0次浏览 发布时间:2025-08-23 07:04:00
高校再现身份证号等个人信息泄露事件。8月15日发布的一份校方公告显示,河南财政金融学院网站公示的新闻、通知、附件等内容中存在未脱敏处理的身份证号、教工号/学号、手机号等个人敏感信息。校方就此要求,各类上网信息发布前,需对个人敏感信息进行脱敏,不得直接展示身份证完整号码等。例如,身份证号保留前6位(地址码)和后4位,中间部分用“*”替代。
南都记者注意到,保留身份证号后4位的脱敏处理方案,被不少企事业单位平台采用,但有声音质疑,身份证号后4位更具保密价值,不应该被泄露。
记者采访多位业内人士获悉,尽管已有推荐性的国家标准对个人信息去标识化予以规范,并列举了多种身份证号脱敏处理方式,但由于缺乏统一标准和实操细则,导致实践中的做法也五花八门。
对此,一些声音担忧,当脱敏操作不一致时,实际上可以将同一个体在不同平台上被公示的身份证号片段加以拼接合并,复原出完整的身份证号。在网络“开盒”甚嚣尘上的背景下,是否应建立一套统一的身份证号脱敏处理规则,成为急需讨论的问题。
现状 公开未脱敏的个人敏感信息,会威胁到公民个人利益和财产安全
8月15日,河南财政金融学院党委宣传部、信息化办公室发出紧急通知,要求加强网站信息发布管理及防止个人信息泄露。通告称,近期,学校接到上级公安部门及教育主管部门通报,发现该校网站公示的各类上网信息存在未经脱敏处理的个人敏感信息,该校就此作出规范要求。同时明确,如因工作履职确需公开手机号码、电子邮箱地址的,须经所在单位负责人审批同意后,方可免于脱敏处理。
近年来,高校公示和单位招聘过程中的信息泄露并不鲜见。此前2020年9月,巴彦淖尔市人民政府门户网站公布一则人才引进公示公告时,直接公开了拟聘用人员的完整身份证号。
另据“网信南昌”公众号一份2024年9月的通报,南昌市某学校对网站公示附件中的学生名字、身份证号等4000多条个人信息,未采取技术措施和其他必要措施开展脱敏或去标识化处理,导致信息泄露风险。
绿盟科技集团天枢实验室安全研究员刘文新表示,公开未脱敏的个人敏感信息,如身份证号、手机号,无异于让师生隐私“裸奔”,极易被不法分子利用,可能威胁到公民的个人利益和财产安全。
除了在涉个人信息公示环节未做脱敏处理外,一些高校也被通报,由于未采取相应的技术措施而出现数据泄露问题。2023年8月,据江西网警消息,南昌一高校存储3000余万条信息的数据库被黑客入侵,其中3万余条教职工、学生个人敏感信息数据被非法兜售。南昌公安网安部门依据网络安全法对该校处以80万元罚款,主要责任人也被罚5万元。
启明星辰网络安全宣传部负责人孙志华从事网络安全相关工作已有20多年。他表示,学校掌握了大量个人信息,涉及的师生、职工人数众多,因此学校信息化系统经常面临黑客攻击,一旦出现被“拖库”的情况,个人信息泄露的影响范围广泛。
需要重视的是,人们习以为常给出的身份证号,可从中解析出诸多个人信息。国家标准《GB11643-1999公民身份号码》,阐述了公民身份证号码的编码对象、号码结构和表示形式。
据悉,公民身份号码是特征组合码,由17位数字本体码和1位数字校验码组成。排列顺序从左至右依次为:前6位是地址码,第7-14位数字为出生日期码,随后3位是顺序码和最后1位为校验码。其中顺序码表示在同一地址码所标识的区域范围内,对同年、同月、同日出生的人编定的顺序号,奇数分配给男性,偶数分配给女性。校验码则是根据特殊公式计算得出。
也就是说,通过一个身份证号即可知道某某人的户籍所在地、今年多大年纪及其生日、是男是女,如果再匹配上其他个人信息,要锁定“你是谁”并非难事。
案例 身份证号泄露后被非法利用,268名学生在不知情下“被入职”
2020年3月发布的推荐性国家标准《信息安全技术 个人信息安全规范》中,明确将身份证号列入个人敏感信息。身份证号属于典型的具备唯一性且伴随个人终身的信息,一旦泄露,将可能使个人长期伴随较大的网络安全风险,而且时常成为个人被网络“开盒”的起点和关联点。
8月14日,最高人民法院发布的入库参考案例——“吴某慧、陈某强等侵犯公民个人信息案”披露,为获取被害人朱某个人信息并在网上发负面帖子对其抹黑,被告人吴某慧首先向陈某强提供了朱某妻子的身份证信息,以便查询朱某的个人信息。其后,陈某强购买了包含朱某及自己前女友杨某等人的住宿记录、民航、铁路购票记录等信息1442条。吴某慧从中挑选了部分信息撰写不实帖文诋毁朱某,帖子回复人数超200万。
这起网络“开盒”案件中,提供身份证号成为后续“开盒”更多信息的第一步。日前,南都记者在一些海外“社工库”网站上看到,仅需输入身份证号,支付一定价款,便可查询火车记录、航空订票记录、开房记录等个人信息。“社工库”是黑灰产从业者通过非法手段收集大量公民个人信息而搭建的数据库。
除了可能被“开盒”外,身份证号泄露后被非法利用,进而“被贷款”“被法人”“被入职”等事件也屡见不鲜。今年4月,“法治成都”公布的一起案例显示,办理过某大学学生团体保险业务的一名保险代理人,将掌握的大量学生身份证号等信息提供给一家公司,该公司利用这些信息虚列人员工资成本,来达到少缴税目的,268名学生在不知情下“被入职”。
具体到明星等群体,部分“私生粉”通过明星的身份证号抢先订票,以达到近距离跟踪偶像的目的。更有甚者将明星身份证信息滥用于遗体捐献登记。此前,张艺兴的身份证号被不法分子恶意用于遗体捐献登记,其家人就此呼吁法律严惩。
刘文新告诉记者,身份证号作为我国公民唯一的法定身份标识,如同个人信息的“万能钥匙”。一旦泄露,可能直接引发身份冒用、精准电诈、金融账户盗用等连锁风险。此外,身份证号与手机号、人脸等生物信息结合后,会形成完整的身份画像,导致公民财产、征信乃至社会活动全面暴露于黑产威胁之下,其危害具有长期性和不可逆性。
追问 个人信息“上网”时如何脱敏,才能最大程度防止隐私泄露?
为保障师生隐私安全,河南财政金融学院党委宣传部、信息化办公室在前述紧急通知中,发布了各类信息的脱敏参考。例如,身份证号建议保留前6位(地址码)和后4位,中间部分用“*”替代;手机号保留前3位(运营商识别码)和后4位,中间4位用“*”替代,银行卡号保留前6位(发卡行标识)和后4位,中间部分用“*”替代。
从未对个人信息做脱敏处理,到现在开始加强网站信息发布管理规范,可以看到,随着个人信息保护法的落地和在监管的重视下,全社会保护个人信息的意识有所提升。但需要进一步探讨的问题是:各类上网信息涉及诸如身份证号等个人信息时,该怎么脱敏处理,才能最大程度防止个人隐私泄露?
据刘文新介绍,个人信息保护法明确规定,对个人信息应当采取去标识化等技术措施,并将“去标识化”定义为“无法直接识别特定自然人”的处理方式。网络安全法同样要求未经处理的个人信息不得提供,只有在“无法识别且不可复原”的情况下,才允许作为例外使用。
在此基础上,已有相关的技术标准出台。2020年3月1日施行的《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)介绍了常见的身份证号去标识化方法,包括抑制屏蔽(即所有身份证号都用“*”代替)、部分屏蔽、可逆编码、数据合成等。
关于“部分屏蔽”去标识化方法,上述《指南》给出了三种示例:如“440524188001010014”,可以“保留前六后四位”,也可“保留前九后四位”,或者用“******188*********”代替。
南都记者发现,在实践中,保留身份证号前几位和后四位的打码方式,在企事业单位招聘招考、买房买车“摇号”公示等场景下,尤为常见。但也有人提出,后四位是最不该泄露的——因为身份证号前14位数字不具有唯一指向性,而后4位可直接定位到具体个人,且他人获知难度较高,这是身份证号码中最具保密价值的部分。
有业内专家则提供了另一种说法。该专家告诉记者,《指南》中示例的一种身份证号去标识方法——保留前6位和后4位,中间部分用“*”替代,这样设计的主要目的是减少重标识风险(把去标识化的数据集重新关联到原始个人信息主体或一组个人信息主体的过程)。据其解释,信息获取越容易,其风险越高。正因为一个人所在地区、出生日期相对更容易被他人获知,如果去标识后的身份证号公开了这两类信息,这就缩小了定位目标个人的范围,增加了重标识风险。而身份证号后4位具有比较特殊的编码方式,不如前14位数规律明显,相当于一串没有“意义”的符号,即使获取了也很难定位到个人。
值得关注的是,尽管有类似《个人信息去标识化指南》的标准,但多位业内专家告诉南都记者,该国标不具备强制效力,在实操中仍缺少专门的标准和规范细则;基于不同行业和业务场景需求,对个人信息脱敏做法并不统一。
孙志华向南都记者表示,身份证号中含有个人的隐私信息,如在办理涉金融等业务时,身份证号末四位经常用于安全核验,而出生日期则常被人们用来设置个人密码的首选。在实践中,各行业各领域对身份号码隐私保护的控制点多少有些差别——但不管是隐去身份证号末四位,还是中间的“出生年月日”,都仍存在一定的信息泄露风险。他建议,在顶层法律法规层面,亟须给出具体的指南和实操细则,才能让各行业的做法统一。
专家“保留前六后四”打码方式实为“伪脱敏”,黑产可通过关联或数据碰撞精准定位个人
不仅如此,南都记者梳理多家企事业单位公布的涉个人信息公告发现,个人证件号码被公开或部分公开时,往往还关联着其他个人信息——这意味着解码去标识化的个人信息的难度将大幅下降。
以北京市2025年家庭新能源车指标积分排序入围名单为例,主申请人的申请编码、姓名、“保留前六和后四位”的身份证号、家庭代际数等信息,均一并公示。
8月19日,枣阳市住建局发布的2025申请公租房合格家庭的名单显示,申请人的姓名、“保留前十和后两位”的身份证号、现居住地址、家庭人口的信息,也被予以公示。
关于买房信息泄露的一个典型案例是,今年6月,台湾明星潘玮柏与内地艺人黄明昊的摇号购房信息,相继被网友从房产公示材料中挖掘出来。网友从公示摇号名单中发现了“黄某昊”的名字,其身份证号前六位显示为浙江温州某区。结合黄明昊的温州籍贯等信息,网友推测此人极可能就是黄明昊。由于潘玮柏使用的身份证件与大陆身份证不同,这种差异性也使其身份信息很快被识别。
在就业与考试场景下,公务员招录、事业单位招聘以及各类职业资格考试的公示名单,也普遍存在身份证号部分展示的情况。这些名单往往伴随姓名、准考证号或毕业院校等信息,一旦叠加,几乎可以唯一对应到某一考生或应聘者。
南都记者还注意到,部分职业的信息查询网站所披露的个人信息颗粒度不一。比如医生执业资格平台,披露了姓名、性别、执业证书编码、执业机构等信息,律师执业数据平台也涉及前述信息,并公开了律师的政治面貌和个人照片;二者均未涉及身份证号信息。但在新闻记者证查询平台上,不仅公布了记者的姓名、性别、单位、记者证号、个人照片,还显示了“保留前两位和后四位”的身份证号。
对此,大成律师事务所律师邓志松表示,律师和记者等特定职业信息的公开有相关规定要求,但公开到何种程度应该有界限之分,把身份证号等个人敏感信息公示,属于越界范畴。尽管相关平台已对身份号码做了部分屏蔽处理,但在已知当事人的其他信息后,仍可通过末四位推导出完整信息,建议扩大身份号码的屏蔽范围,或者选择不予公开。
刘文新表示,这种对身份证号“保留前六后四”的脱敏方式存在显著风险,实为“伪脱敏”。前六位户籍代码暴露地域范围,后四位在关联其他泄露数据(如姓名、学工号)后,可被黑产通过关联、穷举或数据碰撞精准定位具体个人。尤其在组合攻击中,这些碎片化信息会成为串联多维度数据的“关键拼图”。
提醒
绷紧“个人信息保护”这根弦
从上述场景可以看到,身份号码片段本身就包含丰富的隐含信息,当它与姓名、手机号等信息交叉时,个人的真实身份可极易被锁定。究竟,身份证号等个人信息该如何打码?
此前,刘文新所在的天枢实验室曾对“身份证号+手机号”的脱敏数据集进行三种场景下的攻击实测。结果显示,脱敏强度越强,重识别风险越低。据刘文新介绍,仅对手机号中间4位,以及身份证的出生日期进行脱敏/屏蔽处理,它们脱敏后的组合仍然具有较高的重识别风险,比例均接近100%,因此在数据公开发布场合不建议采用。
上述研究还发现,仅对手机号最后8位,以及身份证号的出生日期进行脱敏/屏蔽处理,能有效降低隐私风险,平均重识别风险能降低至69%;在上面的基础上,再对身份证号的最后四位顺序码+校验码进行脱敏/屏蔽处理,平均重识别风险能有效地再次降低至18%;仅保留手机号的前3位,与身份证号的前2位,重识别风险能降到更低,平均风险为2%。
“在实际应用中应根据隐私保护的需求,进行风险评估,使得隐私风险在预期范围内,保持数据的可用性。”刘文新告诉南都记者,如果要最大程度保护公民的个人隐私,那么仅保留手机号的前3位与身份证号的前2位是最安全的方案。
孙志华也主张,“能隐掉的,尽可能隐掉”。他认为,不同行业可根据信息化系统的业务场景,进行全面的数据安全风险评估,据此决定对个人信息公开程度。“各企事业单位信息化系统对公民个人身份证号做脱敏处理时要从严,比如出生年月日、末尾四位等相关信息都做脱敏处理,具体可参照金融行业的做法。”
海南省大数据管理局原局长董学耕表示,应当基于场景和需求考虑个人信息去标识化问题。具体身份证号该如何打码,要看公示的目的,原则上仍应遵循最小化原则。在对公众公开的场景下,建议还是要做彻底匿名化处理。
孙志华建议,加大隐私保护相关知识、技能科普宣传。各行业信息化系统的参与者都应尽快提高安全意识,并承担起对公民个人信息保护的责任。政府部门、行业、企业、个人需绷紧“个人信息保护”这根弦,才能推动社会更好地保护个人隐私。
采写:南都记者 李玲 樊文扬 杨柳 黄莉玲
