如何确保用户数据销毁无死角

行程卡通过运营商数据获取用户位置

“通信行程卡”于2020年2月底上线，是工信部组织中国信通院和移动等运营商推出防疫专用的公益性应用。此后数次迭代，添加了行程标星等功能。根据工信部2022年5月26日公布的数据，行程卡用户查询次数累计已达到556亿次以上。2022年6月14日，中共中央宣传部就党以来工业和信息化发展成就举行发布会时披露，通信行程卡累计提供服务近600亿次，有力支撑常态化疫情防控。上线初期，手机用户可通过服务，查询本人前14天到过的所有地市信息;2022年7月8日，工信部发布公告：根据《新型冠状病毒感染防控方案(第九版)》，“通信行程卡”查询结果的覆盖时间范围由“14天”调整为“7天”。短信、网页、微信小程序、支付宝小程序、“通信行程卡”APP等查询渠道同步进行应用版本更新。

2月12日，工信部信息通信经济专家委员会委员王春晖公开表示，“通信大数据行程卡”的数据分析的是“手机信令数据”，通过用户手机所处的基站位置获取，有严格的安全隐私保障机制，查询结果实时可得、方便快捷，为我国的疫情防控做出了重大贡献。

“个人认为，行程卡相当于一个服务导引的入口和信息展示平台，具体的数据应该存储在运营商数据库中。”12月12日，接近行程卡研发团队的陈石(化名)告诉新京报贝壳财经记者。

贝壳财经记者注意到，打开通信行程小程序卡界面，其标注服务联合提供方包括：中国信通院、中国电信、中国移动、中国联通、中国广电。除信通院外，其余四家服务提供方皆为电信运营商。陈石对记者表示，如果行程卡可以储存历史数据，那么如此海量的数据信通院一方或难以独自存储下来，“行程卡实际上是和个人通信服务绑定的。”

“行程卡通过技术手段让用户输入查询指令，直接调取了相关运营商后台服务数据，这套小程序由中国信通院牵头，由各大运营商提供数据接口。”北京云嘉律师事务所副主任律师赵占领表示。

用户信息如何删除?

那么，当通信行程卡下线后，其涉及的相关用户信息会否造成信息泄露?是否应该删除?

赵占领表示，行程卡里涉及的手机号码、特定身份、行踪轨迹、医疗健康都属于个人信息，属于个人保护法规定的敏感信息范畴，这类信息在收集和使用的环节都有严格的规则。在他看来，行程卡停止服务后，应该把这些信息彻底删除，否则安全隐患较大。

北京市中闻律师事务所合伙人赵虎对贝壳财经记者表示，根据《个人信息保护法》第二十二条，个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意;而《个人信息保护法》第五条则规定，处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

赵虎告诉记者，如果经过论证认为没有必要转移给另外一个主体、另外一个单位，这种情况下符合《个人信息保护法》第四十七条第一款“处理目的已实现、无法实现或者为实现处理目的不再必要”情形，个人信息处理者应当主动删除个人信息;个人信息处理者未删除的，个人有权请求删除。

“我个人倾向于认为应该按照第四十七条第一款的规定对信息进行删除处理。”赵虎说，“此外，三年来各地健康码所收集的海量的信息，究竟是否有必要在脱敏之后安排做研究使用，尚需论证。

”

12月12日晚，新京报贝壳财经记者从中国移动方面获悉，中国移动高度重视客户个人信息保护，将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定，自12月13日0时“通信行程卡”服务下线后，同步删除用户行程相关数据，依法保障个人信息安全。

据中国联通官微12日晚间消息，中国联通也将自12月13日0时“通信行程卡”服务下线后，同步删除用户行程相关数据，依法保障个人信息安全。

同日，中国电信也对公开表示，将同步删除“通信行程卡”用户行程相关数据。

不过，谈到操作层面，赵占领认为，“个人保护法的条款围绕行程卡退出机制，缺少行政部门或第三方独立机构的监督。用户个人基本上难以发现是否从根本上删除，只有删除后由监管部门核查，才能有效地保证信息的处理者真正做到了删除义务。”

确保“通信行程卡”用户数据销毁无死角

随着疫情防控举措的进一步优化调整，根据国务院联防联控机制综合组有关要求，12月13日0时起，正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、 APP等查询渠道将同步下线。据悉，相关用户信息也将彻底销毁，以杜绝数据安全风险。

“通信行程卡”是由信息中国信息通信研究院联合中国电信、中国移动、中国联通三家基础电信企业利用手机“信令数据”，通过用户手机所处的基站位置获取 ，为全国手机用户免费提供的查询服务，手机用户可通过服务，查询本人前14天到过的所有地市信息。2021年3月30日，国家政务服务平台 “防疫健康码”整合 “通信大数据行程卡”相关信息，可在健康码中显示用户是否去过中高风险地区等行程信息 。9月，为助力群众安全出行，国家政务服务平台把健康码和行程码整合“一页可查”。

从“通信行程卡”的发展历史来看，是由多个电信运营商共同发起，为手机用户提供的行踪查询服务。基于疫情防控的需要，“通信行程卡”与“健康码”进行了更大程度的整合，便于有关部门对于感染者及密切接触者的行踪追溯，从而更加精准高效完成接下来的防控工作。

随着“通信行程卡”的下线，另一个重要问题浮现出来，“通信行程卡”附载了海量用户行踪信息，这部分信息的储存可能分散在多个主体，比如，开发该程序的相关电信运营商，以及微信、支付宝、APP等各类服务商，运营商和服务商共同构成“通信行程卡”的服务主体，但他们不应拥有对用户数据的使用权。尤其是涉及如此巨量的社会群体行踪及隐私信息，一旦出现相关信息被不当使用或者泄露，则会给用户个人权益及社会安宁造成严重影响。

也因此，让用户信息随“通信行程卡”同步有序退出，是公众关注的大事。此次明确将彻底销毁，体现出有关部门严格谨守包括《数据安全法》、《个人信息保护法》在内的各项法律原则，将采取有力举措，最大限度保障用户信息及隐私。

不过，正因为“通信行程卡”背后的用户信息价值巨大，包含用户的日常出行、消费等其他信息，堪称大数据中个人最有价值的内容之一，也很容易被各方盯上，无论是“通信行程卡”的运营商、服务商，还是众多从事大数据产业开发的企业以及更广泛对消费数据孜孜以求的市场主体，都会将其视为不可多得的“宝藏”。因此，对于“通信行程卡”所附载的用户信息，处理起来需更加谨慎，需堵住各种信息外流暗道。

按照《数据安全法》的规定，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。“通信行程卡”所涉及的用户数据处理，包含电信、网络等多个领域，应由卫生健康、电信和科技主管部门共同负责，对所管辖领域运营商、服务商的数据处理过程和结果进行监督，督促运营商、服务商将数据从各个存储空间、介质中永久性删除，使其不可被再次访问，或者通过技术处理切断信息与个人的关联，并确保不能恢复，并要求其提交信息处理报告，便于有关部门掌握其履责情况。

除了要求运营商、服务商尽快自行销毁处理“通信行程卡”相关用户数据外，相关部门还应组织专业人员对其处理结果进行全面检查，加大异体监督力度，防止出现运营商、服务商为了自身利益所需，对用户信息没有做到“应销尽销”的现象，通过加大过程和结果监管力度，确保“通信行程卡”用户数据销毁无死角。

未来，随着疫情防控举措的不断优化，可能会有包括健康码在内的更多“码”退出历史舞台，与之相关的海量用户信息也要同步退出。此次对于“通信行程卡”用户信息的销毁，可以作为未来相关工作的参考模板，不仅能有效做好善后工作，也将为我国个人信息保护、数据安全保障提供更多宝贵经验。