其他
守住“隐秘的角落”, 防疫常态下,如何探求公共治理与个人信息保护间的最优解? |算力沙龙直播回顾
隐私、自由、权益、合规等一系列议题,犹如落石投湖,激起了每个人心中的涟漪和问号。
正在被模糊的公共治理与个人隐私的边界,如何回归“正途”,有效厘清?
4月17日,由算力智库主办、上海现代服务业联合会大数据中心联合主办的【疫情下被“折叠”的隐私,公共治理如何守住个人信息边界?】算力私享沙龙圆满结束,北京大学法学院副教授胡凌、中伦律师事务所合伙人王红燕、对外经济贸易大学数字经济与法律创新研究中心主任许可、IBM中华区信息架构产品总监 James Wang同台分享,从技术、法律、伦理等多元视角,直面全民抗疫中,一些或隐或显的问题和乱象,探求公共治理下,如何交上个人隐私保护的“最优答卷”。
胡凌在《疫情常态化与个人信息处理 从健康码到流调信息》主题演讲中提到,疫情常态化为个人信息处理带来的新问题。
“信息收集主体大量增加,如政府部门、电信运营商、平台企业、基层单位跨地域共享数据;收集的个人信息种类不断增加,如个人基本身份信息、轨迹接触信息、核酸确诊信息……;对处理实效和处理能力提出高要求,不仅需要回溯历史,也需要增加实时信息,对此类信息的处理甚至直接降至个人层面;个人信息处理的标准化过程需要从中央到地方,逐渐推进统一。”胡凌提到,动态清零政策已经使疫情信息的处理常态化,需要不断对流动的各类要素信息进行收集、分析,并实时决策行动。新形势新问题,解题也要有新思路。
王红燕在《大数据防疫管理中个人信息保护法适用的边界》主题演讲中,强调隐私权是生活安宁不被打扰的权利。疫情防控过程中,如何遵循个保法的必要性原则,在收集和处理、公开的过程中都围绕使用信息的目的开展工作,另外,个人信息的去标识化披露或事后留存也将是重要的探索方向。
“疫情期间,个人信息处理应遵守必要原则、目的特定原则、安全保障原则三大原则。但防疫过程中信息公开已经存在不当公开个人身份信息、不当公开非必要细节以及公开行为轨迹时间跨度过长等问题。”王红燕认为,疫情防控过程中个人信息保护和公开要点要做到:适当比例。个人信息权益与社会公共利益发生冲突时,个人权利应适度作出让渡,同时,公权力机构在适用这种豁免时,也应当注意将对个人利益的损害降至最低;隐去“非必要”的细节信息。如公布密接信息时,公开当事人的行动轨迹即可;避免个人身份信息的公开。对于能够识别到个人身份的信息应当隐去。例如当事人的姓名、姓氏、性别、年龄、家庭成员、与其他病例之间的亲属关系、职业、家庭住址等能够定位到当事人,但对定位密切接触者帮助不大的信息不进行公开避免被娱乐化,严格限制公开时间范围等等。
值得欣慰的是,本轮上海疫情信息披露时,无症状感染者信息披露时只提到所在小区,并无门牌号、姓名、年龄、性别等更多信息,在隐私保护层面保持了合理合规的尺度,有效保护了感染者的隐私权。
许可在《疫情中公共利益和个人信息保护如何平衡?》主题演讲环节提到,公共利益的背后都有收益和成本的考量。当公共利益高于个人信息权益时,后者权益会受到更多损害,当公共利益下降时,个人信息权益会得到更多保护。当公共利益和个人权益需要平衡时,结果就是两害相权取其轻。
“公共利益和个人信息权益的平衡事实上两手都要抓,两手都要硬的概念。既要又要但又不意味着在所有情形下都要同等对待。当公共利益优先个人信息权益时,个人信息要让渡公共利益。反过来,当个人信息权益获得了更多尊重时,就应当改变个人信息处理规则。”许可强调,公共利益不是“国家利益”。公共利益的背后是不特定的自然人,个人信息的背后是特定的自然人。归根结底就是人的尊严和人的基本权利,两者并行不悖,更不存在为了谁而完全否定另一方。
数据化防疫过程中,个人信息保护除了法律、制度外,更离不开技术的支撑。
James Wang在发表《基于个人信息保护法的数据资产目录的应用》时提到,个人信息保护不只是法律问题,还需要IT技术在后台提供支撑。
“个人信息保护在数据端,需要通过资产化、自动化、可视化这一套完善的机制来进行管理。如管理权限、数据分类分级管理、安全审计可追溯及数据动态脱敏。”James Wang表示,以上任何一个环节都考验着数据安全。
透过这次疫情,我们尚有哪些改进之处呢?
王红燕认为,媒体作为信息发布源,在发布信息时如涉及到个人信息和公共安全时需要平衡,要满足防疫需要,更要保护个人隐私不被侵犯;加强公职人员的保密意识。防疫过程中,基层公职人员在工作中频繁收集、接触个人信息时,要有保护个人隐私的意识与责任。
许可也认为,工作人员通过微信接龙、随意用二维码收集个人信息的行为缺乏隐私保护意识,需要进行专业培训。相比之下,民众自身对个人信息自我保护意识明显加强。
“相比线上,线下纸质信息的收集和保护应当引起重视。”许可表示,纸质信息更容易被泄露。
胡凌则认为信息过度收集、政策层层加码没有统一规则 、制度过激不到位让基层操作时缺乏标准依据等问题突出,而反向激励是导致信息被过度收集的一个非常重要的触发点。
James Wang从技术层面分析时提到,对个人来说,技术能够发挥的作用有限,法律成本也很高。但是,技术可以帮助个人信息收集、数据处理的机构,提供更好的解决方案。
那么,在疫情防控中,政府和相关配合的技术企业作为数据处理者和数据委托处理者的角色,在收集个人信息时应当如何处理和做好安全保护措施?各自负有怎样的职责和义务?在此情境中有何具体的法规指引呢?
“第三方平台一定要在监管机构授权的前提下,才可以收集信息,获取并处理相关数据。这种情况下,现行的《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》以及网信办发布的规定都需要遵循”。王红燕强调,必要的情况下,双方应签署协议,加强对企业的合规行为的约束。
许可透露,《中华人民共和国个人信息保护法》在制定过程中,对于接受委托处理个人信息的受托人义务发生过变化。
“一开始规定受托人只有合同规定的义务,但最终稿中明确了对方采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行相关的义务。”许可表示,受托处理个人信息的企业同样要去保护个人信息的安全。如果发生信息泄露,企业有义务帮助个人信息的处理主体尽可能降低风险,积极补救。
许可在演讲时提到,健康码在疫情防控时有效地平衡了人员流动和人员安全这一非常矛盾的关系,是非常成功的一项目措施。
“健康码让流动性治理得到了实现,以最小的公共成本实现了公共收益。但是随着防疫由网络化回到网格化这一变化公共成本急剧上升,健康码力求的平衡作用不明显。”许可认为,当全域管控的时候,健康码是什么颜色并不重要,也没有必要进行自动化决定。
防疫初期,在紧急又迫切的需求下诞生的健康码,从一开始便不可能实现全国统筹开发管理。
“技术开发需要时间,一下子把健康码做成全国通用的大型平台,处理全国的数据不现实,只能从地方开始。”胡凌认为,当下健康码虽然有了统一的标准,但还是存在分而治之的情况,一个省也有好几个码的情况依然存在,这对数据共享、调用带来一些问题。同时,健康码、行程码已成为信息基础设施,必须保证其稳定性。
提到技术难度,James Wang也表示认同。
James Wang认为,健康码全国统一技术实现上有难度,从成本上来看,意义也不大。最好的办法还是分而治之,错峰使用。
疫情只是窗口,折射出的是公共治理与个人信息保护之间的博弈与平衡。经此一役,在未来在公共数据治理中,架构更合理的数据规则和治理机制,技术将是重要一环。
许可表示,公众数据治理,不同的国家有不同的应对方式。能否采取一种更有利的方法获得公共利益与个人信息保护的平衡,有赖于技术治理的发展。
James Wang补充说明,强调技术不是万能,同时需要辅以行政手段、政策机制牵引。但新的技术一定会有。
“在防疫的道路上,技术还要兼顾很多的考量。如技术如何向善?平衡防疫与个人美好生活的诉求?如何更科学地界定密接者的个人信息,合理披露?等。王红燕表示,寄希望于民众自身提高个人信息保护意识,积极发声,做到知法守法用法非常重要。
END
● 往期推荐
欢迎投稿
hehaohua3h@163.com
文章所载观点仅代表作者本人
且不构成投资建议
敬请注意投资风险