如何合法确定信息收集和使用的路径与边界?如何实现满足疫情防控需要和公民个人信息安全保护的平衡?
一、疫情防控所需个人信息收集使用的基本原则和法律基础。1、合法正当且必须原则 合法正当且必要原则要求收集公民个人信息必须有合法依据, 收集的手段正当,且为实现合法目的所必须。
合法收集个人信息的依据和基础,包括: a、依据法律、行政法规规定, 收集公民个人信息; b、基于特定的合同约定,公民授权特定对象收集公民个人信息; c、收集公民个人信息的手段和方式必须为法律法规许可,且不得违背公序良俗。
中央网络安全和信息化委员会办公室2020年2月4日发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(下称《联防联控通知》)第一条明确规定:各地方、各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
《网络安全法》第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
2、必要且最小原则 必要且最小原则,即要求收集公民个人信息的范围应仅限于实现收集目的之必要范围, 且对收集信息的保存期限不得超过必要使用期间。 《联防联控通知》第二条规定:收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
分析该规定可知:
1)疫情防控所需收集个人信息之对象,仅限于“确诊者、疑似者、密切接触者等重点人群”, 收集个人信息的对象要符合收集的目的。
2)疫情防控所需收集个人信息之范围,仅限定在一定期限内的旅行史、饮食史、接触史等与预防、控制疫情直接相关的信息。
3)疫情防控所需收集个人信息之目的, 仅限于疫情防控所必须使用之目的,不得为其他目的使用。
4)疫情防控所需收集个人信息之使用方式, 仅限于法定或信息主体同意的范围, 且不得与其他途径获取的个人信息混合使用。
5)疫情防控所需收集个人信息之保存期限, 基于疫情防控需要而收集的公民个人信息, 收集者应当在疫情结束后及时删除(法律行政法规要求保留的除外), 或者对相关个人信息采取去个性化技术处理。
3、知情同意原则 根据《网络安全法》第四十一条之规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 即只有在个人信息主体准确、充分的知悉相关个人信息收集和使用规则, 并且在能够完全意思自治的前提下,以明示方式予以同意,才能够收集、使用该公民个人信息。 在现有法律框架范围内,是否收集任何公民个人信息都必须经过信息主体“知情同意”? 《网络安全法》没有明确规定“知情同意”要求的例外, 但是《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》都规定了在特定情形下的公民个人信息报告义务,并且《信息安全技术--个人信息安全规范》(GB/T 35273-2017)在“知情同意”的原则下, 提出了可不经过信息主体“知情同意”而收集个人信息的例外。
《信息安全技术--个人信息安全规范》5.4条款: 征得授权同意的例外:以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:
a) 与国家安全、国防安全直接相关的;
b) 与公共安全、公共卫生、重大公共利益直接相关的;即, 如果收集公民个人信息是为了保护“与公共安全、公共卫生、重大公共利益”的需要, 个人信息主体没有“拒绝”的权利; 相反,即使没有个人信息主体的“同意”, 政府、政府部门、授权机关和履行法定义务的主体(包括按照法律法规和政府指令要求收集个人信息的企业)也有权收集法律规定的个人信息。 工业和信息化部办公厅《关于做好疫情防控期间信息通信行业网络安全保障工作的通知》(工信厅网安函〔2020〕22号)第七条要求: 加强个人信息和数据安全保护。落实《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》等要求,在积极利用行业数据、平台等支撑联防联控工作中,切实处理好数据使用与数据保护的关系,进一步强化个人信息收集、使用等各环节的规范管理,将个人信息和数据安全保护各项要求落到实处。
二、公民个人信息数据收集、关联分析、使用及其对疫情防控的作用。
1、数据收集的路径
1)交易或者支付信息。完整的交易或者支付信息中包含准确的时间,且交易/支付信息可与位置信息产生关联。
2)车票、机票、船票等行程信息。可基于购票实名制要求,获得所需的个人身份信息、购票记录、退改签信息以及联系方式。
3)住宿信息。可获得人员流动轨迹。
4)行车或者导航记录信息。可获得人员流动轨迹,车牌信息可与车辆登记人信息进行关联。
2、数据关联分析
1)基于传染源地点、感染时间(段)、感染人员等信息进行直接分析。如果已知传染源地点、感染时间(段)、感染人员等信息,可以直接基于交易或者支付信息、行程信息、住宿信息、行车或者导航记录信息,查找相关可能存在感染风险的人员,并进一步对其行踪轨迹进行关联分析。
分析方式包括:
a、基于手机号码进行关联分析。基于手机号码将不同行为信息相关联是可行性很高的一种措施。利用手机号码可以直接联络到用户,向用户提供相关信息;在电信运营商协助下,还可以确定使用手机号码人员所在相对精确位置。
b、基于IMEI/IMSI/SN/MAC/IDFA等设备硬件设备码以及软件生成的识别码信息的分析,可以成为形成行踪轨迹的关联点。
2)基于行踪轨迹的二次关联分析和风险预测。COVID-19可在人际之间传播,且潜伏期可能长达14天,很难捕捉传播的路径,因此,除了从已感染或疑似感染病毒的人群进行直接分析以外,借助大数据二次关联分析可以掌握与感染者或者疑似感染者有过接触的人员动向。 在风险预测方面,可以通过分析接触时间、接触时长、接触频次、接触空间特性,从而设定不同的风险级别,对高风险人群进行锁定和二次甚至多次追踪,并结合发病规律和人员流动规律形成预警数据,协助有关部门制定应对措施。
三、疫情防控特定情境中的公民个人信息的保护与平衡。
疫情防控特定情境中,数据利用与个人信息保护的思考和实践,为完善公民个人信息保护制度提供了全新的维度、思路和经验,立法者可以充分总结经验,将平衡原则从抽象的基本原则发展为可操作的法律规范:
1、审视和检讨数据利用与个人信息保护的平衡,全面考虑个人信息的敏感性、个人权益的可恢复性、公共需要的重要性和紧迫性等因素,处理好数据管理中宽与严的关系。
2、细化公共事件等特殊场景下的数据利用规则。明确个人信息权利与公共利益、司法或执法协助、学术研究等法律保护事由的合理界限,为数据利用和信息保护的平衡提供清晰指引和合理预期。3、具象并完善规则
1)以列举方式立法确定具有收集使用公民相关个人信息权力的决策机关和执行部门;
2)统一规则,健全机制,运用去标识化、数据加密等措施对数据进行脱敏处理,在数据关联分析过程中尽可能指向非特定对象身份。只有在确定数据对象存在风险或者可能存在风险时,才可以根据需要对数据对象身份进行标识。
3)采用严密的访问控制、数据加密、安保流程等技术和制度安全措施,防止数据泄露、丢失、未授权或者越权使用。
4)预设特定情形或者需要消除后的数据处理措施。