李虎委员：

您提出的《将我市作为身份证号码动态加密试点城市 保障疫情期间市民身份信息安全》提案收悉。首先感谢您对郑州市疫情防控和数据安全工作的诚恳提案和大力支持！您所提提案我局高度重视，组织相关处室会商，根据提案相关内容，结合我市疫情防控和数据安全工作的情况，现答复如下：

一、工作推进情况

（一）实战出发，全力打赢疫情防控阻击战

全面落实“外防输入、内防反弹”的防控策略，在市疫情防控指挥部的统一领导下，市大数据局从实战出发，于2020年初就在全国率先搭建了居民三色健康码管理等系统，并持续升级迭代、开发建设，形成了“1+1+3+N”的数字化疫情防控系统，快速“圈住、封死、捞干、扑灭”疫情，全力打赢疫情防控阻击战。目前，核酸检测系统、健康码管理系统、重点人员排查系统等11个子系统均已通过网络安全等级保护三级认证，且实现前端身份证号、手机号等信息加密展示，后端配备数据库加密存储。同时，对系统数据的导出权限做进一步的设置，严格落实个人信息保护规定。

为方便老年人出行，在郑好办上进行适老化改造，可由家中亲人代办，申请并打印健康码、核酸检测码及郑好码。在此基础上，郑州大数据发展有限公司与三大运营商就电子哨兵辅助安全出行建立合作关系，与市公交集团、市一卡通公司联合开发“卡码合一”系统，以数据共享助力常态化疫情防控，减少个人信息重复输入、多次登记。

（二）制度先行，规范政务数据全流程安全

2020年11月，郑州市出台《郑州市政务数据安全管理暂行办法》(郑政〔2020〕22号)，共六章三十八条，从总则、职责分工、政务数据安全管理、政务数据安全检查与应急处理、责任追究等方面，加强数据安全管理和风险防范能力，强化网络安全底线思维。

2022年5月，依据《河南省政务数据安全管理暂行办法》，结合2021年9月生效的《中华人民共和国数据安全法》，2021年11月生效的《中华人民共和国个人信息保护法》，参考其他省市经验，我局启动《郑州市政务数据安全管理暂行办法》的修订工作，确保数据在采集、存储、处理、传输、共享、使用、开放及销毁等全流程安全，进一步加强对全市政务数据安全工作的统筹协调和监督管理，建立健全政务数据安全保障体系，确保数据应用安全可控。

为强化“场所码”在常态化疫情防控工作中的数据支撑作用，我局起草《郑州市“场所码”扫码数据管理规定》，以市疫情防控指挥部名义印发全市相关部门执行，对“场所码”扫码数据采集、存储、处理、交换、使用、销毁等过程作出规定。

（三）多措并举，进一步强化个人信息保护

郑州市高度重视疫情防控期间的个人信息保护工作。一是在严格按照“原始数据不出域，数据可用不可见”的原则进行数据共享；二是按照省级相关规定，疫情防控涉及个人信息的保存时限为近20天，所有超期数据均需要物理删除；三是郑州市疫情防控流调溯源工作是由卫健、疾控、公安等部门组成的流调溯源专班依托重点人员排查系统开展，该系统部署于政务云，数据安全可控级别较高。

二、存在问题

我们对张委员提出的问题认真分析、仔细研究，在疫情防控背景下郑州市个人信息保护工作存在不足之处，引起我们的深思和反省。一是数据采集风险，《郑州市政务数据安全管理暂行办法》已对政务部门收集数据的安全管理作出规定，但因各行业主管部门具体承担本行业、本领域数据的安全监管职责，不同行业基于本行业、本领域的工作特点及需求，对数据采集的口径、标准不同，目前尚未形成统一的数据安全管理标准；二是数据存储风险，对比传统的网络安全威胁，数据安全威胁更加多样化，不再局限于利用安全漏洞、恶意流量、病毒木马等攻击手段，数据安全问题集中爆发在特权账号弱口令、数据权限滥用、API接口攻击等方面，而疫情期间数据大规模集中存储增加的数据泄露风险可能更加严重。

三、下一步工作计划

（一）加快进程，规范政务数据安全

随着我市数字化进程的加快，政务数据体量和共享范围不断增大，保障政务数据安全显得尤为重要。制定政务数据安全管理办法有助于加强对全市政务数据安全工作的统筹协调和监督管理，建立健全政务数据安全保障体系。为进一步加快构建数据安全保障体系，推动全市各级各部门形成责任明晰、安全可靠、能力完备、合作共享的数据安全保障机制，明确各级各部门非涉密政务数据采集、存储、处理、传输、共享、使用、开放及销毁等行为相关安全管理工作要求，我局将加快政务数据安全管理规范性文件的出台。

（二）重视安全，构建数据安全保障体系

深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规规范，通过全面构建数据安全保障体系，组织建设和完善数据安全保障基础设施，运用安全可靠技术和产品，建立数据安全监测预警、信息通报和应急处置机制，定期开展数据安全的风险评估、安全培训等工作，持续提升安全防护能力，筑牢安全底线，确保数据在采集、存储、处理、传输、共享、使用、开放及销毁等全流程安全，保障数据安全与促进信息化发展相协调，管理与技术统筹兼顾。

（三）夯实基础，多维度确保个人信息安全

一是加强管理，严格落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求，通过制度约束涉及个人信息采集、共享等环节的信息安全；二是深化联邦学习、多方安全计算等为代表的隐私计算技术的应用，通过“数据可用不可见”的方式，实现跨机构间的数据协同共享，为个人信息共享提供数据安全保障；三是鼓励安全企业持续探索隐私计算助力疫情时代的数据安全保护，为构建智能化的大数据多源信息安全体系提供支撑。

以上答复，如有不当，请批评指正，恳请您一如既往地关心支持数据安全相关工作，并多提宝贵意见和建议。

2022年9月29日