疫情时期,我经历了个人信息收集“六重关”
文/东贵 Rocky
强调社会治理现代化不能忽略它的最大前提:依法治理。
倘若以维护公共利益目的的名义,就能忽视对个人合法权益的保护,那么新的公共危机在所难免。
相信你和我一样,在疫情期间被多次要求上报个人信息,它们来自社区、小区物业、车站、机场、道路设置卡口等等。
除此之外,政企之间还通过合作,利用大数据来掌握人员的流动情况,部署相关的疫情防控工作。
政府获取必要的个人信息有助于疫情防治,但个人信息的收集、使用、监管和后续处置等工作都应依法开展。
否则,这次堪比“人口普查”规模的个人信息收集将会埋下新的公共安全隐患。
01
我所经历的个人信息收集“六重关”
人类防控大规模传染病的经验是“试错”的累积。
新冠肺炎疫情期间,阻断病毒传染的扩散是项艰辛的工作,它需要对感染者的生活轨迹作出详尽调查。
因此,诚实陈述成为抗击疫情的一剂“良药”,而瞒报和谎报将会使公共利益遭受巨大损害。
以我居住的深圳为例,在疫情期间就曾被要求在省、市、区、街道四级行政单位和深圳市公安局的网络页面中填报个人信息。
另外,社区网格员还要求房东上门收集我的个人信息,线上加线下共计6次。
这个过程让我产生了很多疑问,如:
这些单位是否有权收集我的个人信息?
我上报的个人信息是否有遭受泄露的风险?
以及各方“重复收集”个人信息是否必要性呢?
02
谁有权采集我的个人信息?
通常,依据《网络安全法》对个人信息的收集需取得被收集者的授权同意,但在疫情时期,《传染病防治法》和《突发公共卫生事件应急条例》作为特别法优先一般法免除了被收集者的授权同意。
在做法律检索后发现,依据《传染病防治法》第12条、《突发公共卫生事件应急条例》第30条的规定,下列机构具有收集与疫情相关的个人信息的法律授权:
1. 疾病预防控制机构;
2. 医疗机构;
3. 国务院卫生行政主管部门或者其他有关部门指定的专业技术机构。
另外,依据《突发公共卫生事件应急条例》第40条等:
街道、乡镇以及居民委员会、村民委员扮演协助者的角色,为卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告。
在我经历的个人信息收集中,广东省、深圳市、工作所在地的南山区、居住地所在地宝安区的福围社区、深圳市公安局,这五方分别以通过了微信的公众号、小程序、扫码跳转页面等方式向我收集个人信息。
5个线上收集个人信息产品和背后的法律主体
严格依照法律条文解释,这些公众号、小程序、跳转网页背后的法律主体都未享有法律授权。
它们不是疾病预防防控机构、卫生行政部门,更不是医疗机构,也不能定义为“有关部门制定的专业技术机构”。
但虽说上述主体未享有明确的法律授权,这些工具本身却承担着政府服务的功能,况且卫生行政部门所在地的政府领导,当疫情紧迫时,使用这些工具采集个人信息具有部分的合理性。
值得注意的是,在我所居住社区推出的“福围社区出入平台”,其网络页面的管理者为主体为“深圳微盐传媒科技有限公司”(下称“微盐网络”)。
这家公司在其官方页面中声称与约300多的各级政府、人大、政协、事业单位合作政务项目。
微盐网络的个人信息采集页面
依据相关法律,基层社区仅扮演着个人信息收集的辅助者角色,将项目“外包”给微盐这样的商业机构并未具有合法性。
同样,我还经历第六次的线下个人信息收集,它是由社区网格员“外包”给了房东上门收集。
我不想苛责基层组织的“懒政”。
据调查,福围社区所属福永街道的辖区约有40余万居住人口,但仅有389名网格员(截至2019年5月数据)。
在短暂时期内,仅依靠他们完成堪比“人口普查”规模的调查,实属一项不可能完成的任务。
以上所述,在我经历省、市、区、社区线上和线下的个人信息收集“六重关”中,作为收集主体是否具有合法性存在较大疑问。
或许“粤省事”、“南山政务服务”这类政务服务平台的数据接口会对接卫生行政部门,但在整个收集过程中,都并曾向我告知提及。
03
我被收集的个人信息会安全吗?
经历个人信息收集的“六重关 ”后,我会担忧:我的个人信息会安全吗?当然,很多人有和我同样的忧虑。
微博网友的质疑声
难道凭借这些单位的自觉吗?当然不切实际。目前,对违法收集个人信息规定了事后惩治手段,但欠缺了事中的监管。
在法律上,最严厉的话是能以“侵犯公民个人信息罪”来追究刑责,但在事中监管却一片空白。司法可以打击违法者,但遭受泄露的个人信息,将却无法回归受保护的状态。
5次线上登记的个人信息内容
在我经历的5次线上登记中,它们分别采集如上图所示的个人信息内容,各方在采集的个人信息有很多重复,也有略微不同的差别,但各方都要求填写了姓名和身份证号。
这些个人信息采集范围并不局限于我个人,甚至要求到与我同行人、同住人的基本信息,可我哪里对他人的基本信息进行处分的权力?
更奇葩的是,在我所居住的福围社区甚至要求上传个人正面照,每次出入岗亭时,工作人员看看照片,然后再看看我的脸,对比确认后放行。
被这样查验的感觉很糟,让我不由自主地想到前些年的地下裸贷,人名、身份证加上一张人脸即可完成高利贷放款,我只能庆幸自己的照片是穿着衣服的。
另外,在线下的房东登门收集的个人信息时,我口头回答了她对于我最近行程的询问,并上报了姓名、身份证号、联系电话,这些信息被写在了纸质的笔记本上。
可我却不知道这些信息会在层层上报的过程中被多少人阅览。
个人信息具有交易价值,信息的体量越大,市场交易价值越大。
一经泄露便难以挽回,而且当你发现它被泄露时,甚至不知道在哪个环节出了岔子。
我在疫情期间就接到一家游戏公司的电话,客服小姐邀请我注册玩它们的游戏。
但作为几乎是“游戏绝缘体”的我,对于这家游戏公司是如何获得我的联系方式则是一头雾水。
在这种事上,我通常做法是会在询问客服工号和他们的公司名后,“恐吓”他们将向市场监管部门举报。
但我知道,我压根无法根除这种情况,只能在接到骚扰电话后暴怒,在收到的骚扰短信上回复“T”,有时候回复的是“N”。
个人信息泄露收到的骚扰电话和短信
疫情被宣布爆发的前期,很多由武汉返乡的工作人员的个人信息遭到泄露,这些信息包括个人姓名、身份证、手机号、户籍地址、现住址、就读学校、监护人信息、往返交通工具等信息。
这些个人信息将永远以excel表格的形式流传在网络中。
大量的武汉返乡的个人信息遭泄露
或许这些个人信息在阻隔疫情工作起了作用,但对于当事人个人信息保护的不利,这让他们的个人信息“裸奔”在网络之中。
他们的生活已不堪其扰,但恐怕今后还得担忧会不会无休止地接到骚扰电话、诈骗信息甚至是敲诈勒索。
2016年艾滋病感染者信息遭大规模泄露,该案至今未破获
04
我上报的个人信息将被如何处置?
疫情结束后,我上报的个人信息将会被如何处置?这个问题在我所经历的个人信息收集“六重关”中从未被告知过。
我知道:个人权益需要在公共利益面前作出必要让渡,但我最起码的知情权应当受到保障。
在《传染病防治法》、《突发公共卫生事件应急条例》、《网络安全法》以及中央网信办在2月9日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中都未提及到这个问题。
那么我可以从“使用目的”的角度出发作出解释:
收集个人信息是用于疫情防控的目的,那么在疫情结束后,起初的收集使用目的不复存在,理应当对个人信息进行应及时删除或进行匿名化处理。
i深圳仅告知信息采集目的,对于信息后续处置未作出任何说明
但遗憾的是,收集各方均未向我明确作出这样的承诺。
这让我每次被收集个人信息时,都倍增对于个人信息安全的担忧。
我深明大义:公共利益面前个人权利需要作出必要让渡,但这绝不表明我将甘愿承担信息泄露带来的风险。
过去,国家话语中不断反复强调“社会治理现代化”,但这在疫情期间的个人信息收集工作中并未体现。
深圳号称“中国硅谷”,但各方的收集的个人信息都是一座“数据孤岛”,多方“重复收集”个人信息的做法让人不堪其扰。另外,在这个过程中也明显地增加了行政成本的支出。
采用微信公众号、小程序、扫码等手段收集,虽然避免了线下接触,能够有效安全地收集个人信息,但这些产品背后的法律主体,从根本上并未享有明晰的法律授权,纵使行为具有合理性,也不能弥补合法性的缺失。
在我看来,强调社会治理现代化不能忽略它的最大前提:依法治理。
倘若以维护公共利益目的的名义,就能忽视对个人合法权益的保护,那么新的公共危机在所难免。
往期推文: