这座城市销毁了涉疫个人数据
▲2021年8月12日,江苏无锡,新吴区新安街道疫情防控指挥部数据核查中心工作人员在利用大数据赋能疫情精准化防控 图/视觉中国
新冠疫情管控以来通过各种渠道收集的天量公民个人信息,在新的大背景下,必须有一个妥善的处置。无锡的举动,无疑展现了一种积极和负责任的姿态。
2023年3月2日,无锡市举行涉疫个人数据销毁仪式,首批销毁10亿余条此前因新冠疫情防控及服务目的而收集并存储在城市大数据中心的个人信息数据。
无锡市城运中心通过专业数据销毁软件对云端或服务器硬盘上的数据进行消除,确保数据无法被恢复。第三方审计机构和公证处也参与了当天的活动。
同日,疫查通、进口冷链食品申报追溯系统、货运通行证等四十多项数字防疫服务应用,也全部下线。
“像钟声敲在我心上”
“这个仪式是一种告别,好像钟声敲在我心上,”路珊在无锡的家中刷到这条新闻时,所在社区的居民群静悄悄,她和许多外地居民一样,都是从热搜上看到这条信息的。
路珊是无锡新市民,几年前她离开北京,和丈夫选择来这座城市定居。约3万元一平米的房子,紧挨蠡湖,这是太湖伸入无锡的内湖,传说是范蠡与西施泛舟之地。傍晚时分,暮色四合的时候,路珊经常来这里看日落,这曾是她选择这座城市的理由之一。
和路珊一样,选择来到无锡的人不在少数。根据第七次全国人口普查结果,截至2020年11月,无锡市常住人口7462135人,与2010年第六次全国人口普查的6374399人相比,10年共增加1087736人,增长17.06%,年平均增长率为1.59%。2022年,全国共有24个城市GDP总量突破万亿,无锡排名第14位,人均GDP排名第一。
还没来得及好好感受这座城市,新冠疫情来了。2019年底,湖北武汉出现新型冠状病毒感染的肺炎。此后三年,路珊和丈夫进入这座城市的脚步跟疫情关联在一起。
对路珊的日常生活来说,这场持续三年的疫情是没有开端标志的。2020年春节,和父母共度团圆的日子里,不知什么时候商超关门了,不知什么时候人人都戴上了口罩,不知什么时候楼被封、出不去了。
时日渐久,路珊越来越强烈怀念从前车水马龙的日子。直到2022年12月26日,国家卫生健康委员会发布公告称,2023年1月8日起,对新型冠状病毒感染实施“乙类乙管”。依据传染病防治法,对新冠病毒感染者不再实行隔离措施,不再判定密切接触者;不再划定高低风险区;对新冠病毒感染者实施分级分类收治并适时调整医疗保障政策;检测策略调整为“愿检尽检”;调整疫情信息发布频次和内容。
一切似乎在恢复,但路珊心里却没有“爆竹声中一岁除”的欢欣。大街上的车多起来了,有人戴口罩、有人不戴口罩,但不戴口罩的时候,人们包里也常会备着一只,“试探”着回到日常。直到看到无锡市销毁涉疫个人数据的新闻,路珊心里一下子放松,这是宣告“结束”的某种仪式感,从此不必再试探,她形容自己的心情,“好像钟声敲在我心上,结束的钟声。”
无锡市大数据管理局介绍,自其“数字防疫”服务上线以来,一直确保数据的适当保密性和安全性,坚持最小够用原则,市城市大数据中心共搜集了10亿余条多类别的个人数据,主要用于核酸筛查、流调溯源、外防输入性疫情、重点人群核酸检测等用途。
通过不断创新数字防疫战法,推动疫情数据共享、开放利用,这些数据为确保疫情防控的顺利进行提供了坚实支撑。无锡市大数据管理局称,“在数据的搜集、保存期间,我们采取有效的技术和管理措施,依法依规保障了个人信息安全,未发生任何数据泄露事件。”
下一步,城市大数据中心将进一步加强数据分类分级管理、数据安全风险评估、监测预警、数据安全审查等制度建设,确保数据无法被恢复。同时持续加强对技术运维人员的安全教育,加强数据安全合规理念,提升全员数据安全意识,严格禁止私下留存、转移涉疫数据等行为,全力保障公民个人隐私。
事实上,这并不是地方政府部门第一次主动销毁涉疫个人数据。2023年2月14日,广东省健康码“粤康码”发布服务公告称,按照国家新冠病毒感染防控政策措施优化调整要求,抗原自测、老幼助查、健康申报、电子证照、防疫工作台服务将于2023年2月16日11时起停止服务。“粤康码”下一步将关闭相关服务入口。
公告明确,停止相关服务后,“粤康码”将按照有关法律法规规定,彻底删除、销毁服务相关的所有数据,切实保障个人信息安全。
▲2020年1月27日,江苏无锡,社区志愿者对外来人员进行信息核查 图/视觉中国
在互动中调整边界
当前,疫情防控平稳进入“乙类乙管”常态化防控阶段,各类数字化防疫应用搜集的公民个人数据该如何处置,这是人们心中共同的疑问,也是数字时代遇到的新问题。
无锡市大数据管理局副局长颜春水在销毁现场接受采访时表示:此举一是体现依法执政,二是保护公民隐私,三是防止数据泄漏,四是节省储存空间。
中国人民大学公共管理学院教授杨宏山在接受本刊采访时指出,无锡此次销毁数据的举措,是信息化时代面临的新形势的反映。此次销毁针对的人群的广泛、数量级别的宏大,都是前所未有的。通过移动互联网获取信息,是当今时代科技进步的结果,是在新一代信息技术应用基础上进行的,无锡销毁的十亿余条数据里面,平均到每个人身上可能有几百条。这在历史上是没有先例的,此前只有小规模的数据销毁处理,不具备如此的人群广泛性。
从国家治理角度来说,此前收集大量个人数据,是因疫情防控需要。现在进入“乙类乙管”阶段,总体上看疫情基本结束。从公民个人隐私和信息保护角度,这些信息应该得到处理。无锡在全国率先完成,于法有据,有利于保护个人隐私。相信下一步其他地方政府会有跟进的稳妥处理。
对无锡的做法,也有来自另一方的意见和声音。律师赵天在无锡江阴生活多年,大约3年的封控期间,他常规的出差节奏受到一定影响,“疫情的发展变化有时候很快,不知道什么情况下会被赋码,谁来赋码,赋码错了应该找谁申诉。”这几年赵天观察到,很多地方有自己的健康码,去不同地方出差在信息互通方面可能存在障碍。
但听说要销毁这些信息,赵天并没有如释重负的感觉,他认为这可能是一种有价值的资产,“我们不能保证今后不会再次面临类似的群体性紧急事件,我们这次应对疫情中间所吸取的经验、教训、数据,能不能作为应对将来可能出现问题的素材。数据本身就是一种素材,对于销毁数据,可能要做一个分级。”
从保障公民隐私的角度,在赵天看来,无锡的行为值得肯定。作为一名法律从业者,他提出了自己的疑问,类似的应急管理中,针对数据问题,希望从立法层面建立更多细则:“怎么采集、谁来采集;怎么存储更规范、安全;数据完成历史使命后,怎么处置?”
公权与私权的边界在哪里,杨宏山认为,政府行为与个人行为是在互动中调整边界的。他解释,由于信息技术的进步,有关部门获取公民个人信息的途径、方式发生了巨大变化,基本可以说是无缝隙地获取个人信息。
在探讨边界问题时,一是要看信息获取是否符合法律规定,法无授权不可为,我们的立法工作要跟进,当发现法律不合适可以改,法律是与时俱进的,但政府行为要有法可依;
二是要看政府行为的正当性,简言之就是老百姓支不支持,如果多数老百姓不支持,那就不应贸然推行,要去解释、去沟通,如果遇到紧急情况,评估可行后,方可去动员强制实施。
社会运行的规则不是僵化的,个人和政府行为是彼此互动的。个人发现政府行为不合适的话,要及时反映,在多方互动中加以改进。这是双方在协调中达成的,要随着情景去调整。
▲2023年3月13日,无锡市一核酸检测亭已闲置 图/受访者提供
信息化时代的新形势
销毁之外,还有其他处置数据的方式。
此前,有部分省市曾把健康码与其他政务大数据融合,拓展了更多应用场景,如电子健康卡、电子社保卡、税务、交通、商贸旅游等领域。
2022年6月,有个别地方采取健康码赋红码的方式限制群众正常出行,将公众长久担心的问题暴露出来。随后,国家卫健委疾控局副局长、一级巡视员雷正龙对此回应说,国务院联防联控机制明确要求严格健康码的功能定位,不得擅自扩大应用范围,绝不允许因疫情防控之外的因素对群众进行健康码赋码变码。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲针对这一问题表示,健康码数据包含多领域敏感个人信息,必须在用户自主单独同意后才能变更使用目的。否则,在防疫目标解除后必须删除或作匿名化处理。他认为,删除个人信息在技术上并不复杂,按照现有的国家标准《个人信息安全规范》操作即可。经过匿名化处理的信息“无法识别特定个人且不能复原”。
关于销毁信息是否造成前期手机信息投入浪费的问题,在接受《南方都市报》采访时,何延哲解释:即便现在把健康码下线,也不会造成所谓的“前期投入浪费”。因为健康码作为一个运行成熟的系统,下线不代表底层代码被删除。“我是赞成把数据删除,把代码保留。这样不仅保留了积攒的抗疫经验,也为以后的公共卫生应急系统提供一个更好的基础。”
路珊曾因“赋码”问题遭遇过不便。有次,她从外地回到无锡,从高铁站下车后被工作人员拦下,因为行程码中包含了最新的“涉疫信息”,而这种限制并无明确规则,出租车和公交车路线都不查,工作人员就建议她去附近城市苏州下高铁,再打车回无锡。此处下车,自费隔离。没办法,最后丈夫载着她在卡口外绕了一圈,再经苏州返回家中。
想到曾经的遭遇,对于此次销毁数据,路珊分外赞同。她的生活中刚出现了新的问题——“甲流”来了。要不要戴口罩呢?路珊坚决选择了不,少数而极端的经历会把人更猛烈推向另一个方向:此刻她宁愿病一场,也不想再和过去类似的熟悉打交道,包括扫码、报备、口罩等等。
面对新形势下的新问题,一切都在探索中前进。杨宏山解释,在社会处于应急管理状态时,基层的动员会大大增多;当非常态成为常态,也会面对社会的质疑。最初病毒风险性很大的时候,公众愿意让渡一些私权,后来随着病毒风险性显著降低,反对的声音就多了,不乏有理有据有节的观点。在风险越来越低的时候,把非常态的做法常态化,那么社会会出现反对的声音。风险大小和管理模式,人们会做权衡。当风险较小的时候,人们不会愿意让非常态运作持续下去。
立法层面对这一问题早有规范:《中华人民共和国个人信息保护法》第47条中规定了个人信息处理者应当主动删除个人信息的情形,包括“处理目的已实现、无法实现或者为实现处理目的不再必要”等,该条还规定个人信息处理者未删除的,个人有权请求删除。该法第47条第2款还规定:“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”
对于数据,我们必然要考虑其存在的风险性,杨宏山打比方,“不是所有的资源我们都要保护,谈论销毁此类数据是不是损失,就像谈论要不要保存我们身边的每一件物品,理由是百年之后它们都是文物一样。”
(文中人物路珊、赵天为化名)