便民“掃一掃”掃出廣告鏈接，“數(shù)治”暗藏二維碼風(fēng)險(xiǎn)

當(dāng)前，我國(guó)多地積極搭建數(shù)字治理平臺(tái)，為基層治理提供技術(shù)支撐。半月談?dòng)浾甙l(fā)現(xiàn)，以便民服務(wù)二維碼為代表的智治手段，在服務(wù)響應(yīng)、指揮調(diào)度、矛盾化解、風(fēng)險(xiǎn)研判等環(huán)節(jié)發(fā)揮了積極作用，但也容易遭遇惡意利用或攻擊，其中風(fēng)險(xiǎn)須加防范。

便民二維碼存數(shù)據(jù)安全隱憂

家住西部某地的王女士發(fā)現(xiàn)小區(qū)垃圾未及時(shí)清理，她掃了掃張貼在小區(qū)的便民服務(wù)二維碼，上傳照片，反映問題，不到半小時(shí)便接到后臺(tái)回應(yīng)。社區(qū)工作人員聯(lián)系確認(rèn)后，立即通知小區(qū)物業(yè)處理?！熬€上反映訴求方便快捷，問題能得到及時(shí)解決?！蓖跖空f。

在西北某市一街道綜合治理中心，半月談?dòng)浾呖吹焦ぷ魅藛T正在通過公眾訴求辦理平臺(tái)處理、反饋線上訴求。工作人員表示，數(shù)字化治理平臺(tái)整合多項(xiàng)服務(wù)事項(xiàng)，二維碼一掃即查、一點(diǎn)即看，提高了群眾辦事效率；街道社區(qū)通過收集信息數(shù)據(jù)、及時(shí)處理監(jiān)測(cè)預(yù)警信息、辦理交辦訴求事件等，提升了日常工作的質(zhì)效。

時(shí)下，數(shù)字政府建設(shè)不斷推進(jìn)，多地創(chuàng)新推出各類便民服務(wù)二維碼，以“數(shù)治”賦能“善治”，提升治理效能。然而，半月談?dòng)浾哒{(diào)研發(fā)現(xiàn)，由于便民服務(wù)二維碼容易獲得使用者信任，交互多，使用頻率高，更易遭遇惡意利用或攻擊，暗含安全風(fēng)險(xiǎn)。

——二維碼暴露在外，易遭惡意篡改、替換。半月談?dòng)浾咦⒁獾?，一些街道社區(qū)將便民服務(wù)二維碼張貼在小區(qū)門外、樓院墻外，有些地方是監(jiān)控盲區(qū)，極易被人掉包替換，真?zhèn)坞y辨。2020年，西安地鐵站就曾發(fā)生過防疫二維碼被惡意替換為理財(cái)產(chǎn)品推廣鏈接的情形。

——運(yùn)維企業(yè)違規(guī)操作或過度收集用戶信息。今年3月，相關(guān)部門在查處一起涉數(shù)據(jù)安全違法案件時(shí)發(fā)現(xiàn)，浙江一科技公司在為當(dāng)?shù)卣块T開發(fā)運(yùn)維信息管理系統(tǒng)的過程中，未經(jīng)同意擅自將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)上傳至租用的公有云服務(wù)器上，且未采取安全保護(hù)措施，造成嚴(yán)重?cái)?shù)據(jù)泄露。

——政務(wù)服務(wù)數(shù)字系統(tǒng)收集的數(shù)據(jù)商業(yè)和社會(huì)價(jià)值高，易成黑客攻擊對(duì)象。“智治管理模式依據(jù)大量的數(shù)據(jù)獲取和分析，誰(shuí)建的數(shù)據(jù)庫(kù)，數(shù)據(jù)就掌握在誰(shuí)手里，潛在風(fēng)險(xiǎn)很難規(guī)避?！贝髷?shù)據(jù)分析系統(tǒng)國(guó)家工程研究中心紀(jì)檢監(jiān)察大數(shù)據(jù)部主任方金云說，通過便民服務(wù)二維碼等政務(wù)數(shù)據(jù)平臺(tái)收集的數(shù)據(jù)信息數(shù)量龐大、來源多樣，敏感信息一旦被惡意獲取和利用，將造成嚴(yán)重后果。

三大漏洞危及數(shù)據(jù)信息安全

受訪專家和干部表示，便民服務(wù)二維碼目前存在三類漏洞，或危及數(shù)據(jù)安全。

一是制碼近乎“零門檻”。二維碼生成器能將任意網(wǎng)址轉(zhuǎn)換為二維碼供用戶掃碼訪問，不法分子將病毒、木馬程序等下載地址編入二維碼，用戶掃碼后，手機(jī)里的通訊錄、銀行卡號(hào)等信息極易泄露。中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟認(rèn)為，篡改、偽造二維碼，使其指向惡意地址或下載惡意程序，已成為手機(jī)病毒傳播、用戶錢財(cái)盜取和不良信息傳播等案件發(fā)生的新渠道，而在此過程中，并無(wú)對(duì)二維碼進(jìn)行審核、監(jiān)控、追溯和認(rèn)證的手段。

二是數(shù)據(jù)安全監(jiān)管滯后，海量數(shù)據(jù)成“燙手山芋”。方金云表示，目前數(shù)據(jù)監(jiān)管仍未形成統(tǒng)一體系，數(shù)據(jù)收集通常先于數(shù)據(jù)管理和保護(hù)，一定程度上也會(huì)造成安全風(fēng)險(xiǎn)的防范缺位。半月談?dòng)浾哒{(diào)研發(fā)現(xiàn)，一些地方數(shù)據(jù)安全監(jiān)管工作存在多頭管理、權(quán)屬不清的情況。有大數(shù)據(jù)管理部門工作人員表示，目前國(guó)家層面成立了大數(shù)據(jù)局，但省（區(qū)、市）機(jī)構(gòu)改革方案仍未明確，部分職能邊界不清。

三是數(shù)據(jù)采集和提供方均缺乏數(shù)據(jù)安全和防護(hù)意識(shí)。多名受訪專家表示，一些數(shù)據(jù)收集部門缺少對(duì)數(shù)據(jù)收集合規(guī)合法性的論證以及對(duì)數(shù)據(jù)安全保障的有效措施。“很多線上填報(bào)數(shù)據(jù)和信息涉及個(gè)人隱私和數(shù)據(jù)的過度采集，這與國(guó)家法律法規(guī)和相關(guān)精神相悖?！狈浇鹪普f，公眾對(duì)個(gè)人數(shù)據(jù)安全的重要性和大數(shù)據(jù)的價(jià)值也存在認(rèn)識(shí)不足的問題。

便民二維碼亟待從嚴(yán)監(jiān)管

數(shù)字技術(shù)賦能社會(huì)治理，數(shù)據(jù)安全是“紅線”，必須守住。受訪干部、專家建議，推動(dòng)數(shù)據(jù)安全措施與各類數(shù)字治理平臺(tái)搭建同規(guī)劃、同建設(shè)、同使用，確保國(guó)家數(shù)據(jù)安全、公共信息安全和個(gè)人隱私安全。

首先要筑牢數(shù)字安全監(jiān)管堤壩。數(shù)據(jù)安全事關(guān)國(guó)家安全，數(shù)據(jù)安全監(jiān)管權(quán)任何時(shí)候不能丟失、不能旁落。方金云建議，要從中央層面部署統(tǒng)一的數(shù)據(jù)監(jiān)管體系，加強(qiáng)數(shù)據(jù)安全監(jiān)管和數(shù)據(jù)交易規(guī)范化，一把尺子量到底。

其次要強(qiáng)化細(xì)化數(shù)字安全法律保障，依法收集、管理數(shù)據(jù)資源。左曉棟等人建議，進(jìn)一步明確現(xiàn)行數(shù)據(jù)安全相關(guān)法律法規(guī)的實(shí)施細(xì)則，完善分級(jí)分類授權(quán)、使用主體合法性背景審查、數(shù)據(jù)共享和合規(guī)風(fēng)控等安全管理制度，加大對(duì)涉事企業(yè)違規(guī)違法的處罰力度，嚴(yán)格防范企業(yè)技術(shù)優(yōu)勢(shì)濫用，推動(dòng)權(quán)責(zé)匹配。同時(shí)，針對(duì)各類二維碼當(dāng)前應(yīng)用場(chǎng)景廣泛的現(xiàn)實(shí)，創(chuàng)立二維碼安全認(rèn)證和防偽溯源技術(shù)體系，實(shí)現(xiàn)二維碼生成、運(yùn)行全過程管理，防堵數(shù)據(jù)安全漏洞。

最后要培養(yǎng)數(shù)字治理專業(yè)隊(duì)伍，培育公眾數(shù)字安全意識(shí)。多名受訪專家和干部表示，加強(qiáng)領(lǐng)導(dǎo)干部智治能力和數(shù)字化思維能力建設(shè)是推進(jìn)數(shù)字政府轉(zhuǎn)型的重要抓手。應(yīng)培養(yǎng)一批善于獲取、分析、運(yùn)用數(shù)據(jù)的干部人才隊(duì)伍，推動(dòng)建立一支政治強(qiáng)、業(yè)務(wù)精、技術(shù)通的專業(yè)數(shù)字人才力量。同時(shí)，加強(qiáng)宣傳警示，強(qiáng)化公眾數(shù)據(jù)安全意識(shí)和數(shù)字法治素養(yǎng)。

半月談?dòng)浾撸和醪?文靜 /編輯：姜磊