大數據時代防止“裸奔” 立法當如何作為

2020年10月20日08:37  來源:中國青年報
 
原標題:大數據時代防止“裸奔” 立法當如何作為

  大數據在疫情防控中發揮了重要作用,特殊時期收集個人信息也成為常態,一些小區甚至開始實行人臉識別。問題是,這些信息到底該怎麼收集處理?怎麼保存保管,一旦泄露怎麼追究責任?要知道,“身份証、手機號、姓名、住址,再加上生物信息,就是每一個人最全的信息了。這些信息一旦泄露,就是‘裸奔’了。”

  ---------------

  “新冠肺炎疫情防控工作中,大數據在重點人群監測預警和統計分析方面發揮了十分重要的作用。但同時也出現了一些個人信息的無序傳播,一些患者、密切接觸者和外地返鄉人員的姓名、身份証號碼、居住地址、聯系方式等信息被非法傳播的案例,對個人和疫情防控工作都造成了負面影響。”

  10月13日,備受關注的個人信息保護法草案首次提請十三屆全國人大常委會第二十二次會議審議。10月16日上午,在與會人員對草案進行分組審議中,全國人大常委會委員劉修文提出的這個問題,引起委員們的熱議。

  個人信息保護立法要注重可行性

  陳斯喜委員認為,草案目前一些概念還比較模糊,含義不清楚,將給實施帶來困難。個人信息保護法具有可行性,關鍵要處理好幾個關系。首先,公開信息的收集與專門採集的信息要區分開,進行分別對待。比如,已向社會公開的信息就應當允許收集﹔其次,公開信息與非公開信息怎麼保護要有區別。比如,個人採集的信息、有關機關掌握的信息,應怎麼保護?不該公開的個人信息公開了就要嚴肅處理﹔最后,要區分採集的信息是自用還是出售、轉讓。此外,臨時採集識別與長期保存個人信息也應區分開來。比如現在一些單位、社區已經實行人臉識別,這種採集是暫時的還是永久儲存,就要區別對待。“總之,這幾個關系要理清楚並分門別類作出規范,法律才具有可行性。”陳斯喜說。

  王超英委員認為,個人信息保護立法必須要平衡好保護個人信息和維護公共安全的關系。“這是這部法律立法一個很重要的點。”

  在他看來,目前草案雖然有所涉及但還不夠。疫情防控期間,大家都見到了很多收集個人信息的場景。比如在防疫最緊張的時候要進入一些地方,一定要求登記身份証、手機號、姓名、住址,實際上這4個加上生物信息就是每一個人最全的信息了。這些信息如果一旦泄露,就是“裸奔”了。

  “現在還有生物識別信息,比如小區的人臉識別,這種必要性到底是什麼?這些信息在這些最基層的單位到底應該怎麼收集和處理?怎麼在法律上規定做到收集個人信息最小化,並且應當符合比例原則,在什麼情況下應當收集什麼信息。這些信息怎麼保存保管,一旦泄露法律責任當然有了,這些責任誰去追究、怎麼追究?這些還要再研究。”王超英表示。

  劉修文針對草案中應對突發公共衛生事件等情況下對個人信息保護的豁免性規定提出了意見,他表示,收集個人信息並進行大數據分析是進行高效社會管理的有效途徑。世界各國在突發公共衛生事件下,採用公共利益優先原則,有限地突破個人信息保護屏障,跟蹤和披露疫情信息已成為慣例。但這並不意味著“公共衛生”“公共安全”可以直接成為個人信息保護豁免的萬能理由。

  劉修文表示,新冠肺炎疫情防控工作中,存在流動人員同時面對流出地和流入地街道、社區、公安、所在單位等多層級、多部門的信息採集,既造成了行政和社會管理資源的浪費,也加大了個人信息管理的風險。通過細化個人信息共享操作規范,才能減少重復採集,提高應對效率,防范個人信息保護豁免情況下的信息泄露。

  劉修文建議,要進一步研究如何權衡公共需要與個人權利,以劃定合理的個人信息保護與利用界限。根據比例原則的要求,將個人信息的損害限定在最小范圍。包括:盡可能明確突發公共衛生事件或者緊急情況下有權採集個人信息的主體﹔強化採集主體的個人信息安全保護意識和保護義務,以降低信息暴露風險﹔明確突發公共衛生事件或者緊急情況下個人信息數據共享規范和后續個人信息處理機制。

  個人信息保護立法重在解決難題

  全國人大常委會委員、全國人大憲法和法律委員會副主任委員周光權認為,制定個人信息保護法,不能只是單純地在法律的種類中增加一部法律,而是要解決目前面臨的難題。

  “個人信息保護立法,既要考慮個人目前在日常生活中面臨的問題,比如小程序、App、網頁使用時個人信息的泄露等,同時還要考慮今后新的技術發展帶來的知情同意方式的變化。”周光權特別提及,伴隨生物信息識別技術的應用,有些單位和部門好像已經嘗到了使用人臉識別技術的“甜頭”。因此,人臉識別、指紋等生物識別技術的限制,也是這部法律繞不開的問題。“如果繞開的話,這部法律對未來社會治理發揮的作用就是有限的。”

  同時,周光權強調,立法過程中要平衡好各種關系。“現在獲得個人數據,使用App基本都是免費的,這個‘免費午餐’確實有風險,理應要加強監管,但是也不能對互聯網企業一棍子打死,而平衡好這個關系是比較復雜的,這是這部法律要認真研究的。”

  國家機關取得個人信息后如何管理使用

  周光權認為,立法中還必須考慮國家機關在取得個人信息后的管理和使用問題。他舉例說,因為內部管理制約很少、權限下放得很低,西部某地有一名民警在工作中上網獲取了公民的個人信息,她的丈夫開了公司專門提供個人信息、查婚外戀,通過這種方式牟取不正當利益,后來,兩人雙雙獲刑。

  “公權力如何管理好手中的個人信息,如何對其進行制約和限制,這個問題法律不能繞開。”周光權說。

  王超英提出,個人信息保護法草案對國家機關處理個人信息作了專門規定,這是本法的一個亮點。但是,條文不夠精准,國家機關履行法定職責范圍非常寬泛,既有刑事訴訟領域的偵查、起訴、審判,也有一般行政執法領域的處罰、許可,還有社會保險、納稅、社會救助、社會福利、人口統計等。

  “這些行為性質不相同,處理公民個人信息的不同的國家機關應當遵循什麼樣的處理規則,一致還是不一致?現在有關國家機關為了征稅、行政處罰、信用懲戒、方便社會管理,共享了很多個人信息。是否都符合履行法定職責所必須?是否都符合當時聲稱的個人信息收集和使用規則?這些都需要進一步研究。”王超英認為,草案這方面規定得太原則,建議立法中要對國家機關共享個人信息范圍、程序以及相關保存期限等作出更加明確的規定,進一步明確規定國家機關處理個人信息和個人信息共享行為。

  中青報·中青網記者 王亦君 焦敏龍 來源:中國青年報

  2020年10月20日 05 版

(責編:趙竹青、初梓瑞)