大数据在疫情防控中发挥了重要作用,特殊时期收集个人信息也成为常态,一些小区甚至开始实行人脸识别。问题是,这些信息到底该怎么收集处理?怎么保存保管,一旦泄露怎么追究责任?要知道,“身份证、手机号、姓名、住址,再加上生物信息,就是每一个人最全的信息了。这些信息一旦泄露,就是‘裸奔’了。”
“新冠肺炎疫情防控工作中,大数据在重点人群监测预警和统计分析方面发挥了十分重要的作用。但同时也出现了一些个人信息的无序传播,一些患者、密切接触者和外地返乡人员的姓名、身份证号码、居住地址、联系方式等信息被非法传播的案例,对个人和疫情防控工作都造成了负面影响。”
10月13日,备受关注的个人信息保护法草案首次提请十三届全国人大常委会第二十二次会议审议。10月16日上午,在与会人员对草案进行分组审议中,全国人大常委会委员刘修文提出的这个问题,引起委员们的热议。
个人信息保护立法要注重可行性
陈斯喜委员认为,草案目前一些概念还比较模糊,含义不清楚,将给实施带来困难。个人信息保护法具有可行性,关键要处理好几个关系。首先,公开信息的收集与专门采集的信息要区分开,进行分别对待。比如,已向社会公开的信息就应当允许收集;其次,公开信息与非公开信息怎么保护要有区别。比如,个人采集的信息、有关机关掌握的信息,应怎么保护?不该公开的个人信息公开了就要严肃处理;最后,要区分采集的信息是自用还是出售、转让。此外,临时采集识别与长期保存个人信息也应区分开来。比如现在一些单位、社区已经实行人脸识别,这种采集是暂时的还是永久储存,就要区别对待。“总之,这几个关系要理清楚并分门别类作出规范,法律才具有可行性。”陈斯喜说。
王超英委员认为,个人信息保护立法必须要平衡好保护个人信息和维护公共安全的关系。“这是这部法律立法一个很重要的点。”
在他看来,目前草案虽然有所涉及但还不够。疫情防控期间,大家都见到了很多收集个人信息的场景。比如在防疫最紧张的时候要进入一些地方,一定要求登记身份证、手机号、姓名、住址,实际上这4个加上生物信息就是每一个人最全的信息了。这些信息如果一旦泄露,就是“裸奔”了。
“现在还有生物识别信息,比如小区的人脸识别,这种必要性到底是什么?这些信息在这些最基层的单位到底应该怎么收集和处理?怎么在法律上规定做到收集个人信息最小化,并且应当符合比例原则,在什么情况下应当收集什么信息。这些信息怎么保存保管,一旦泄露法律责任当然有了,这些责任谁去追究、怎么追究?这些还要再研究。”王超英表示。
刘修文针对草案中应对突发公共卫生事件等情况下对个人信息保护的豁免性规定提出了意见,他表示,收集个人信息并进行大数据分析是进行高效社会管理的有效途径。世界各国在突发公共卫生事件下,采用公共利益优先原则,有限地突破个人信息保护屏障,跟踪和披露疫情信息已成为惯例。但这并不意味着“公共卫生”“公共安全”可以直接成为个人信息保护豁免的万能理由。
刘修文表示,新冠肺炎疫情防控工作中,存在流动人员同时面对流出地和流入地街道、社区、公安、所在单位等多层级、多部门的信息采集,既造成了行政和社会管理资源的浪费,也加大了个人信息管理的风险。通过细化个人信息共享操作规范,才能减少重复采集,提高应对效率,防范个人信息保护豁免情况下的信息泄露。
刘修文建议,要进一步研究如何权衡公共需要与个人权利,以划定合理的个人信息保护与利用界限。根据比例原则的要求,将个人信息的损害限定在最小范围。包括:尽可能明确突发公共卫生事件或者紧急情况下有权采集个人信息的主体;强化采集主体的个人信息安全保护意识和保护义务,以降低信息暴露风险;明确突发公共卫生事件或者紧急情况下个人信息数据共享规范和后续个人信息处理机制。
个人信息保护立法重在解决难题
全国人大常委会委员、全国人大宪法和法律委员会副主任委员周光权认为,制定个人信息保护法,不能只是单纯地在法律的种类中增加一部法律,而是要解决目前面临的难题。
“个人信息保护立法,既要考虑个人目前在日常生活中面临的问题,比如小程序、App、网页使用时个人信息的泄露等,同时还要考虑今后新的技术发展带来的知情同意方式的变化。”周光权特别提及,伴随生物信息识别技术的应用,有些单位和部门好像已经尝到了使用人脸识别技术的“甜头”。因此,人脸识别、指纹等生物识别技术的限制,也是这部法律绕不开的问题。“如果绕开的话,这部法律对未来社会治理发挥的作用就是有限的。”
同时,周光权强调,立法过程中要平衡好各种关系。“现在获得个人数据,使用App基本都是免费的,这个‘免费午餐’确实有风险,理应要加强监管,但是也不能对互联网企业一棍子打死,而平衡好这个关系是比较复杂的,这是这部法律要认真研究的。”
国家机关取得个人信息后如何管理使用
周光权认为,立法中还必须考虑国家机关在取得个人信息后的管理和使用问题。他举例说,因为内部管理制约很少、权限下放得很低,西部某地有一名民警在工作中上网获取了公民的个人信息,她的丈夫开了公司专门提供个人信息、查婚外恋,通过这种方式牟取不正当利益,后来,两人双双获刑。
“公权力如何管理好手中的个人信息,如何对其进行制约和限制,这个问题法律不能绕开。”周光权说。
王超英提出,个人信息保护法草案对国家机关处理个人信息作了专门规定,这是本法的一个亮点。但是,条文不够精准,国家机关履行法定职责范围非常宽泛,既有刑事诉讼领域的侦查、起诉、审判,也有一般行政执法领域的处罚、许可,还有社会保险、纳税、社会救助、社会福利、人口统计等。
“这些行为性质不相同,处理公民个人信息的不同的国家机关应当遵循什么样的处理规则,一致还是不一致?现在有关国家机关为了征税、行政处罚、信用惩戒、方便社会管理,共享了很多个人信息。是否都符合履行法定职责所必须?是否都符合当时声称的个人信息收集和使用规则?这些都需要进一步研究。”王超英认为,草案这方面规定得太原则,建议立法中要对国家机关共享个人信息范围、程序以及相关保存期限等作出更加明确的规定,进一步明确规定国家机关处理个人信息和个人信息共享行为。