1、课题项目:2022 年浙江省大学生科技创新活动计划暨新苗人才计划数字时代生物识别信息使用监管体制研究以人脸识别为研究对象(2022R412A023)研究成果谢云云随着当前疫情局势的淡化,如何处理在此期间收集的海量个人涉疫信息成了急需解决的问题。自去年年底至今,多个涉及个人涉疫信息的平台发布相关声明称,将对该类数据进行销毁。2023 年 2 月 16 日,广东省的粤康码正式下线并完全停止服务。其官方公告表示:“停止以上服务后,我们将按照有关法律法规规定,彻底删除、销毁服务相关所有数据,切实保障个人信息安全。”随后不久,在今年 3 月 2 日,江苏省无锡市举行了涉疫个人数据销毁仪式,共销毁 10
2、亿多条相关数据。其在处理过程中还邀请了第三方审计和公证处参与,以确保数据完全销毁并无法还原。大量涉疫个人信息控制主体对于相关信息处理的积极态度得到了国务院的肯定。此外,无锡市以该种透明、可监督的方式进行涉疫个人数据公开销毁的行为,更是获得了中央和人民群众的大力赞扬。不可否认的是,相关涉疫个人信息销毁的声明及工作展开以公民的个人信息安全为出发点,不仅向公众表明了诚意,也可达到良好的社会效益。但针对涉疫个人信息是否需要被完全删除,社会中存在着不同的看法。其中,部分人支持该类信息必须完全销毁。例如,全国人大代表胡成中、于宁杰等人认为,对相关信息的收集是紧急情况下的非常态之举,限时处理并彻底删除可以有
3、效防止公民隐私数据泄露,切实履行依法执政。中国政法大学法学院教授赵宏在其撰写的新冠“乙类乙管”之后,健康码还有必要存在吗健康码下线为何如此难等多篇文章中同样提到过有关涉疫个人信息的数据删除工作必须提上日程。与此同时,也有声音认为该类信息可做出适当保留。例如,大数据协同安全技术国家工程研究中心副主任钟力提出“数据作为生产要素,应该充分激活其价值”“涉疫相关数据对各级政府来说是一笔宝贵财富”。中关村工信二维码技术研究院院长张超也认为该类流调资源具有极大的科研价值,可为应急防控长效机制的研究提供样本。对此,笔者赞同该类信息必须完全删除。首先,该类来源于公民个人信息权益紧急让渡的信息,在目前我国疫情防
4、控处于常态化“乙类乙管”阶段的情况下,已然失去了合法性基础。其现存状态并未获得公众的同意,不仅有损民心还是对个人信息权益的不尊重。同时,由于防疫过程中的相关信息收集使用程序并未发展完善,目前的数据脱敏技术在使用中也并不成熟,无法规避信息泄露或滥用的风险。即便是经过匿名化处理的信息,其重大性或关联性或可被抹除,但“残存的可识别性”却无法被根除,仍有被还原的可能性。此外,当前时代下,只要掌握碎片化的个人信息,再通过对该信息进行数据挖掘及整合,完全有可能形成针对个人的数据画像,影响公众的正常生活。对我们而言,相较于隐私的泄露,被预知的可能性更是一个重大的风险。该类涉疫个人信息将来的应用领域是否正义,
5、是否会侵犯到公民个人的合法权益,这些都存在很大的未知性。需注意的是,虽然笔者支持该类数据应被完全删除,但是由于目前疫情尚未退却,仍需对具有防疫价值的信息进行提取凝练,做出暂时性的保留,待其失去防疫价值后,再逐步删除。同时,相关部门还要加强审查数据泄露、滥用及利用涉疫数据进行相关违法违规活动等问题,并进行针对性的处理。此外,考虑到数据利用确可在一定程度上促进社会的更好发展,相关人员可借鉴防疫中数据收集和使用程序的经验,设计新的系统,进行技术和安全性能等方面的改良完善,在取得公众同意后,重新收集数据。作者单位:浙江农林大学文法学院涉疫个人信息清除的障碍及破解对策研究205 7月刊 2023Shan
6、ghai Business一、我国涉疫个人信息清除过程中面临的问题对于涉疫个人信息的清除,理论上存在“各自销毁”和“统一处理”两种形式,笔者更支持后者。“各自销毁”对信息控制主体的自觉性要求度极高,具有防疫研究价值的信息筛选提取工作也将受到各主体的技术水平限制,而且还需再次思考二次提取信息的保存主体。不仅难以保证具体落实效果,还为后续责任追究带来巨大不便。相较而言,“统一处理”将信息进行集中化处理,从以上几个方面来看更为妥帖。但该处理方式同样也面临着不少挑战。1.涉疫个人信息实际控制主体混乱前期疫情的突发紧迫性导致相关人员迫切需要在短期内利用大数据确定病毒的传播路径及范围。为此,我国 传染病防
7、治法 第12条、突发公共卫生事件应急条例第 36 条以及第 40 条将有关个人涉疫信息收集处理的主体从卫生行政主管部门、疾病预防控制机构、医疗机构和相关专业机构等法定的信息收集主体扩展到了居委会等其他基层组织。希望通过增加具有资质的信息采集单位,提高信息的采集与整合效率。但由于相关经验的缺乏,防控期间,大量企业、商店等不具有合法授权及规范保护措施的组织机构也在收集个人信息。涉疫个人信息泄露,数据买卖交易等情况又进一步扩大了涉疫个人信息实际控制主体的范围。相关涉疫个人信息控制主体不明,信息多头采集、多方保存、多层管理等乱象使信息难以得到完整地回收和处理。2.涉疫个人信息收集与处理技术标准非统一化
8、由于防疫初期经验不足,涉疫信息的收集工作大多采用纸质登记表形式。即使在后续“健康码”等相关电子信息搜集系统普遍推行后,为了方便信息的收集(考虑到偏远地区、老人等因素),很多情况下也仍保留了该方式。就目前而言,有关部门并未对该类记录着大量个人敏感信息的纸质资料做出具体的处置决定,其大多仍堆积留存于各类社区场所、单位、企业中,无人监管。此外,即便是通过电子化方式采集的涉疫个人信息,不同授权主体在实际操作过程中也并未形成统一的线上采集渠道,收集内容的设置上也各有差异。诸如此类涉疫个人信息登记载体不同、收集标准阙如,多头重复收集等问题加大了信息回收方式及后续分类处理的难度。3.相关法律规定模糊目前我国
9、并未对涉疫信息的“善后处理”进行明确规定。2018 年 5月 1 日实施的信息安全技术个人信息安全规范 突发事件应对法 传染病防治法 以及 个人信息保护法等疫情期的专门法也仅模糊提出了自目的达成后,应及时根据约定删除个人信息。由于缺乏明确化的指标路径,涉疫个人信息的善后难以得到具体落实。4.相关主体对涉疫个人信息价值的利益衡量数据时代下,相关涉疫个人信息具有强烈的个人色彩和主体特征。并且,由于当前信息应用场景的丰富化,通过现有技术对其中某一地区或群体的信息进行统筹整合后,可为医学、商业等社会领域创造极大价值。从疫情期间信息数据交易买卖以及数据使用脱离防疫目的等事件的频发程度来看,难免会有信息控
10、制者在利益诱惑面前铤而走险,对回收工作不予配合。同时,对于当下正在进行数字化大转型工作的政府而言,其在日常工作中本就需要向公民主动且频繁地收集数据,该类信息可大大提高其管控及工作事务的效率。部分政府部门也可能会抱有侥幸心理,私自保留该类信息。公权力的越界将极大削弱对个人信息的保护力度。二、涉疫个人信息清除障碍的破解对策当前数据时代下,若想达到对防控中所收集数据的完全影响消除显然不现实。故后续的信息回收、处理及销毁目的在于尽可能减少信息控制方对于涉疫信息的掌握程度,在宏观视角下,实现涉疫个人信息的清除,对公民的信息权益进行有效保护。对于集中处理工作的展开,笔者认为应当设立统一且全过程的处理体系,
11、相关工作人员须具有一定专业性,且回收及处理工作应独立于社会和其他政府部门,以防干扰。在此基础上,可以考虑以下几个方面:1.回收义务性与主动上交相结合据上文所述,涉疫个人信息的掌握主体可以分为两类:一是卫生行政主管部门、疾病预防控制机构、医疗机构和相关专业机构等法定的信息收集主体及其授权组织。二是虽未被授予收集资格但实质占有部分涉206French court法苑疫个人信息的其他主体。针对前类主体,我国传染病防治法突发公共卫生事件应急条例等相关法律规定其具有强制性的配合义务,基本上可以达到对数据的完全回收。但由于后者所涉主体不明,对于信息的回收工作的配合很大程度上仍要靠其自觉。对此,笔者认为可以
12、通过强调泄露危害性及规定后续泄露责任承担加大,或是上交后,有相关信息证明已尽到合理安全保障义务的不需追责等形式,促进该类主体配合上交。2.构建及完善回收处理机制(1)收集方面建立涉疫个人信息回收站。由于大部分的涉疫信息均为电子化数据,笔者以为相关技术人员可以研究建立全国化的电子版个人涉疫信息回收系统,对各地的相关信息进行集中处理。电子涉疫个人信息控制者可通过将数据上传至该系统中,并删除备份,脱离对信息的掌控。纸质个人信息控制者应将信息交于政府部门,由相关政府部门将其电子化上传系统后,再对纸质材料及相关数据进行销毁删除。(2)处理方面由于当前疫情并未完全退却,部分涉疫个人信息仍具有一定防疫价值,
13、故需依据其对防疫的价值程度及对个人的影响程度,对相关信息进行分级分类处理,并设置对应的存续周期。无防疫价值的信息,必须彻底删除;仍有防疫利用性的,只有通过“脱敏化”处理后才能用于防疫领域,且一旦失去防疫性,同样须彻底删除。(具体使用要向该系统提出申请,且保证使用完后销毁)同时,相关部门还需制定并不断优化处理评判标准及动态场景化规定数据存续的不同周期标准。(3)数据安全方面由于整体流程对该系统的依赖性较强,且系统内几乎涉及了所有涉疫个人信息,安全问题不容忽视。必须加强技术研发升级工作,定期对系统进行评估,确保处理过程的安全性。同时注意对算法进行记录、留档和解释,为后续的责任追究提供便利。此外,还
14、要建立严格的访问机制,只有负责具体工作的内部人员才能实名访问处理过程中的信息,且可视化的信息均需受过脱敏加密处理,最大限度减少信息传播范围。3.加强公众参与监督基于算法系统处理流程的不可视性,有关该系统信息处理的基本原理、防疫价值评判标准、数据动态留存期评估标准、留存信息对个人的影响程度分析及系统安全性的定期评议结果等相关信息都要向公众进行合理形式的通俗化公开。同时,因公众无法验证其信息是否被真正销毁,相关部门须加强解释说明,进行过程与结果的全方位监管,并设立公众反馈渠道。此外,可尝试开放个人窗口,保障公众对自身留存信息的知情权。对于可能存在处理不到位的情况(留存过多或未进行数据脱敏),公众有
15、权要求采取补足止损措施(部分删除、数据匿名化等);对于系统评估可删除但仍存在一定防疫研究价值的信息,公众可授权在一定期限内同意使用,并要求合理补偿;以及对于失去防疫价值而未被及时处理的信息,公民可请求销毁数据及赔偿相应的损失。最后,在涉疫个人信息的善后工作中,公众必须提高防诈骗意识及个人信息保护意识,积极行使相关权利。4.明确涉疫个人信息处理的指标路径在立法上和行政方面,相关部门需加快制定有关涉个人疫情信息销毁的内容及相关程序性规定,在法规及配套的行政政策上提出具体的落实指导。在司法追责方面,由于涉疫个人信息在处理回收中,可能存在多种形式的信息泄露,具体可分为以下几类:一是信息控制主体未上交相
16、关信息后续产生的泄露;二是信息控制主体上交信息后发生的泄露。其中又可分为该泄露最终来源于上交前及上交后。上交前包括明知泄露故意隐瞒、未尽到合理注意义务、已尽到合理注意义务仍无法避免等情况;上交后也存在相关处理人员疏忽或故意、系统自身安全性及外部攻击等影响因素。可从以上方面考虑最后的责任承担主体认定及具体承担比例。三、结语虽然疫情防控正在走向尾声,但对涉疫个人信息影响清除化的征程才刚开始。涉疫个人信息的回收处理工作并非“孤岛”,只有社会各方共同努力,才能保证该类信息的有效“隐退”。此外,仍需对该次抗疫进行复盘和经验总结,通过研究构建应急情况下有关个人信息的保护及处理机制,为常态化下的个人信息保护提供布局经验,实现个人信息保护的进一步发展。207 7月刊 2023Shanghai Business
浙ICP备2021020529号-1 | 浙B2-20240490 
