国浩视点 | 试探扫码模式的政府采集个人信息利用合规
背 景
2019年底突如其来的新冠肺炎疫情,使国民陷入一场没有硝烟的战争。因现阶段处于人员返程、企业复工的疫情防控关键时期,为战胜这场疫情,更便捷安全的掌握人员流动信息,也为响应中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平在2020年2月14日下午召开的中央全面深化改革委员会第十二次会议上,鼓励运用大数据、人工智能、云计算等数字技术,在疫情监测分析、病毒溯源、防控救治、资源调配等方面更好发挥支撑作用的重要讲话精神。各省市纷纷出台“扫码登记”来记录外出人员何时进出什么场所的举措。扫码出行看起来有比人们聚在一起手工登记信息更提速安全,方便居民的快捷出行;避免笔纸共用、人人接触的交叉感染风险;减少基层工作量;方便后台数据统计;信息登记实时跟进甚至前移;及时预测感染疫情风险;极大提升防控的质量效率和社区群众的安全感等诸多应用优点,但与此同时我们也应注意政府在运用扫码模式进行个人信息的采集利用时的合规问题。
一、目前各省市采用的扫码模式
杭州自2月11日起“杭州健康码”红黄绿三色码认证,进入相关申报通道后,填写身份、出行、健康状况等信息后,系统会自动审核,给出不同的颜色码。显示绿码者,在杭州市内能亮码通行,进出杭州则扫码通行;显示黄码者,要进行7天以内的集中或居家隔离,在连续申报健康打卡不超过7天正常后,将转为绿码;显示红码者,要实施14天的集中或居家隔离,在连续申报健康打卡14天正常后,将转为绿码。扫码途径:支付宝、钉钉、微信,没码的老人小孩可凭通行证或其他有效证件正常通行。
天津自2月17日起进入公众场所“津门战疫”扫码,扫码途径:微信“津门战疫”小程序。
重庆自2月19日起“渝康码”,扫码途径:重庆发布公众号、“渝快办”APP、微信、支付宝客户端搜索“重庆健康出行一码通”或者“渝康码”小程序,打开页面并填报相关信息。
其他省市例如海南等也在通过“扫码模式”进行采集个人信息,采集个人信息的主体从发文机关来看,杭州是杭州市疫情防控工作领导小组,“杭州健康码”扫描后也会有提示平台为疫情防控部门委托进行搜集;天津是天津新型冠状病毒感染的肺炎疫情防控工作指挥部,依据的文件为《天津市人民代表大会常务委员会关于依法做好新型冠状病毒肺炎疫情防控工作切实保障人民群众生命健康安全的决定》,天津的“津门战疫”小程序下显示为天津市公安局科技信息化总队进行管理;重庆是重庆市新冠肺炎疫情防控小组,重庆的“渝康码”小程序下显示为中国共产党重庆市委员会宣传部管理。从上述列举的三个省市不难看出,个人信息采集的主体一般通过微信、支付宝、钉钉等平台扫码采集个人信息,但相应的平台在扫码的同时也会采集到个人的相关信息,因此将产生一些风险。
二、我国关于保护个人信息的法律法规
对于个人信息我国并没有专门的法律规范,《个人信息保护法》至今也只是提案并未正式立法,因此对个人信息的定义散见在各法律或规范性文件之中,在不同的法律规范当中对个人信息的概念有宽有窄,例如:1.最高院、最高检在2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中第一条的规定,公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”2.《网络安全法》第七十六条规定“本法下列用语的含义:...(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”事实上,宽窄定义的不同也会对个案最小必要原则的认定产生不同应用效果,总体看个人信息定义的共同点在于个人身份的识别。
我国现行法律中对个人信息进行直接保护的规定是针对具象的工作过程中对具体的工作人员掌握了某些个人信息的管理限制,例如1.《中华人民共和国居民身份证法》中第六条第三款[注1]规定了保密的条款,第十九条[注2]规定了处罚条款;2.《中华人民共和国护照法》第十二条第三款[注3]规定了相关人员保密的条款,第二十条[注4]规定了处罚条款。这两部法中对相关部门及其公职人员对采集到的公民个人信息利用做了确切的限制以及违规利用后的处罚。事实上,政府采集个人信息是有法律依据的,中央网络安全信息化委员会办公室于2020年2月4号发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》;《中华人民共和国突发事件应对法》第三十八条的规定;国家互联网信息办公室秘书局,工业和信息化部办公厅,公安部办公厅,国家市场监督管理总局《关于印发<App违法违规收集使用个人信息行为认定方法>的通知》等均是行政主体可以依法采集个人信息的法律依据,但即便是在特殊疫情的情况下,依据《中华人民共和国网络安全法》第二十二条的规定“...网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。” 所有扫码模式采集个人信息顺利进行的前提必须是在向个人明示,并且征得个人同意的情况下才能进行。在前文提到的杭州、天津、重庆等省市扫码途径时均有相关提示,这体现政府在实践操作的合法性。
三、国际上对个人信息采集的规范
经过长达四年的讨论,欧盟《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)于2018年5月25日生效,2018年2月24日,欧盟也发布了《更有力的保护、新机遇-欧盟委员会关于一般数据保护条例适用指南》。《一般数据保护条例》堪称“史上最严数据保护条例”。是现代社会保护个人数据与安全迈出的重要一步,下面的条款是摘录GDPR中文翻译中具体的条款:
第9条 对特殊类型个人数据的处理
1. 对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。
2. 如果具有如下条件之一,第1段将不适用:
(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据,但依照欧盟或成员国的法律规定,数据主体无权解除第1段中所规定的禁令的除外;
(b)处理对于控制者履行责任以及行使其特定权利是必要的,或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的;
(c)数据主体因为身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一自然人的核心利益却是必要的;
(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理,并且已经采取了恰当的保护措施;或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关,并且个人数据在未经数据主体同意前不对实体外的人公开;
(e)对数据主体已经明显公开的相关个人数据的处理;
(f)当处理对于提起、行使或辩护法律性主张必要时,或者法院在其所有的司法活动中所进行的处理;
(g)处理对实现实质性的公共利益必要的,建立在欧盟或成员国的法律基准之上、对实现目标是相称的,尊重数据保护权的核心要素,并且为数据主体的基本权利和利益提供合适和特定的保护措施;
(h)处理对于预防性医学或临床医学目的是必要的,或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律,或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的;
(i)在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的;或者
(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施。
第89条 为了实现公共利益、科学或历史研究或统计目的处理中的安全保障与克减:
(1) 为了实现公共利益、科学或历史研究或统计目而处理,应当采取符合本条例的恰当防护措施,保障数据主体的权利与自由。这些防护措施应当确保,为了保证数据最小化原则,已经采取技术与组织性的措施。这些措施可以包括匿名化,如果匿名化也能实现上述目的。如果在进一步处理中实现对数据主体无法识别也可以实现上诉目的,那就应当采取这种方式处理。
(2) 对于为了实现公共利益、科学或历史研究或统计目的处理,成员国的法律可以按照本条第1段所规定的情形与防护措施对第15、16、18、21条所规定的权利进行克减——如果此类权利可能彻底阻碍或严重阻碍实现上述目的,而此类克减对于实现上诉目的是必要的。
(3) 当个人数据处理是为了实现公共利益,欧盟或成员国的法律可以按照本条第1段所规定的情形与防护措施对第15、16、18、19、20和21条规定的权利进行克减——如果此类权利可能彻底阻碍或严重阻碍实现上述目的,而此类克减对于实现上诉目的是必要的。
(4) 如果第(2)段和第(3)段所规定的处理还有其他目的,克减将只适用于为了实现第(2)段和第(3)段中所规定的目的的处理。
从上述两条的内容看,GDPR在个人信息的处理上做了一系列的限制,本质上是对个人信息的处理做出了具体的要求,即便是在为了实现公众利益的情况下需要处理和采集个人信息的,仍应符合数据最小化要求,要采取必要的防护措施,比如第89条(1)的内容提及为保证数据最小化原则,需要对采集的信息采取技术与组织性的措施,如匿名化等。GDPR中对于数据主体的权利以及数据处理者与控制者的义务所作的规定,对本次疫情政府采集个人信息在合法性的前提下,也应履行的防护措施及采取防护措施的程度做了大方向的指导。
四、现行法律下个人信息采集的法律空白
既然政府采集个人信息是合法的,那什么是必须要采集的信息,什么是非必要采集的信息,什么是政府可以采集但需采取技术措施保密的信息,就该三个问题,我国现行法律是空白或模糊的。
一是对于采集信息过度的标准、以及最少够用原则最低标准没有具体的法律规定,虽然在2019年10月25日《信息安全技术 移动互联网应用程序(APP)收集个人信息基本规范》最新版草案中具体规定了21种常用服务类型可收集的最小必要信息,但该规范对其他非常见服务类型及政府在公共卫生事件情况下可采集的最小必要信息没有进行详细的规定。
二是政府明示给公众的感染疫情人员的个人信息的程度,通常来讲,公布感染者的流动统计数据,即何时搭乘什么交通工具去往何处、停滞时间、确诊日期等非个人信息,就可以满足公众对感染人感染疫情行迹状况的知情权,公开其具体的个人信息会间接导致了其个人信息被超出授权合理界限使用,扩大了信息使用的范围,这种情况下,如何对相应行政主体进行处罚及处罚程序缺乏具体的规定。
三是二维码监管领域的法律空白,二维码应用某种程度上处于无序状态,杭州、天津、重庆要求填写的信息内容就没有具体的统一标准,这也导致了监管无法统一。
四是我国至今仍未出台一部系统完整的、具有较强操作性、有完善监管机制的《个人信息保护法》,自2003年起就有相关立法的提案,但《个人信息保护法》至今也只是有提案,未完成立法,其他针对侵犯个人信息的散落于各法律法规的条款,大多不具有普适性。
五、当下扫码模式的政府采集个人信息利用风险及产生风险原因
首当其冲的是个人信息的泄露,个人信息一旦泄露,将直接导致采集行政主体的公信力丧失,也会产生个人信息的采集主体及采集途径的经营者、使用个人信息的组织和机构丧失对个人信息的控制能力等问题,直接造成个人信息扩散范围和用途的不可控。然后是扫描后打开钓鱼网站,诱导个人填写账号密码,盗走个人信息和钱财。还有可能打开恶意下载的网页,手机被植入木马病毒产生财产损失。
产生这些风险一方面缺少监管机构的制衡,另一方面需要每一个公民的配合,我们不难发现,虽然在这次疫情中政府采集个人信息会有不可预见的违规操作致使个人信息被扩大范围使用或被改变目的使用,但是实际被采取立案侦查或行政处罚的疫情防控失职行为也少于实际违规操作的失职情况,原因无非在于考虑到现行法律法规不完善;个人投诉渠道不通畅,或投诉之后无人理会;有规定处罚的法律法规规定的处罚力度小,违法成本低;以及个人维权成本高等原因。
六、建 议
监管部门:第一,可尝试根据相关案件的处理结果,定期向社会公布保护个人信息不力黑名单,这样既能让公众感受到自己的个人信息在被保护,也能警醒采集主体的公职人员违规操作的边界。第二,另外可以建立更为有效的投诉反馈渠道,对反映集中的问题进行集中查处。第三,联合行业监管及采集信息的平台,共同采用严密的访问控制、审计、加密等安全措施,防止数据泄露和未授权的使用。第四,做好疫情过后对所采集的个人信息的处理工作,如采集到的个人信息的保密时长,平台与采集机构的数据如何处理等。
行业自律:第一,加强行业监管,规范行业普适的及特殊的保密条款设置。第二,在政府提倡的二维码传播中识别恶意链接,对截取个人信息的非法链接进行拦截。
个人:可以向采集主体提出相关建议,对最小必要原则下的个人信息范围提供意见,在发生个人信息被泄露或其他侵犯个人信息个人利益的时候,及时报案,因被侵权产生财产损失的,也可向法院提起诉讼,发现有传播他人个人信息的及时举报。
总之,政府在采用扫码模式对个人信息的采集利用虽然具有合法性,但同时也应当加强对个人信息使用目的限定,采集数据时遵循最少够用原则,对信息进行保密,保证各行政主体权责一致等工作方向,以确保在通过扫码模式攻克疫情的前提下,也保障每个公民个人信息的大后方数据安全。
注释:
[1]《中华人民共和国居民身份证法》第六条第三款“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”
[2]《中华人民共和国居民身份证法》第十九条“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。
单位有前款行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关对其直接负责的主管人员和其他直接责任人员,处十日以上十五日以下拘留,并处十万元以上五十万元以下罚款,有违法所得的,没收违法所得。
有前两款行为,对他人造成损害的,依法承担民事责任。”
[3]《中华人民共和国护照法》第十二条第三款“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。”
[4] 《中华人民共和国护照法》第二十条“护照签发机关工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;构成犯罪的,依法追究刑事责任:...(五)泄露因制作、签发护照而知悉的公民个人信息,侵害公民合法权益的;...”
杨慧辉 国浩天津办公室律师
相关阅读
【 本文为作者原创,如需转载请通过留言方式联系本公众号运营者,谢谢!】