行程卡删除用户数据，删了什么？真删假删？

在官宣下线之后，网友们纷纷晒出了自己最后一张行程卡截图，在对崭新未来充满期望的同时，也向过去三年的时光挥手告别。

在此之前，中国电信、中国联通、中国移动三大运营商先后表示，将按照《数据安全法》《个人信息保护法》等有关法律规定，自“通信行程卡”下线相关服务后，同步删除用户行程相关全部数据，依法保障个人信息安全。

而在12月13日当天，中国信通院也发布通告表示，在提供行程卡服务过程中，中国信通院不存储用户个人行程数据，在此期间产生的运维数据滚动删除、销毁。同时在行程卡下线后，已经已经按照有关法律法规规定，同步删除了行程卡相关所有数据。

事实上，当行程卡成为历史后，此前存储在其中的用户数据如何处理，会否造成信息泄露，确实成为了许多人关心的问题之一。而三大运营商此举，不仅是《数据安全法》《个人信息保护法》生效后国内最大规模的数据删除，似乎也同时是向公众做出了答复。

那么，我们的个人信息是否安全了呢？还是会存在其他隐患？

既然要关心我们的个人信息是否安全，那就要先搞清楚行程卡的数据都是什么数据，是如何产生的，和运营商有什么关系，“行程卡相关数据”和原始数据有什么关联。

作为最初支持疫情防控的技术手段之一，行程卡是工信部组织中国信通院和移动等运营商推出防疫专用的公益性应用。通过用户手机所处的基站位置获取，为全国手机用户免费提供的查询服务。

移动通信中，获得用户位置信息有几种方法：

1、信令数据，即使手机没有通话，也会和基站建立连接，而基站是有位置坐标的，根据所连接的基站、扇区以及信号强度，就可以大体圈定手机所在的位置，这是信令定位的原理，当然，还有三角定位等手段；

2、话单数据，不管语音通话还是数据流量，都会产生“话单”，话单中就包含有LACSI信息，就是基站和扇区号，根据这个也可以做到定位。

而这些数据叫做“原始数据”，也就是行程卡数据产生的前提。

在行程卡的工作过程中，“当手机用户同意授权、发送查询请求后，通信行程数据后台服务器核实身份和请求，转发请求至对应的运营商，运营商再提取过去用户开机时关联过的基站所属地区，再返回数据”。

虽然目前并不确定行程卡数据到底来自于信令数据还是话单数据，但可以肯定的是，行程卡相关数据是对“原始数据”的一个加工处理结果，也就是一种“结果数据”。

原始数据自始至终都保存在运营商的数据库中，行程卡只是相当于一个服务引导的入口和信息展示平台，只产生部分行程相关的数据，不保存数据，也不存在直接泄露个人信息的风险。

有业内人士表示：行程卡基于基站定位的原理，数据的处理和存储都在运营商，不同运营商采用的技术方案不一样。即使没有行程卡，相关的数据也是一直存在的，所以不存在行程卡下线后数据处理的问题。

根据此前南方都市报了解到的信息来看，本次删除“是将为了行程码单独记录的一部分信息，比如轨迹信息进行销毁”，用户原始数据会继续按法规保留。

因此，说白了，行程卡删除数据，删的是因行程卡的服务而产生的“结果数据”。除此以外，像姓名、手机号等原本就存储在运营商数据库中的原始数据，并不会同步删除。这一点我们必须要搞清楚。

既然如此，行程卡还有必要删除数据吗？为什么非得删除？不删行不行？

根据《个人信息保护法》第四十七条规定，凡是“处理目的已实现、无法实现或者为实现处理目的不再必要”以及“个人信息处理者停止提供产品或者服务，或者保存期限已届满”的情形，个人信息处理者都应当主动删除个人信息；如果没有主动删除，用户有权请求删除。

所以，虽然只是行程卡单独产生和记录的一部分数据，比如轨迹信息，作为个人信息处理者的三大运营商要还是必须要依照法律将这部分数据删除。

也许有人会问：为什么不能一口气都删了？

这事真不是我们想的那么简单。举个最简单的例子，根据《网络安全法》第二十一条第三款，“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”，按照这个规定，新近的行程卡后台数据就至少还得再储存180天。

正因法律要求，所以数据必须删除；但也同时因为法律的要求，所以数据不能说删就删、想删就删。即使是我们眼中的“这么一点”数据，执行起来也没有那么容易。

那是不是就代表着这次三大运营商郑重其事地删除数据其实并没有什么太大的意义？当然不是。

上海段和段律师事务所合伙人刘春泉表示，三大运营商主动删除用户数据，可以算得上是《网络安全和》《个人信息保护法》生效后的标志性事件。这反映了自2012年全国人大加强网络信息保护决定生效以来，我国保护个人信息的重视程度逐步深入，从少数专业人员的呼吁逐步转化成为社会共识和政府企业合规动作。这是在网络电信诈骗等侵害个人信息造成重大社会损害的背景下，用极大代价换来的凝聚共识，是非常不容易的。

安信证券信息安全总监李维春表示，这次三大运营商删除行程卡数据，并积极通过媒体发声，既是对国10条的积极响应，也是对《数据安全法》《个人信息保护法》的认真贯彻落实；同时还通过这样的行为再次向广大人民群众普法，是个非常棒的举措，彰显了央国企在落实个人信息保护领域的企业责任感。

当然，作为普通公民，姑且不谈三大运营商删除的是什么数据，我们更加关注的其实是数据到底是否能真正删除。因为在公告发出之后，就已经产生了很多质疑的声音：

“你信吗？反正我不信。”

“肯定不会删除。”

“删除？呵呵我笑了。”

结合行程卡数据与原始数据之间的关联，以及某些数据被删除后可能会对业务产生的影响，有信息安全专家猜测，三大运营商大概率不会直接通过“服务器物理灭失”的方式对相关数据进行彻底删除。也就是说不是一个简单的“Delete”，数据“唰”的一下就没了。

而此次对外宣称的“删除”，最终很有可能是通过“禁止用户对公网访问”的方式来实现。说白了，反正你用不了，自然也就不知道我到底删没删。

法律专家表示，目前《个人信息保护法》的条款围绕行程卡退出机制，缺少行政部门或第三方独立机构的监督。也就是说，用户个人基本上难以发现是否从根本上删除，只有删除后由监管部门核查，才能有效地保证信息的处理者真正做到删除义务。

所以，无论是此次删除，还是后续进一步对于行程卡用户相关数据，甚至是健康码数据的处理，想要保证数据安全，保障公民个人信息安全，监管监督至关重要——老百姓需要一双正义的眼睛。

《新京报》为此评价，除了要求运营商、服务商尽快自行销毁处理行程卡相关用户数据外，相关部门还应组织专业人员对其处理结果进行全面检查，加大异体监督力度，防止出现运营商、服务商为了自身利益所需，对用户信息没有做到“应销尽销”的现象，通过加大过程和结果监管力度，确保行程卡用户数据销毁无死角。

但我们不得不承认的是，对于数据“一刀切”式的暴力删除并不现实，也不合适，因为数据处理远比我们想象的要复杂更多。

安言咨询总经理董永乐表示，不难猜到，想要真正实现“销毁”并不容易，因为数据会有很多副本。作为切身利益相关的用户，大家当然都希望自己的数据能够被真正销毁，不留下任何一个副本。

所以，从安全咨询顾问的角度出发，他建议围绕“行程卡”的相关运营商、服务商，能够在这个过程中向公众披露销毁工作的方法、过程记录，以切实履行《个人信息保护法》规定的数据处理者所尽的义务。而各行业也可以从这个事情中吸取经验，提前规划数据生命周期中最后一环，确保对业务不再贡献价值的数据得以妥善销毁，不损害数据主体（比如行程卡对应人）的法定权益。

笔者也认为，就如同大禹治水“堵不如疏”一般，在数据难以短时间内彻底销毁的当下，我们应当更加关注对既有数据的储存和保护。处理者务必要对数据尽到最大的责任，切不可发生数据泄露；同时监管机构也要起到积极的作用，保护好老百姓的信息安全。

那么对于三大运营商而言，在此次数据删除的工作中，应当特别关注哪些问题，才可以确保安全顺利地实现。

红途科技创始人刘新凯表示，按照相关法律法规的规定和要求，数据销毁需要处理者分成三步来进行操作：

1、确认数据的分布

2、针对个人敏感数据或标识，进行删除

3、保留操作的记录报告，供执法机关或客户进行查验

然而从实现来看，每个步骤都需要特别注意。

首先，数据本身从原始数据的采集、加工、存储、调用到再加工，会在不同应用系统的各个环节，不同的消息中间件及数据库以及大数据平台之间进行流转，数据的流转链路到底是什么样，完整的分布是什么情况，从根本上决定了后续动作覆盖的完整性。

其次，很多时候数据在不同的应用、数据库、大数据平台之间是有调用关系的，一个数据的删除，是否会对系统有影响，是否会对下游的其他计算有影响，需要对数据被调用的应用API进行全面的梳理，才能避免数据删除对于业务的影响。

第三，目前数据处理者通常还没有意识到保留操作记录报告的重要性，但这一步却非常关键，这是数据处理者自证清白很重要的一点，国外经常会通过第三方证明的模式来保证公正性。

因此，作为数据安全专家，他建议：从长远来看，不仅是个人数据，还有企业经营数据、重要数据，都需要进行全面的数据隐私治理摸底。对于动态运营过程中的数据流转链路，使用数据的人、系统、数据库进行关联和分析，做到数字资产心中有底，才能更好地做好数据隐私合规工作，提高组织的能力及竞争力。

对于三大运营商，这是一次建立公信力，与公民之间建立信任度、安全感的重要机会。所以一定要严格按照《个人信息保护法》第四十七条的规定，再通过完备的技术手段对数据进行彻底处理，才能够让行程卡数据伴随着行程卡的下线一同画上句号，才可以让公民对更加长远的个人信息安全不再担忧。

虽然此次删除的数据范围有限，但从三大运营商第一时间跟进和响应的态度来看，足以表明国内企业机构对于数据安全和个人信息保护意识的提升。这使得公民可以强烈地感知到法律法规对于我们如此近距离的保护，也让我们从个人隐私和个人权益的角度，感受到了前所未有的尊重。

那么，对于同样作为数据处理者的企业用户而言，三大运营商此次的举动无疑有着重要的参考意义。

李维春认为，三大运营商此举给国内企业树立了一个很好的典范，也希望国内企业借此机遇，认真贯彻落实《个人信息保护法》的各项要求，把保护客户数据、保护个人信息作为企业基业长青的重要举措。

同时，通过这次事件也可以看到，企业安全工作做的好不好，公开、良好的舆论监督环境是非常必要的。国内后续可尝试通过监管、媒体或其他权威渠道对企业的安全工作进行监督、评价、公示，形成群防群治的安全局面。

而从整个中国网络信息安全行业视角出发，此次删除对于个人信息保护意义重大。

北京赛博英杰科技有限公司创始人谭晓生表示，电信行业是国内对数据安全最关注的行业之一，从2019年开始就陆续出台了《电信和互联网行业提升网络数据安全保护能力专项行动方案》《电信和互联网行业数据安全标准体系建设指南》《基础电信企业数据分类分级方法》《基础电信企业重要数据识别指南》《电信网和互联网数据安全评估规范》等，是在数据安全治理方面走在最前列的行业之一。

通信大数据行程卡在新冠疫情防控中起到的巨大作用毋庸置疑，在新冠防控策略调整的今天走下历史舞台也非常正常，运营商在此时宣布删除通信行程卡用户数据说明运营商数据安全治理工作做的到位。

随着行程卡的下线，“健康码”将何去何从也成为了人们关注的话题。随着疫情防控举措的不断优化，更多“码”的下线可能只是时间问题。

与行程卡的用户数据相比，其他“码”记录的数据可能量更大、类型更全面、敏感信息也更多。特别在此前的管控工作中，广大基层非行政主体、编外志愿者、物业、保安等都或多或少地接触到了这些数据，并可能对其进行了收集和传播。

所以，在各种“码”下线之前，我们必须要尽一切可能做好数据流转路径的调查，不要让这些数据成为电信诈骗、广告推销的新“客源”。希望此次对于行程卡的数据删除，以及后续进一步对数据的处理，能够成为在疫情防控举措不断优化的当下，主体单位必须要面对数据处理时可以借鉴的模板，更好地保护我国个人信息安全和数据安全。