红码事件,大家听说了吗?

事情也不复杂,前几天不少在河南村镇银行存钱的储户发现自己的健康码突然变红。



这事情最夸张的不是这些用户没有接触过任何的高风险地区,而是连远在深圳、广州等地的储户都莫名变红码。

最离谱的是,有个用户只存了5毛钱,一样「被红」了。

事情曝光后在网上立刻炸锅,心细的网友发现这红码还挺挑人,不是储户就没事。

这种精确到如同制导炸弹一样的红码让人不寒而栗。

结果一波未平一波又起,储户的事情还没给解释,又轮到烂尾楼业主了。

郑州融创中原大观的业主估计这辈子都想不到维权还能殃及自己的健康码。

据媒体报道,业主们只是去相关部门维权了一下,直接全员红码..

更魔幻的是想恢复绿码还得在保证书上签名。

保证书里头除了常规的防疫要求外还特地加多了一条:不再去有关部门。

相关部门什么时候成为了「高风险」区域?

这不是明摆着不让维权吗?

老徐我查了下开发商融创暴雷欠债7亿多,这小区从去年11月就停工了,拖了半年多不声不响。

业主眼看自己的血汗钱进了无底洞,投诉无果的状态下,拉起横幅做最后最无力的抵抗又何错之有?

他们是违法了吗?



甚至不止是这个小区,几乎所有郑州烂尾楼盘的业主都发现自己变了红码。

而据老徐查到的数据,郑州去年就有三成房地产项目出问题,这得有多少人受牵连?

原本我意外给储户红码这事情已经够离谱了,没想到连烂尾楼维权业主都要千里红码。

感情健康码的另外一个作用是维稳啊!

这件事从地方媒体到各大官媒党媒都在批评,侠客岛甚至直接用了「谁下令的红码都得负责」的标题。

可是,没用。

问是谁在私自赋红码?不清楚。

问哪些部门有权利赋红码?不了解。

不是互相踢皮球,就是给一个敷衍式的回应。

例如银行储户被赋红码,当地解释是信息库出问题,好家伙,这BUG居然还能精准打中每个和河南乡镇银行有关系的储户。



甚至远在深圳的储户或是才踏入河南半步的人都能给准确制导。

这种bug出的,连导弹都得自愧不如。

如果说你以为这次是河南的「无心之举」,那我只能告诉你,根本不是。

河南的防疫一直都是出了名「垃圾」。

类似年初恶意返乡这个词,就是河南周口某县领导发明。

在懒政这条路上,河南各市出奇的一致。

低风险返乡的?一律隔离。

北京部分地区有疫情?从北京返乡的一律集中隔离,不查流调,不看核酸结果,隔离就完事了。

不仅如此,市级和县级甚至到村镇的政策还不一样,譬如今年就有许昌人返乡,市里规定绿码+核酸阴性不用隔离,结果到镇上成了14+7。

不止懒政,还很形式。

比方驻马店某个空气监测站担心农民收割小麦会有扬尘污染,解决办法竟然是要求农民不要开收割机,有农民家70亩小麦,全得用手割..

就这样的防疫,老徐算是能理解为什么他们敢拿健康码去维稳,简直是无法无天了。

更甚至,有网友曝光,河南洛阳只要某社区无上访用户即可中考加分。



直到舆论发酵后,当地才说觉得不妥,取消此政策,但是据媒体披露,已经有几十个学生享受了此政策的加分。

这一招,真的狠。

设想一下如果你是举报人,你会冒着同时招惹地方政府和邻居的风险下去上访吗?

一旦你去了,你还能回小区吗?邻居们不会排斥你吗?

甚至,不会打击你吗?

河南洛阳的领导,真的太「聪明」了。

毕竟,官方数据显示河南每年光信访数量就在60多万件,平均每周1.25万件,位居全国前列。

在群众不断举报之下,最近三年,河南光落马的市委书记就有11个....

解决不了问题就解决提出问题的人,原来河南这是老传统了呀,难怪这次都敢对健康码下手。

这「创举」直接把国家的防疫至于不义之地,令百姓对防疫产生强烈的不安全感。

原本健康码建立的初衷是抗疫,本身就涉及百姓的隐私问题,百姓愿意让渡这部分隐私权是出于对政府的信任。

结果现在成了当地拿来压制民意的武器,成了电子手铐。

这已经是在无限透支公信力啊!

让老徐我最意想不到的还是郑州这波操作,全国人民都在盯着你,你还敢继续搞加码,简直是到了丧心病狂的地步。

即使如此多官媒党媒下场点名批评,河南仍然可以给出「找不到原因」的理由。

说实话,老徐真的惊讶。

我没想过今天的舆论监督居然会有如此弱势的一天,河南这操作简直是无法无天。

我服气,我也害怕。

到底他们的底线是什么?为什么可以动不动就让人红码?健康码的bug真的那么精准,直击到维权人士。

这一切的答案,河南真的不该出来回答吗?

相关报道:初步定位了河南储户红码事件的责任部门

声明: 本文系根据公开信源和专业知识,对河南储户红码事件进行的技术分析,尽管合乎逻辑,也有数据支撑,但仍不代表确定性结论,仅作为舆论监督的补充。



当河南12345说「河南储户被赋红码」可能是大数据的问题时,我就觉得不对,这个借口是把老百姓当傻子忽悠。现在的大数据更多进行风险识别和预警,完全不能取代人工操作。

疫情管理系统可以给满足某些条件的居民批量赋黄码,例如3月21日从外地来郑州的旅客,一律赋黄码,这个逻辑,工程师是可以写出来的,也可以采用导入表的方式更新健康码信息。但是想批量赋红码,那就必须满足相关约束了。

按照2021年8月发布的《河南省健康码赋码规则[1]》,赋红码只有「境外来豫人员」、「阳性或密接」、「集中医学隔离」、「出院后居家观察」四种情况,而且需要在系统中录入赋红码原因。





所以我们看见记者的报道中,储户都纷纷反应自己被赋红码的原因是「境外来豫人员」,因为其他三种情况,都是需要疾控中心确定的,只有境外来豫人员这个选项,是外来人员需要向所在社区报备的。

大家有没有觉得看到一点线索了?但是这个证据链还不够。

谁赋的红码?

在《河南省健康码赋码规则》的第六条提到,如果是被大数据识别的时空伴随人员、重点区域驻留人员、中高风险区人员,会被认为风险较高,但是他们会接到提醒短信。



而我看了这么多对储户的采访,没人提到收到过提醒短信,而是直接红码,这就说明红码储户不是「互联网+监管平台」识别出来的风险人员,基本上排除了省里的责任,初步判定是郑州市某些部门进行赋红码操作的。

记者对河南省厅的采访也证明了我的判断(来源:哪个部门给储户赋“红码”?河南省卫健委、省市大数据局回应_河南卫健委调查储户被赋红码_防控_疫情[2])



赋红码的范围是?

请大家看下图,某村镇银行的储户说,卡里只有两毛钱,但是也被赋了红码。这个关键信息说明,赋红码的一部分数据底表是储户名单。(来源:“卡里就两毛钱,健康码红了3天”|河南省_新浪财经_新浪网[3])



在报道《河南“被红码”事件始末:此举被指违法 多方回应“不清楚”情况_郑州_储户_艾女士[4]》还提到,有储户自驾或高铁到郑州的,在高速口/高铁站扫码后,健康码直接变红,这就说明赋红码的单位或个人,已经提前给这些人以身份证号为主键,赋了红码。

根据这个报道,一位家住北京的储户,因为在出发郑州几天前,扫描微信群里的郑州火车站登记二维码,登记了防疫信息,随后显示为“红码”,赋码原因也为“入境人员”。

注意,如果这个北京储户没有登录过豫事办,没有注册河南健康码,那郑州方面是无法直接给他赋红码的,理论上郑州方面可以把北京储户设置为风险人员,这样在进入河南时,只要扫码,也会直接红码的。

但是北京储户已经申请了河南健康码,然后被赋红码,说明赋码单位还能够拿到防疫电子围栏的入豫报备数据。

我们看这张图,我红色标识出来的流程,应该就是外地储户被赋红码的流程。

来源:2022年3月颁布的《河南省新冠肺炎疫情防控哨点工作指南[5](试行)》



电子围栏实现入豫返豫的报备等级,和入豫返豫人员的精细化管理,在指南里对赋码写得非常清楚:

省平台收集报备信息后向各地推送,对入豫返豫人员的风险情况进行分析研判,并将分析结果下发地市,同时根据省市两级疫情管控要求对有风险的入豫返豫人员采取健康码赋码等措施。

这个平台还想各级疫情防疫人员提供了数据查询功能,这就更方便某些人搞小动作了。



所以,这个利用系统漏洞给所有河南村镇银行的储户赋红码的单位或个人,一定是有能力拿到全部储户名单的人,目标范围已经被划得很小了。

互联网+监管平台

除了这个电子围栏之外,在《河南省健康码赋码规则》的第六条还提到「互联网+监管区域协查工作平台」。

这个同样引起了我的好奇心,于是我在河南政采网上找到了一份《开封市“互联网+监管”平台建设项目(二次)-招标文件2021.1.14[6]》

建设目标:以监管数据共享为核心,构建各类型风险预警模型,实现及早发现防范苗头性和跨行跨区域风险;

建设功能中,在监管数据中心里,包含了监管对象信息库,还有风险预警信息库。这些数据库里都有什么呢?



在报道河南“互联网+监管”系统正式上线一年 “一网通管”都管啥?大数据都干啥?[7]中写得非常清楚:





所以,河南村镇银行400亿存款提不出来,配不配进入监管对象数据库和风险预警信息库?血本无归的储户,有没有资格进入这两个数据库呢?我个人是不知道的。

一种推测

在《河南省新冠肺炎疫情防控哨点工作指南》第十五条中,提到了区域协查工作,很可能就是这次违规操作的漏洞来源。



因为,赋红码的环节明显属于「落实核查风险人员的职责」,这个工作,是由公安部门负责和公共卫生、社区人员共同落实的。相互配合对风险人员实施居家隔离、集中隔离等措施。按照指挥部要求,落实协查信息推送职责。(注意信息推送四个字)。

除此之外,卫生健康部门与公安部门配合,按照三公流调要求开展落地核查工作,判定待协查人员的风险类型、风险等级、波及范围、核酸检测等工作。负责制定健康码赋码、转码规则,按指挥部分工要求指导技术部门开展赋码、转码工作。

再结合报道《“卡里就两毛钱,健康码红了3天”[8]》中的信息,说明公安部门是知情的。



健康码谁管?

我用fiddler抓包了豫事办APP,豫事办页面指向yshb.hnzwfw.gov.cn:7777;



当我打开健康码的时候,健康码的登录页指向login.hnzwfw.gov.cn:443,而hnzwfw.gov.cn的备案信息是豫ICP备10005452号-9,备案主体为河南省发展和改革委员会。

域名IP地址是117.160.221.251,是一个平顶山移动的IP,这个IP绑定了所有河南省健康码的服务[9],我们能看到有一堆河南各市的健康码域名。比如zz-jkm.hnzwfw.gov.cn,看名字就知道是郑州健康码的服务。



从这个机制来看,117.160.221.251应该是一台负载均衡器,把流量根据来源再分配到各地市,这个机制跟广东的粤省事是一样的。



从这张图上可以看出,郑州健康码一开始用的是42开头的域名,在2021年12月29日,郑州健康码被整体的豫事办健康码取代了,服务迁移到了平顶山的负载均衡器上。

所以,河南省大数据管理局只是一个技术部门,负责按照公安部门、公共卫生部门、社区人员确定的赋码规则进行赋码,也证明大数据不背这个锅。

最可能的推测

1、河南4家村镇银行的存款问题,可能已经上了互联网+监察的风险信息库和监管信息库。

2、所有在河南4家村镇银行开户的储户,不管存款余额多少,其健康码均被赋予红码,所以只要到了河南,扫码就会变红。

3、与储户同行来到郑州的人员,并不会因为同伴是红码而导致自己变成红码,说明不是大数据出的错,而是通过修改器改出来的红码。

4、违规赋红码的单位或个人,能够拿到所有储户的姓名、身份证号底表;很有可能通过「区域核查机制」和「电子围栏机制」,将储户强行赋红码,并通过同步机制,写入省平台的前置机。

5、在赋红码的四种场景中,只有「境外入境人员」是不需要公共卫生部门提供核酸检测证据的,所以储户的赋红码原因都被设置为「境外入境人员」。

6、省平台健康码前置机域名为zz-jkm.hnzwfw.gov.cn,IP为117.160.221.251,应该是一台负载均衡,绑定了全省各市的健康码。

7、他们没想到的是全国健康码已经联动了,市里给储户赋红码,导致河南省给储户赋红码,然后通过全国联动机制,储户在住处地也变成了红码,可谓虽远必「朱」,然后事情搞大了。

8、学好不容易,学坏一秃噜。幸好以前全国健康码没有联动。证据是《继河南村镇银行后,郑州多家地产公司也给业主赋红码?社区:转绿码先写保证书[10]》,理由也是入境人员。



追查起来也非常容易,赋码这种操作,都是有数据库操作记录的,只要回溯是哪个IP、哪个账号提交的人员风险协查结果,就直接真相大白了。

这个事情,河南省大数据管理局的技术团队,应该半天就能搞定吧?

国务院联防联控机制综合组在2021年1月印发《新冠肺炎疫情防控健康码管理与服务暂行办法》(下简称暂行办法),该办法明确要求,各地要严格健康码功能定位,不得扩大应用范围,切实防止“码上加码”。

暂行办法第二十四条也明确,加强个人隐私保护,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。

反正,我们搞大数据的,不背这个锅。