一旦叠加,几乎可以唯一对应到某一考生或应聘者。
南都·隐私护卫队还注意到,部分职业的信息查询网站所披露的个人信息颗粒度不一。比如医生执业资格平台,披露了姓名、性别、执业证书编码、执业机构等信息,律师执业数据平台也涉及前述信息,并公开了律师的政治面貌和个人照片;二者均未涉及身份证号信息。但在新闻记者证查询平台上,不仅公布了记者的姓名、性别、单位、记者证号、个人照片,还显示了“保留前两位和后四位”的身份证号。
对此,大成律师事务所律师邓志松告诉南都·隐私护卫队,律师和记者等特定职业信息的公开有相关规定要求,但公开到何种程度应该有界限之分,把身份证号等个人敏感信息公示,属于越界范畴。尽管相关平台已对身份号码做了部分屏蔽处理,但在已知当事人的其他信息后,仍可通过末四位推导出完整信息,建议扩大身份号码的屏蔽范围,或者选择不予公开。
刘文新进一步对南都·隐私护卫队表示,这种对身份证号“保留前六后四”的脱敏方式存在显著风险,实为“伪脱敏”。前六位户籍代码暴露地域范围,后四位在关联其他泄露数据(如姓名、学工号)后,可被黑产通过关联、穷举或数据碰撞精准定位具体个人。尤其在组合攻击中,这些碎片化信息会成为串联多维度数据的关键拼图。
从上述场景可以看到,身份证号片段本身就包含丰富的隐含信息,当它与姓名、手机号等信息交叉时,个人的真实身份可极易被锁定。究竟,身份证号等个人信息该如何打码?
“在实际应用中应根据隐私保护的需求,进行风险评估,使得隐私风险在预期范围内,保持数据的可用性。”刘文新告诉南都·隐私护卫队,如果要最大程度保护公民的个人隐私,那么仅保留手机号的前3位与身份证号的前2位是最安全的方案。
孙志华也主张,“能隐掉的,尽可能隐掉”。他认为,不同行业可根据信息化系统的业务场景,进行全面的数据安全风险评估,据此决定对个人信息公开程度。“各企事业单位信息化系统对公民个人身份证号做脱敏处理时要从严,比如出生年月日、末尾四位等相关信息都做脱敏处理,具体可参照金融行业的做法。”
海南省大数据管理局原局长董学耕对南都·隐私护卫队表示,应当基于场景和需求考虑个人信息去标识化的问题。具体身份证号该如何打码,要看公示的目的,原则上仍应遵循最小化原则。在对公众公开的场景下,建议还是要做彻底匿名化处理。
聚焦政务场景,有地方数据局的相关负责人对南都·隐私护卫队表示,目前一些地方尚未有涉个人信息去标识化的专门文件,都是约定俗成地对个人数据进行脱敏处理,一些规则相对随性化、简单化。
孙志华呼吁,强化对身份证号等个人信息脱敏规则的规范管理,可以先从试点做起先形成区域要求,再推动形成团体标准,而后推广形成国家层面的统一标准。而标准的制定与落地,离不开行业主管部门和数据管理部门的支持。
“公民身份号码如何脱敏看似小问题,但是实际可探讨的细节诸多。”CCIA数据安全工作委员会常务副主任何延哲说。他向南都·隐私护卫队总结了三大关键问题:一是公民身份号码公开披露的必要性如何评判,是否有统一的公开披露授权或依据?在他看来,非必要不披露将极大降低信息泄露可能。
三是,是否可采取其他具备唯一性的字符串或标识代替公民身份号码,如公民身份号码的校验值?如此一来,可降低已泄露信息用于重标识的风险。
加强个人信息保护是一项系统性工程,无法一蹴而就。今年8月8日,中国国网络安全产业联盟(CCIA)数据安全工作委员会联合南都·隐私护卫队,以及十余家互联网企业发起反“开盒”技术工作组。有业界代表在当天会上提到,已有的案例显示,被“开盒”的个人信息来源于社工库,如何对已泄露的数据进行保护,成为疑难问题。
孙志华建议,加大隐私保护相关知识、技能科普宣传。各行业信息化系统的参与者都应尽快提高安全意识,并承担起对公民个人信息保护的责任。政府部门、行业、企业、个人需绷紧“个人信息保护”这根弦,才能推动社会更好地保护个人隐私。
高校再现身份证号等个人信息泄露事件。8月15日发布的一份校方公告显示,河南财政金融学院网站公示的新闻、通知、返回搜狐,查看更多
