苏奎:涉疫个人信息疫后处理不能考虑功利
来源:观察者网
2021-01-07 07:42
【文/ 观察者网专栏作者 苏奎】
2020年12月15日,有大量媒体转发了“国务院:突发公共卫生事件应对结束60天内删除收集调用的个人信息”这样一条新闻,考虑到疫情期间已经出现的数起个人信息恶意泄露事件,可以说这样的新闻标题确实让人兴奋。
不过,在查证事实后,基本可以确定,这是一个名不副实的标题,迄今为止,国务院没有做出过这样的规定。
追根溯源,具体规定的内容是出自全国信息安全标准化技术委员会于2020年8月公开征求意见的一份推荐性国家标准——《网络数据处理安全规范》,其中要求:突发公共卫生事件应对工作结束后,指定机构应停止收集、调用个人信息,并在60天内或者国务院卫生健康行政部门规定的时限内删除在突发公共卫生事件应对中已收集、调用的个人信息。
该标准的征求意见稿,只是规定了如果国家卫健委没有明确规定疫情结束后删除已经收集的个人信息的时限要求,那么删除时间不应该超过60天。事实上,一个推荐性国标并没有对国家卫健委提出工作要求的权力,只是假设了国家卫健委可能会有时限要求,即使有,也不一定是60天。也就是说,60天并不是一个已经确定的时限。另外,无论是制定标准的“全国信息安全标准化技术委员会”,还是标准中提及的“国务院卫生健康行政部门”,也不完全等同于“国务院”。
显然,这是一个乌龙新闻,但反映了人们对个人信息保护的期望。近期,四川成都赵某个人信息泄露、湖北黄冈购买感染冷冻食品的网民个人信息泄露等,都使当事人个人生活、工作陷入崩溃,在不幸遭遇感染或密接后,又受到了精神上的二次摧残。这种大量传播的平庸之恶,如同病毒一样,实在不该重复发生了。
尽管受到国际疫情防控不力的拖累,中国疫情防控还有很大的压力,但保住胜利成果应该没有悬念,确实是时候考虑后疫情的个人信息处理。《网络数据处理安全规范》设置了突发公共卫生事件个人信息保护专章,针对性、时效性很强,是对当下公众关注的涉及疫情个人信息保护突出问题的直接回应。
疫情期间收集的个人信息的收集主体主要是各级政府部门或者委托的企事业单位,如何处理这些个人信息,将是国家对个人信息保护决心的试金石,也能向社会宣示国家保护个人信息的决心。
个人信息保护力度前所未见
据媒体报道,中央经济工作会议12月16日至18日在北京举行,中央经济工作会议指出,要完善平台企业垄断认定、数据收集使用管理、消费者权益保护等方面的法律规范。中央经济工作会议明确反垄断和数据收集使用管理是互联网平台企业的两项治理重点,可以说,这将个人信息保护和信息安全提升到了前所未有之高度。
12月21日,全国人大常委会法工委发言人岳仲明在记者会上介绍了2021年全国人大的重点立法工作,其中包括了数据安全法、个人信息保护法等涉及个人信息保护的法律,明年将安排常委会会议继续审议,争取早日出台。
12月24日,在国新办新闻发布会上,工信部称将研究制定《APP个人信息保护暂行规定》。
加上之前已经出台的一些法律法规、司法解释、部门规章(注1),可以看出,近两年,特别是今年,个人信息保护与监管对外释放的信号十分强烈,法律法规即将体系化,并趋于完备。
按照中国法律的传统,法律法规规定一般都比较“原则性”,在操作方面还需要更加具体的标准规范进行指导。特别是2020年以来,国家互联网信息办公室、国家质量监督检疫检验总局、全国信息安全标准化技术委员会等部门和机构也先后发布了一批国家行业标准(注2),显示出我国政府与行业机构协同整治侵犯个人信息权益的违法违规乱象、保护个人权利、公共利益的政策趋向。
在执法方面,有关监管机构今年也是相当活跃。移动互联网逐步成为老百姓上网的主要方式,移动应用程序违法违规处理个人信息可以说是重点。我国境内APP上架总量已超过350万款,头部应用更新频繁,几乎每两周都会进行版本更新,中小应用更是层出不穷,执法检查工作量可以说是异常巨大。
据工信部信息,在7月份完成建设了全国APP技术检测平台后,目前检测能力已经达到了月均8万款。截至12月,已经对52万款APP进行了技术检测工作,责令1571款违规APP进行整改,公开通报了500款,对整改不到位的及拒不整改的120款直接下架。
在工信部此前连续开展的九批次集中检查中,违规收集个人信息、违规使用个人信息、强制索权等3个问题突出,占比分别为32%、20%、21%。
很多国民级的APP都存在违规处理个人信息的问题,按照12月19日工业和信息化部发布“关于侵害用户权益行为的APP(第一批)”通报,如QQ、新浪体育等41款APP存在违规行为,存在“强制用户使用定向推送功能、不给权限不让用、账号注销难、私自共享给第三方、过度索取权限”等问题。如此之多的明星应用程序都存在明显违法,甚至相当恶劣的侵害个人信息的行为,可见个人信息保护已经到了必须加强立法规范、必须加强执法落实的时候了。
好消息是,工信部表示,原定于2020年12月份结束的APP侵害用户权益专项整治行动,将在此前的基础上再延长半年至2021年年中。
从世界范围看,特别是欧美地区,在个人信息保护领域,可以说是乱世用重典。2019年5月,谷哥公司因违规处理个人信息,被法国监管机构处罚5000万欧元。2020年12月15日,推特公司也是因此被欧盟处罚45万欧元。
除了互联网公司,连传统行业也有可能被重罚。2020年1月13日,尽管英国还在奋力脱欧,但英国监管机构还是以违反个人信息保护有关法律为由宣布分别对英国航空、万豪酒店集团处以1.83亿英镑和9900万英镑的重罚。
美国的监管机构也不手软。2020年6月,脸书(Facebook)因未经用户同意收集用户生物特征信息在美国伊利诺斯州被诉,为解决诉讼,支付用户赔偿金6.5亿美元。而上一年(2019年),脸书(Facebook)因为个人信息泄露,被美国联邦贸易委员会罚款竟然高达50亿美元。
但遗憾的是,工信部门通报的多批次违规收集个人信息案中,基本都是通报批评,以治病救人为原则,并没有更严厉的行政处罚。事实上,中国现有法律同样是有牙齿的,只不过监管部门谨遵“行政谦抑”的原则。按照2013年制定的《电信和互联网用户个人信息保护规定》,也可以处一万元以上、三万元以下的罚款。
不过,根据《网络安全法》第六十四条,网络运营者侵害个人信息,没有违法所得的,处一百万元以下罚款。对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款,情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。而最新的《个人信息保护法(草案)》则将最高处罚额拉升到5000万元或者营业额的5%,与欧盟规定的2000万欧元或全球营业额4%的处罚上限基本接轨。《网络安全法》比《电信和互联网用户个人信息保护规定》阶位更高,时间更近,应当优先适用。显然,相关监管部门已经手下留情了。
个人信息自决权
2021年新年伊始,《民法典》开始实施。虽然国内理论和实务界对于个人信息究竟属于权利还是利益尚存争议,民法典也没有规定“个人信息权”,但是,《民法典》作为民事基本法,在人格权编中明确规定了“个人信息保护”的基本原则、个人信息处理者的义务和责任。2020年12月30日,最高人民法院发布了与民法典配套的第一批共7件新的司法解释,其中就有“关于个人信息保护”。
保护个人信息本身不是目的,而是要防止因个人信息的处理而产生的对人身财产权益乃至人格尊严、人格自由的侵害的风险。因此,从作为个人这一方来说,其主要的利益是一种防御性利益,即被非法处理而致人身财产权益遭受侵害甚至人格尊严与人格自由受到损害的利益。为了协调个人信息保护与信息的社会经济利用的关系,我国民法典没有规定个人信息权,而是作为人格权益(注3),使用了“个人信息保护”的表述。
可以说,《民法典》的设计是煞费苦心,创立个人信息权或所有权极有可能传递出限制个人信息的开发利用、限缩互联网经济发展空间的意味,而个人信息保护的概念则是意图平衡个人信息的支配程度与利用空间。
事实上,无论国内外的立法实践,个人信息保护制度最重要的制度设计就是建立在个人信息自决基础上的“告知—同意”准则,或者说“告知—同意”实质是明确了个人信息的自决权,个人信息的处理与利用必须获得个人的同意,个人有权否决对个人信息的处理与利用。在我国已经完成的立法来说,《民法典》和《网络安全法》均将此作为整个保护制度的基石。
如《民法典》1035条:
处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意。
《网络安全法》第四十一条同样规定:
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
魔鬼在细节。何为同意?何种方式取得同意?同意的内容究竟是什么?这些都是非常关键的问题,也是欧美立法过程中争议的焦点问题。然而,无论是《民法典》,亦或是《网络安全法》都付之阙如,规定相当“原则性”。
2020年10月21日,全国人大公布的《个人信息保护法(草案)》进行了补缺,第十四条规定:
处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
对于敏感信息(如个人生物特征信息、地理行踪信息、财务信息等),第三十条特别规定:
基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
显然,《个人信息保护法》明确了“同意”的确立原则,也就是知情、自愿、明确,以及特殊情况下的单独同意或书面同意,同意的内容包括个人信息处理目的、处理方式、处理的个人信息种类以及处理主体。
2020年10月1日开始实施的国标《个人信息安全规范》进一步区分了授权同意和明示同意。授权同意包括积极行为作出的明示同意(典型行为包括主动勾选、主动点击“同意”“注册”“发送”“拨打”等肯定性动作,或者主动提供信息)和消极不作为作出的授权(如在告知信息收集行为后,仍不离开信息采集区域)。也就是说,授权同意是一个相对低的同意标准,而明示同意是更高的同意标准,单独同意或书面同意则是最高的同意标准。
尽管国标并非法律法规,但这反映了制定单位的理念。这份以推荐性国标的形式所确立的同意标准,相对于欧盟以法律的形式对于“告知—同意”所确立的标准,中国的个人信息保护确实是要弱一些,或者说更加倾向于数据的利用与流通。
如欧盟2018年5月25日生效的《通用数据保护法案》(GDPR)对于何为“同意”确立了5项标准,包括自由授权(freely given,即不受胁迫、诱导,如同意与否不能成为是否能继续享受网络运营方服务的条件)、充分知情(informed,特别是信息使用的原因和处理的目的,以及如何撤回同意)、清楚易懂(unambiguous,语言朴实、直接、清晰)、特定的(specific,对于不同处理类型<信息的收集、利用、储存、售卖等都统称处理>都需要获得独立的同意)、肯定性动作(如不能够以默认勾选再由用户点击同意按钮而获得同意)。
一些相关行业网站都重点介绍了GDPR的“同意”的五项标准,并将“同意”视为GDPR的基础之一
美国加州也曾经多次试图参考欧盟的标准,但遭到了互联网等众多行业的集体抵制,在最终成案的《加州隐私法》(2018及2020年)中,也还是没有能够实现。
事实上,默认勾选是中国互联网行业的通行做法,也是企业最期望的做法,这恰恰是欧盟所否定的做法。表面上看,由个人用户来勾选,还是由网络运营方来勾选,并没有本质差别,但这微小的差异几乎就是数据利用和个人信息保护平衡的分界线。2019年10月欧盟最高法院在德国彩票网站(Planet49 GmbH)个人信息违法行政处罚争议案中,对“告知—同意”原则标准进行了详细阐释,明确否定了任何以沉默、不作为的方式或默认勾选的方式作出的同意授权。
公共利益的边界应该明确划定
个人信息保护的黄金法则——“告知同意”原则并非没有例外,政府为了公共利益可以不遵循该原则。《民法典》1035条规定,法律和行政法规有规定的,可以无需个人同意直接处理个人信息。1036条更进一步明确:处理个人信息,有下列情形之一的,行为人不承担民事责任:(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
《个人信息安全规范》标准5.6有更加清晰的表述:
征得授权同意的例外
以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:C)与公共安全、公共卫生、重大公共利益直接相关的。
对疫情期间的个人信息保护问题,早在疫情初期(2月9日),中央网信办就已经发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确涉疫情个人信息收集的主体、处理原则等。
中央网信办在通知第一条中指出:各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。显然,中央网信办的通知明确只有法律授权处置公共卫生事件的机构有权在未经个人同意直接收集处理个人信息,其他任何机构即使以防疫的名义都不能突破“告知同意”准则。
更值得注意的是,全国人大正在征求意见的专门法《个人信息保护法》则采取了更加谨慎的做法,第三十五条规定:国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。显然,对于为维护公共利益需要处理个人信息的,仍然着意维护“告知同意”的黄金法则,对于例外情形的应用则设置了较高的门槛。考虑到《个人信息保护法》是在疫情期间征求意见的,可以认为这是对疫情期间一些地方以维护公共利益的理由不合理侵犯个人信息的回应。
为了公共利益,法律要求人民临时让渡出个人信息自决权,允许法定公共管理部门合理使用个人信息。可以说,相比其他各国,大数据应用是中国疫情防控取得伟大胜利的法宝之一,个人让渡信息自决权的收益是获得了全世界最好的公共卫生安全。但公共利益的边界只能由法律法规划定,任何划设的恣意或者越界,都将威胁个人的人格尊严,甚至公共利益本身。
涉疫情个人信息处置不能考虑功利
9月3日,苏州市公布了“苏城码”APP的重磅升级,推出全国首创的“苏城文明码”。按照官方的描述,“一人一码”构筑文明积分,让“文明”成为每个市民的通行证,文明积分等级高的市民将会享受工作、生活、就业、学习、娱乐的优先和便利。
听起来,这个“文明码”是城市管理部门管理精细化、数字化的体现,是一种值得提倡的管理创新。然而,该新闻甫一面世,没有等到社会的掌声,反倒是遭到了几乎一边倒的质疑声。9月6日,相关部门就宣布结束试用以平息舆论。
事实上,苏州的做法并非孤例。几乎所有地级以上的市、省级政府在疫情期间都组织开发了健康码APP和小程序,在疫情稳定后,很多地方政府都已经在考虑如何再利用已经收集的个人信息和数据。苏州利用健康码APP增加城市管理的功能,这毕竟还是公共事务,但不少地方甚至已经在研究如何交由企业商业化,将已有的用户资源利益最大化。毕竟开发健康码APP也是花了不少钱的,更重要的是,几乎所有本地人都已经强制成为了用户,这样的机会并不多,甚至就是千载难逢的机遇。
事实上,中央网信办在《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确指出,“为疫情防控、疾病控制收集的个人信息,不得用于其他用途”。也就是说,国家早在疫情初期,已经对涉疫情个人信息的处理有了规定,地方任何试图功利化利用涉疫情个人信息的做法都是违规的。
从法律的角度看,《网络安全法》第四十二条明文规定,“未经被收集者同意,不得向他人提供个人信息”。《个人信息保护法(草案)》第二十条规定:个人信息的保存期限应当为实现处理目的所必要的最短时间。《个人信息安全规范》6.1要求,个人信息存储期限应为实现个人信息主体授权使用的目的所必须的最短时间。超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。可以说,有关法律和规范,对涉疫情个人信息在疫情防控结束后,也就是收集的目的实现后,如何处置个人信息已经有了非常明确的规定。
更重要的是,为防控疫情收集的个人信息,其目的是为了防疫之公共利益,是在紧急情况下的应急行政行为,并没有取得个人的同意,除了存储期限以外,任何偏离疫情防控的个人信息再使用、流动或转移,都与我国个人信息保护所确立的“告知同意”准则相悖,均属于违法行为。
需要提醒的是,个人信息违法处理还涉及犯罪。《刑法》对此也有明确的规定:
第二百五十三条之一【侵犯公民个人信息罪】
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
按照2017年5月《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,应当认定为刑法第二百五十三条之一规定的“情节严重”,也就是可以判处三年以下有期徒刑。“造成重大经济损失或者恶劣社会影响的”,就可以被认定为“情节特别严重”,刑期甚至可以达到三年以上七年以下。
对于由国家公共机构因防疫而收集的个人信息,“情节严重”的认定标准更低,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的”就达到了“情节严重”的认定标准。
当然,《网络数据处理安全规范》还是留有特殊通道,只不过对例外设置了较高的门槛,“指定机构收集掌握的个人信息,未经个人信息主体同意,不得公开或者非法向他人提供,不得改变用途。确需公开、向他人提供或者改变用途的,应报指挥部或者国务院卫生健康行政部门同意”。也就是说,一些地方要再利用涉疫情个人信息,需要经过国务院或者国家卫健委批准同意,地方并不能擅自决定。
个人信息保护是当前国际互联网治理的热点和焦点,国家从战略的高度将之确立为社会治理的重点工作,既是保护公民个人的合法权利,也是国际互联网治理竞争的需要。无论涉疫个人信息利用的价值有多大,已经花费了多大的成本,我们的各级政府也要抵挡住这样的诱惑,政府守法就是最好的普法。个人信息保护真正得以实现,并不能寄希望互联网企业对于个人信息保护发自内心的尊重,而是来自于多重制度性保护。当下,没有什么能比政府的率先垂范更有力量。
制度是价值的外化。个人信息保护需要政府躬先表率,向全世界展示中国政府保护用户个人信息的坚定决心,让全世界看到中国政府能够在疫情期间向自己的人民提供最好的生命保护,但并不是以牺牲个人的人格权益为代价。
注1:包括《关于加强网络信息保护的决定》、《消费者权益保护法》、《电子商务法》、《网络安全法》,以及《民法》、《刑法》修正案、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律和司法解释;工信、网信等监管部门制定的部门规章,如国家网信办制定的儿童《个人信息网络保护规定》、《数据安全管理办法(征求意见稿)》,工信部制定的《电信和互联网用户个人信息保护规定》等。
注2:包括《信息安全技术个人信息安全规范》、《信息安全技术 网络数据处理安全规范(征求意见稿)》、《APP违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息告知同意指南(征求意见稿)》、《信息安全技术移动互联网应用(APP)收集个人信息基本规范(征求意见稿)》、《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南(征求意见稿)》、《APP用户权益保护测评规范》和《APP收集使用个人信息最小必要评估规范》等。
注3:《民法典》第九百九十条第二款规定:“除前款规定的人格权外,自然人享有基于人身自由、人格尊严产生的其他人格权益。”
本文系观察者网独家稿件,文章内容纯属作者个人观点,不代表平台观点,未经授权,不得转载,否则将追究法律责任。关注观察者网微信guanchacn,每日阅读趣味文章。