近日，一张疑似中国工程院院士钟南山的健康码信息截图在各社交平台上广为流传，其中疫苗一栏显示“无接种记录”。还有网友称使用“老幼健康码助查询”功能查询钟南山的姓名和身份证号，各省份显示的疫苗接种记录不一致。

其后，上海《解放日报社》旗下公众号“上海网络辟谣”发文称，“钟南山没打新冠疫苗”的消息不实，之所以显示未接种，系因该查询程序不支持查询非当地人士的疫苗接种信息。

尽管已辟谣，但“老幼健康码助查询”功能依然引发了公众的关注。南都·隐私护卫队实测发现，通过国家政务服务平台的防疫健康信息码中的“老幼健康码助查询”功能，确实能看到被查者在多地留下的扫码信息，有的显示已接种，有的则显示未接种，还有的不显示疫苗接种记录。支付宝解释，这是因为目前各个省份之间的疫苗接种信息还没有打通。

“代人扫码”功能是否存在信息泄露的隐患？有专家认为确实存在，他建议，可采用人脸识别、手机验证码等多样身份认证机制，并给个人进行选择的空间，同时也要考虑个人信息的泄露风险与收集风险之间的平衡。

1

各省扫码显示疫苗接种情况不一致

近日，一张疑似钟南山的健康码截图在坊间广为流传。图片中头像为钟南山，姓名显示为“钟**”，疫苗一栏显示“无接种记录”。

网传疑似钟南山的健康码截图

其后，有自媒体发文称通过国家政务服务平台的防疫健康信息码的“老幼健康码助查询”功能获取了钟南山的健康信息，发现其近期在全国各地扫健康码时显示的疫苗接种信息不一致。

6月20日晚，“上海网络辟谣”公众号发文对此事作出回应。文章显示，经核查，网传的截图与北方某地“健康宝”小程序的截屏高度类似。经测试，该查询程序仅能查询居住地或疫苗接种地为本地人士的疫苗接种信息，不支持查询非当地人士的健康信息。因此“钟南山未接种新冠疫苗”消息不实。

据悉，去年5月，人民网公开播放了钟南山接种疫苗的现场视频，他还在视频中表示“我最近也接种了国产新冠疫苗，感觉很好”，并呼吁大家尽快接种。

图源网络，钟南山在接种疫苗

南都·隐私护卫队注意到，21日，支付宝在“我的客服”-“热点关注”话题中解释称，在A省接种疫苗后，却在B省健康码或疫苗记录里查不到相关信息是因为目前各个省份之间的疫苗接种信息还没有打通，而非系统异常造成，建议用户切换到接种的省份或城市的健康码页面查询接种信息，或通过“国家政务服务平台”小程序-“新冠病毒疫苗接种信息查询”功能进行查询。

支付宝进行解释

南都·隐私护卫队还对国家政务服务平台的防疫健康信息码进行了实测。首先，通过微信、支付宝或国家政务服务平台App进入“防疫健康信息码”服务，选择“老幼健康码助查询”，输入被查询者的姓名和身份证号获取其健康码状态。

接着，再选择“查看防疫健康信息详情”及“查看更多信息”，便能看到被查询者在全国各省扫码后显示的健康信息，一般包括健康码状态和健康报告日期，有的还显示疫苗接种记录。

实测：被查询者在全国各省扫码后显示的健康信息

然而，各地显示的疫苗接种记录同样存在查询结果不一致的情况。在实测中，输入曾接种过疫苗的某被查者的姓名和身份证号后，有的地区查询结果显示为“未接种”疫苗，而另一地区显示“接种两针”，还有的省份不显示疫苗接种情况。

值得注意的是，上述“老幼健康码助查询”功能仅可查询16岁以下及60岁以上人员的健康状态。根据“防疫健康信息码”在查询页面的声明，“数据在不断汇聚和完善中，查询结果仅供参考”。

2

北京健康宝他人代查功能曾致信息泄露

这并非公众人物首次被公开健康码等相关信息。据南都此前报道，2020年12月，网络上流传着七十多位明星的核酸检测照片截图，截图中的信息包括其人脸照片、姓氏、身份证号码的前后两位以及做核酸检测的机构和具体检测时间。

这些明星在健康宝中登记的信息被他人轻易获取的原因同样是使用了代人查询功能。只要在北京健康宝的“他人核酸检测结果代查”功能中输入姓名和身份证号，即可进入被查者的核酸检测页面，获取其人脸照片。尽管上述功能显示“需要人脸识别”，实际却并未触发。

数日后，相关部门对此功能进行调整，使用北京健康宝查验他人核酸检测结果需先通过人脸识别。

事实上，为了避免健康码信息被他人轻易获取，南都·隐私护卫队注意到，不少小程序已经对“他人核酸检测结果代查”“老幼健康码助查询”等代人查询功能做出了限制。

比如进入国家防疫健康信息码的“老幼健康码助查询”功能时，页面的详情部分写道：为保护个人隐私，查询结果页面将在10秒后自动关闭，页面关闭后，本地不保留任何缓存或相关数据。

经南都·隐私护卫队实测发现，使用该功能十秒后页面确实会自动关闭，并且在健康码展示页面中，被查询者的姓名和身份证号会被匿名化处理。

健康码展示页面

早在2020年北京健康宝上线“他人代查”功能时，北京市经济和信息化局副局长潘锋就强调，该功能设置了信息不得缓存、页面只显示10秒、脱敏处理信息一系列安全措施，不会泄露个人隐私。此外，杭州、山东等地也曾有类似承诺。

2

可采用人脸识别、验证码等进行再验证

只需要输入姓名和身份证号就可获得被查询者包括健康码、核酸结果、疫苗接种情况等健康信息，这一功能是否存在信息泄露隐患？其查询和展示方式是否还有进一步的优化空间？

对外经贸大学数字经济与法律创新研究中心主任许可直言可能存在信息安全隐患。但他同时指出，分享信息在互联网时代下是不可避免的，而要真正实现个人信息安全与使用的便捷性之间的平衡的确比较复杂和困难。

他表示，要更好地保障个人信息安全可以采用更多样的身份认证机制，并给个人进行选择的空间，比如使用第三层身份认证机制，在查询时通过人脸识别、手机验证码等进行再次验证。不过，这样“确实是可以保护得更好，但也意味着你需要提供更多的个人信息”，还需考虑个人信息泄露风险与收集个人信息的风险之间的平衡。

此外，许可认为使用的便捷性也是需要考虑的一个重要因素，“查询健康码往往都发生在进入公共场所需要进行识别的时候，如果查询时间过长，可能引起很多不便。”

对外经济贸易大学数字经济与法律创新研究中心执行主任张欣则建议明确规定允许代查的场景和条件，避免出现随意代查、滥用代查功能的情况。除了使用人脸识别进行认证外，还可允许采用其他安全认证方式防止健康码被未授权客户端访问。

采写：南都记者樊文扬 实习生程雨祺

延伸阅读：

蔡徐坤杨幂易烊千玺等七十余名明星健康宝照片泄露！官方回应

健康宝照片续：相关功能已调整，背后是十余元买明星身份证号