闵婉
摘 要:数字化技术飞速发展的信息时代,个人信息安全面临着严峻的挑战。尤其是在疫情防控的特殊社会形势下,由于公民的身份、行程轨迹等个人信息在政府精准防控疫情的举措中具有不可替代的作用,与之相应,个人信息被过度收集、不当使用以及非法泄露的风险也必然大大增加。为应对疫情防控形势下个人信息保护的特殊困境,政府、相关企业和行业以及广大公众都应当从自身出发,不断增强个人信息保护意识,提高个人信息保护能力。
关键词:疫情;个人信息;保护
一、我国个人信息保护的现状
在数字化技术飞速发展的信息时代,信息正成为一种重要的社会资源,可以创造巨大的商业价值,用户的个人信息是经营者展开精准营销的重要依据,在这样的时代背景下,个人信息成为一些不法分子手中可以交易的“商品”,个人信息安全面临着严峻的挑战。一方面,对侵权人来说,侵犯个人信息权成本低、收益高,从而导致各种违法收集和使用个人信息的行为无孔不入,从垃圾信息到隐私曝光,从身份盗用到网络诈骗,这些网络上司空见惯的违法犯罪行为无不起始于个人信息的违法收集和使用。另一方面,对信息主体来说,个人信息的自力保护变得越来越困难,大数据背景下,功能强大的数据处理系统使得信息的收集和处理变得更加便捷,更加隐蔽,大量看似零散不可识别的个人信息数据经过计算机系统的自动分析和整合,最终转换成为可识别性的信息数据,在权利人毫不知情的情况下被滥用,权利人对此根本无从防范。加之云计算技术的日益进步,使得互联网传統边界逐步消失,各种数据遍布于网络以及云端,数据泄露的风险不断加剧。上述两方面的原因共同导致了当前侵犯个人信息违法犯罪行为屡禁不止,严重破坏了网络社会的安全和秩序,也严重损害了信息主体的合法权益。
二、疫情防控形势下个人信息保护面临的特殊困境
首先,在当前疫情防控的特殊形势下,政府职能部门需要依托各类社会力量参与疫情联防联控的各个环节,大数据、云计算等数字技术被广泛运用于疫情监测分析、病毒溯源、患者追踪、人员流动、社区管理等环节。例如,通过让公众扫码通行的方式可以充分掌握特定时段、特定区域的人员流动情况,一旦发生疫情,政府相关职能部门便能精准迅速地定位密切接触者;又如,通过对特定人群进行核酸或血清检测的方式能迅速在人群中甄别感染者。这些措施的实施均能有效助力政府防疫机构在发现疫情后第一时间切断传染源,及时控制疫情的进一步扩散,但另一方面,这些防疫措施的实施均以政府职能部门对公众的身份、行程轨迹、检测结果等个人信息的收集和使用为前提,与之相应,各个疫情防控环节中个人信息被过度收集、不当使用以及非法泄露的风险随之大大增加,个人信息保护工作面临着更为严峻的挑战。
其次,疫情防控形势下,广大民众对疫情发生和发展的相关信息极为关注,而对于保护他人个人信息的意识却相对淡薄,导致全国各地涉疫个人信息被非法传播的案件屡禁不止。据法制日报报道,2020年2月1日,内蒙古鄂尔多斯的王某擅自将涉疫情排查人员名单转发至3个微信群,致使公民个人信息泄露,被处以行政拘留十日;2月6日,广州市公安局发布通报称,郑某将多名曾乘坐某邮轮的游客名单(含个人信息)发送给朋友叶某,后叶某又将上述游客的个人信息转发至其所在小区的业主微信群内,二人分别被处以500元罚款。类似事件并非孤例,据公安部统计,截至2020年4月15日,全国公安机关共处罚网上传播涉疫情公民个人信息违法人员1522名。
最后,疫情防控形势下,居家政策的广泛实施也极大地改变了民众的工作和生活方式,为了满足民众居家办公、学习和生活的实际需求,大量提供在线学习、直播课程、远程办公、视频会议以及团购服务的应用软件或小程序应运而生,导致个人信息的收集主体大量增加,这些应用软件在安装、注册以及使用过程中均涉及个人敏感信息的在线传输、存储和处理,而相应的保护个人信息的监管机制尚未建立健全,个人信息的过度收集和无序传播变得更加难以控制。相关评测结果显示,这些应用软件针对个人信息的违法违规问题主要有以下几种表现形式:一是没有依法明示收集使用个人信息的目的、方式、范围;二是没有严格遵循收集个人信息的最小化及必要性原则;三是未能及时建立、更新和公开收集使用个人信息规则;四是存在默认选择同意隐私政策,强制索取非必要权限问题;五是无法确保个人信息的有效删除。这些违法违规现象都对个人信息的有效保护造成了极大的威胁。
三、疫情防控形势下加强个人信息保护的策略
为应对疫情防控形势下个人信息保护的特殊困境,政府、相关企业和行业以及广大公众都应当从自身出发,不断增强个人信息保护意识,提高个人信息保护能力。
(一)政府方面
在个人信息收集环节,首先应当严格遵守知情同意原则,除国务院卫生健康部门依法授权的机构外,其他任何单位和个人均不得以疫情防控、疾病防治为由,未经被收集者同意收集个人信息,各级政府主管部门或单位均不得以疫情防控为由擅自扩大个人信息的收集主体范畴;其次,在收集个人信息时应当严格遵循最小化和必要性原则,收集对象原则上应当局限于确诊者、疑似者、密切接触者等重点人群,不能擅自扩大收集对象;最后,在收集个人信息时应该避免出现各自为政、重复采集或者多头管理的现象,防止收集环节中个人信息泄露风险的增加。
在个人信息使用环节,政府职能部门无论是自己使用个人信息还是共享给其他主体使用,都必须向信息主体公示信息的使用目的和使用范围,严格将个人信息的使用范围限定于疫情排查工作。对于个人信息的共享和传输,更是要建立严格的监管机制,全流程规范各相关部门对信息的使用和存储。同时,要对相关个人信息进行必要且适当的脱秘、脱敏处理,如,对确诊患者和无症状感染者的个人信息及行踪轨迹进行公示的时候,应对其姓名、身份证号码、电话号码、具体的楼层及门牌号码等可识别性的个人信息进行删除,以保护信息主体的个人隐私。最后,在某项具体防疫任务结束后,对于在该项目中收集的已无保存必要的个人信息应当及时予以销毁,以避免个人信息泄露的风险。
(二)企业及行业方面
各类应用软件设计企业、应用服务提供商均应积极建立起针对疫情防控特殊形势的个人信息保护规则,从制度上细化个人信息收集中的知情同意原则和必要性、最小化原则,防止企业在收集、使用个人信息过程中出现过度收集、违规使用的现象。其次,要严格制定并执行有利于个人信息保护的企业安全技术标准,在应用软件系统的研发以及平台建设时,应做好架构设计,包括物理隔离、权限设置、专网专用、加密技术等。此外,还应建立完备的个人信息数据收集、使用、储存、流转以及删除的规范化流程,加强个人信息数据的安全运行监测能力,同时制定详细的突发信息安全事件紧急预案,并强化责任制度,从各个环节有效保障个人信息数据的安全使用。最后,企业还应结合自身管理制度,及时整理各类个人信息数据资产,严格进行分类分级管理,并加强员工数据安全教育培训工作,防止由于员工数据保护意识淡薄引发的安全事件,不断提升企业的个人信息数据安全风险管控能力。
相关行业协会也应积极制定行业通用的个人信息保护制度和软硬件设施設备安全技术标准,并通过各种途径加大信息数据安全和个人信息保护的宣传力度,不断增强企业和社会公众的个人信息安全保护意识。
(三)社会公众方面
广大社会公众作为信息主体,应当不断增强自身的个人信息保护意识。一方面,公众应当提高个人信息的自我保护能力,使用各种线上服务时应当选择正规、可靠的渠道,下载各类手机应用软件时应谨慎提交个人信息,在应用软件注册环节应避免使用个人信息作为用户名,提交身份证照片、银行卡号、个人脸部照片等个人敏感信息时更要仔细甄别是否符合个人信息收集的必要性和最小化原则;线下提供个人信息时,也应当充分了解信息收集方是否具有合法个人信息收集权限,对个人信息的收集和使用是否限于疫情防控的特定用途,发现违法违规收集和使用个人信息的情形,应当及时向职能部门提出举报和申诉。另一方面,公众也应当提高自觉尊重和保护他人个人信息的素养,在传播疫情发生和发展的相关公共信息时,一定要避免随意泄露确诊患者、无症状感染者或密切接触者等信息主体的可识别性个人信息。
[参考文献]
[1]齐爱民、李仪.论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间.[J].法学评论,2011(3).
[2]林鸿潮.个人信息在社会风险治理中的利用及其限制[J].政治与法律,2018(4).
[3]张勇.论大数据背景下涉疫情个人信息的法律保护[J].河南社会科学,2020(4).