摘要: 来源 | 新华每日电讯 在这场新冠肺炎疫情防控阻击战中,通过收集公民个人信息进行“大数据抗疫”,对控制疫情功不可没。 与此同时,疫情期间,多地爆出个人信息泄露事件,也引发公众焦虑。记者采访发现,出于防控需要,多场景“交出”的大量个人信息,既大量留存于数千...
来源 | 新华每日电讯
在这场新冠肺炎疫情防控阻击战中,通过收集公民个人信息进行“大数据抗疫”,对控制疫情功不可没。
与此同时,疫情期间,多地爆出个人信息泄露事件,也引发公众焦虑。记者采访发现,出于防控需要,多场景“交出”的大量个人信息,既大量留存于数千个App、小程序中,也暴露在商超、餐馆等公共场所的纸质记录本上。
哪些个人信息属于应收集范围?如何有效监管收集与使用,防止信息泄露?疫情之后个人信息应该如何处理?
本期议事厅邀请多位法学专家、行业协会人士,就上述话题展开探讨。
访谈嘉宾
李爱君:中国政法大学互联网金融法律研究院院长
左晓栋:中国信息安全研究院副院长
何延哲:App专项治理工作组专家
张翔:福建师范大学公共管理学院教授
洪延青:北京理工大学法学院研究员
郝智超:中国互联网协会个人信息保护工作委员会秘书长
01
公民信息泄露事件防不胜防
记者:自从用上智能手机,大多数App都要求读取手机信息、地理位置等信息后才能使用。面对信息可能泄露的风险,以及常常接到的骚扰电话,更多时候是无奈。
此次抗疫,出行、就医、消费、复工复产等多场景下,都需要登记个人信息。我对信息安全性存疑,也发现一些场所对个人信息的保护措施趋近于零,多地也发生有意无意泄露的案例。
采访中,我了解到,一名坚守一线的社区工作人员在休息时,手机放在床头充电。没想到,6岁的儿子不小心把她手机里的一份电子表格误发到小区业主群里。这张表格里面是几十位武汉返乡人员密切接触者的姓名、住址、身份证号码、手机号码等信息。要命的是,个别“热心”业主很快将信息转发到其他微信群。幸好发现及时,这份名单才没有被更大范围泄露。
不过,虽有所顾虑,我仍会如实填写像电话号码这样的个人信息。毕竟,抗疫是头等大事。不怕一万,只怕万一。不隐瞒个人信息是对别人负责,也是对自己负责。
何延哲:一般情况下,我也会如实填写个人信息。但也会担心,像超市、商场门口的记录本,几乎没有安全措施,用手机拍张照片就能轻松获取个人信息,泄露概率很高。
且不说商场、餐厅,就是大型互联网公司和大型酒店集团平时收集的个人信息,都发生过泄露事件,可以说防不胜防。小规模的个人信息泄露很多,大多是因为管理不当。只不过,大多数时候可能只是电话骚扰,不像电信诈骗那样直接危害到个人财产等。
02
至少有五类主体在收集信息
洪延青:《中华人民共和国传染病防治法》和《突发公共卫生事件应急条例》给了人民政府、卫生行政部门、疾病预防控制机构、医疗机构非常强的信息收集、发现的授权。
人民政府可以在“突发公共卫生事件应急预案”中将信息收集、发现的权力再次授权给相关部门、机构、组织,这其中就可能包括公安部门、基层一线工作人员。
以登记武汉返乡人员为例,我了解主要有三种途径:一是地方教育部门统计的武汉在校大学生;二是公安部门掌握的公共交通大数据(铁路、航空实名信息);三是政府安排村委会、街道办事处、社区的基层工作人员逐户排查上报。当然,很多互联网公司也具备掌握各地武汉返乡人员行踪轨迹的能力。
如此看来,疫情中,至少有五类主体收集个人信息:地方教育部门、公安部门、基层工作人员、电信运营商、互联网公司。
张翔:一般意义上,政府在没有得到个人授权的情况下,只能收集基础的人口学信息,如年龄、性别等。在出现重大安全事件或重大公共事件情况下,在法律上或者制度上有明确定义的情况下,才能够跳过公民个人授权进行信息收集,目前相关法律规定相对还比较模糊。
超过了基本人口学信息以外的个人信息,实际上就带有过度收集的特征,需要有更高的授权或在更高的法律规定权限下才可以收集,并且需要明确的法律界定。
03
原则性条款管不住信息安全
李爱君:收集个人信息的原则,应遵守收集使用的合法性、相关性、必要性和安全可控性。
左晓栋:加强顶层设计和统筹规划。疫情防控中,很多信息安全的约束性条款都是原则性条款,没有具体操作指南,比如“为疫情防控、疾病防治收集的个人信息,不得用于其他用途”,哪些用途算“其他用途”,有待进一步明确。
洪延青:对返乡、返工人员信息的统计和利用,最重要的是做好疫情有效防控和个人信息保护之间的平衡。
人员信息泄漏或非法披露后,相关配合登记工作的人员反而“完全被暴露”在公众视线之下,承受了巨大的心理压力,甚至可能影响其人身安全。对个人信息的保护不力,可能直接导致后续信息采集过程中,公众、机构对采集方的信任度下降,影响到防控效率、精度等。
目前各地疾病防控机构、街道社区等普遍开展走访调查工作,统计相关人员个人信息。这个过程涉及个人信息的采集、汇总、共享、披露等多个环节,每个环节都应做好个人信息保护工作,以防出现数据泄露、丢失、滥用等情形。
采集过程中,以纸质填表方式开展的走访调查,需要严格要求纸质材料不被拍照、复印,进行统一回收,妥当保管;以电子方式记录的信息,要责任到人,并保存在特定的终端,将数据加密存储。在汇总存储环节,尽可能相对集中管理和处理个人信息,采用严密的访问控制、审计、加密等安全措施。
4
基层要增强保护意识和能力
洪延青:目前,无论是传播链的追查、密切接触者的追踪,仍然主要通过人工访谈、个人回忆或回溯各种通过登记形成的记录,并手工排查的方式,不仅耗时耗力不准确,客观上还固化了个人信息的“多头收集、多头存储、多头使用”的局面。
由于收集使用个人信息的组织众多,其信息安全能力和水平参差不齐,人员的个人信息安全保护意识不一,很容易造成重复、过度、强制收集,随意流转、共享、公开等问题。
何延哲:在复工复产过程中,大家对健康码还是认可的。去饭店时,服务员查验一下健康码,这个过程没有信息的登记、泄露,但是对方也知道了是否存在潜在风险,达到了验证效果。
如果用到了健康码,又要进行详细的纸质登记,则有点违背健康码简化流程的初衷。试想如果因防控需要追溯记录,优先使用的还是大数据手段,本上记录的信息可能意义不大,填写信息可不可靠?是对是错?都无从验证,有点鸡肋,反而引起大家的担忧。
左晓栋:有些收集主体缺少个人信息保护意识,对相关保护规则理解不够。最典型的就是在进出公共场所的一些信息登记制度,填满信息的表格随意放在台面上。
部分主体还缺少技术支撑手段。信息收集、获取应该有严格的权限管理,查询也要留痕。目前来看很多基层单位在收集、使用和保存信息时,没有技术支撑手段,存在信息泄露风险。
05
让健康码具备配合登记功能
郝智超:纸质登记的泄露概率较高,但收集的信息数量少,泄露的影响小。App因为管理方便,泄露的可能性小,但里面有上万甚至数十万人的数据,一旦泄露影响更大。
何延哲:现在大多数健康码使用过程中只是展示健康状态,建议让健康码具备配合登记的功能。健康码不光颜色有用,码里还可包括基本信息,扫一下就等能达到登记效果,这样登记的信息不再散落各处,而是可以集中管理,加密存放在数据库里。现在手机号全部实名制了,一个手机号就能达到追溯的效果,没必要登记那么多信息。
当然,有些地方没有使用全国通用的健康码,其安全性有所欠缺,二维码中包含很多敏感信息,甚至身份证号码都直接显示。这说明还存在很多做得不规范的地方。国家已经在健康码方面推出相关标准,但还需在实施层面、使用方面予以落实,才能达到更好的统一效果。我们需要充分利用大数据的技术优势,形成智能化的应急指挥系统。总体来说,只要考虑充分、措施扎实、数据全面,大数据平台的安全性、可靠性是有保障的,而国家层面的大数据平台恰恰具备这些优势。
另外,疫情期间,一些仓促推出的、用于登记追踪的小程序,没有隐私政策,登记信息有超范围嫌疑。疫情暴发正值春节,需要在很短时间内完成开发紧急上线,没有考虑周到,可以理解。后来疫情防控、复工复产进入常态化,如果还没有做到合法合规,就说明个人信息保护方面重视得不够。
制定隐私政策其实并不难,因为小程序功能简单,数据的用途单一。哪怕纸质记录本也能注明:这个信息是交给谁的,疫情过后就会删除,或统一保管,请您放心填写。这样简单的事,却没有商家去做。现在看,很多基层一线人员可能还没有这样的意识。事实上,加强个人信息保护和疫情防控事实上并不矛盾。
06
蓝牙方案是否可行值得探讨
洪延青:我国几乎全民手机上网。手机和App已成为绝大多数人的生活必备品,这为利用大数据助力疫情防控提供了可能。
手机基站位置信息所覆盖的地理范围在城市中约为100-1000米之间,因此在精确度需求较高的接触追踪中只能起到辅助判断的作用;利用GPS等技术手段,其范围缩限到5-10米之内,虽提高了精确度,但易受室内等复杂环境的影响。且由于GPS信息涉及用户隐私的敏感性较高,掌握该信息的公司不愿共享等问题,导致大量、普遍使用GPS信息存在事实上的困难,以及较高的法律和安全风险。
个人认为,开展病毒传播链的追查、密切接触者的追踪、个人健康风险判断,可通过手机蓝牙方式(利用其低功耗的广播及短距离通信特性)实现。
蓝牙方式记录密切接触者,直接服务于实现病毒传播链的追查、密切接触者的追踪。蓝牙方案不需记录个人的地理位置信息;确诊人的身份信息也不会泄露;在互联网上传输的均为数字形式的ID,并非明文的个人信息,但要依赖足够多的人安装App并打开蓝牙。
何延哲:蓝牙追踪的方式很好地解决了保护隐私和追踪之间的矛盾,安装该程序的人可以实时记录周围接触者,但不会造成被记录者身份泄露。只有当某一个人确诊后,将有关数据上传,再由授权机构进一步分析、通知等。但是,有一点问题可能还需要考虑和研究,蓝牙方式如果强制推行,在当前复工复产过程中,公共交通、商场超市等环节会在蓝牙范围内出现大量人员,稍加积累就会形成海量数据,甚至根据接触链条推断,跳转几级之后,一个人可能接触的人员会呈指数增长。怎么从大量数据里筛选出有用的数据,也是件头疼的事。还需深入研究,提取参考价值高的数据,并与健康码相关数据配合使用更佳。
07
建立信息安全管理责任制度
李爱君:防止信息泄露,一是应依法收集个人信息;二是应建立收集个人信息的安全管理制度和责任制度,如收集、存储的方式,安全的标准等;三是建立收集信息的范围,应坚持最少够用原则;四是国家应建立统一收集、存储信息的平台,以免收集主体过多,造成过度收集或重复收集;五是在制定收集、存储和利用信息管理制度时,应全面考虑国家安全的问题,因为疫情期间的个人信息也涉及国家安全问题。
洪延青:第一,明确具有收集使用相关个人信息权力的指挥机构、执行机构,并明确相关工作的启动条件和流程规范,按需调取,责任到人;第二,建立统一集中管理机制,运用去标识化、加密等措施对数据进行预处理,在数据关联分析过程中不指向个人身份,在锁定存在风险的对象后,再进一步进行身份重标识处理;第三,大数据关联分析结果可主要用于监测疫情态势,涉及触达相关人员需审慎;第四,采用严密的访问控制、审计、加密等安全措施,防止数据泄露、丢失、未授权的使用;第五,做好疫情退散后数据处理的方案。
张翔:我国收集的公民个人信息管理,第一,应该将收集来的信息进行定密处理,而不是按照一般的信息进行储存。泄漏信息之后也按照泄密进行处理;第二,有些个人信息收集的工作是交给公司做,政府机构对公司的数据结构化过程应该有完善的规范体系,信息的结构化流程应该有清晰的制度规范进行监管,以及对相应的违法行为进行惩戒。从目前来看,这部分制度的建立和完善还有很大的空间值得挖掘。
08
疫期收集的信息该如何处理
李爱君:国家应制定疫情结束后的个人信息储存和销毁的具体措施,以免发生个人信息泄露、非法转让。
洪延青:在个人信息使用过程中,需要做到专采专用,严格限制于疾病防控目的,不得挪作他用,并且在疫情防控结束后按照规定予以删除。
张翔:疫情期间收集的信息,应设置保留时限。根据不同的信息,保留三到五年,并且在保留过程中进行定密处理。
何延哲:已经收集的海量信息,第一,要保护好。该加密的加密,只有个别权限的人才能碰到;第二,不能随意共享,目的要明确,只用于疫情防控和复工复产。只能交给上级部门批准有明确目的的机构,对外提供记录时要留底;第三,要做适当删除和销毁工作,或者预销毁,降低泄露风险。第四,在登记环节能否做些标准,比如不登记身份证,只登记手机号。健康码上再附带配合登记的功能,做一些优化。
从疫情防控看,信息一般追溯14天或者21天。21天前的数据其实意义不大。实际上,没有多少登记人员会把21天以前的数据销毁。疫情防控期间,有关部门反复强调最少够用原则,既包括信息收集最少,也包括留存时间最少。能否逐步删除过期或无用信息,疫情防控结束后销毁或移交相关信息,是检验整个疫情防控过程各个环节个人信息保护工作是否扎实有效的重要指标。这个指标有必要反复强调,也有必要检查核实。
09
公众信息保护意识正在觉醒
何延哲:公众的个人信息保护意识,用一个词表述比较准确——正在觉醒。不好也不差,处于不断提升阶段。国家监管部门越来越重视,老百姓和媒体越来越关心,这两年可以看到进步比较明显。
就从App隐私政策这个典型事情来看,在2017年以前,10个App里,可能只有一两个有隐私政策。但今天来看,大部分App都有隐私政策,这是法律法规逐步完善、监管工作持续推动的成效。推进个人信息保护,规则的透明化是第一步。当然,不是说有了隐私政策就一定安全,起码在这方面,企业有所重视,同时很多双眼睛也会盯着,说到的就得做到。
但是,不少人连最基本的互联网常识尚不掌握。最近有个公益答题“哪个选项起不到实名制效果,姓名、手机号、身份证?”80%的答案选了手机号,认为姓名比手机号敏感。这源于对采用手机号进行“前台匿名、后台实名”机制不了解,所以我们需要持续推动提升公众的互联网知识和素养。
张翔:公民个人信息保护意识,经过此次疫情肯定会得到提升,但是在短期内、在基本面上,公民对于信息保护的意识,相对来说还是比较低的。
信息泄露造成对公民个人影响的案例还是偏少,没有构成重大的社会影响力,社会民众的意识还没有积累到迫切要改变的程度。
10
个人信息保护立法值得期待
左晓栋:目前,个人信息保护法草案稿已经形成。当前,个人信息保护领域的乱象有两个原因,“九龙治水”和处罚不够。因此,个人信息保护法必须明确主管部门,并参照国外数据保护专员办公室的设置,对该主管部门给予足够授权。
何延哲:未来立法完善之后,企业责任意识、震慑犯罪的效果等等,都会进一步加强,广大民众的合法权益将进一步得到保障。
在数字时代,个保法的出台,将会给数字经济的发展方向奠定基调,那就是依法保护个人信息在网络空间的合法权益是根本,网民的获得感幸福感安全感是目标。这个导向非常重要。
除了立法,同样重要的是,需要塑造数字时代的价值观。有专家提到,通过收费的方式,能让个人信息滥收滥采这些行为降低,但今天要网民接受收费模式很困难。
天下没有免费的午餐。不收费的服务,会导致商家通过其他手段变现,弥补经营成本,这就不可避免要收集信息。用户不愿意自己的信息被用来画像,但又不愿意付费,这种矛盾很难调和。
事实上,很多互联网公司经营理念、发展模式都高度依赖个人信息的收集使用,而用户的思维定式和消费习惯已形成。如果贸然采取收费模式可能会导致经营困难、用户流失。因此,还需要通过各种引导措施慢慢改善生态,才能真正将个人信息保护和数字经济发展之间的关系处理好。