微信邦 发表于 2020-3-24 22:08:33

疫情之下的个人信息:如何既利用又保护?

对于个人信息而言,“合理的收集和利用”意味着既保护个人隐私安全,同时让信息在抗击疫情的扩散中发挥关键作用。


❒文 | 丁晓东中国人民大学未来法治研究院副院长

作为第一起爆发在数字时代的全球性流行病,新冠疫情考验的不仅是全球的医疗体系。它也为人类提出了一个社会治理难题:我们应该如何合理的收集和利用个人信息,以应对疫情危机?
对于个人信息而言,“合理的收集和利用”意味着既保护个人隐私安全,同时让信息在抗击疫情的扩散中发挥关键作用。
在数字时代之前,除了病毒自身的威胁之外,人类还面临着一个潜在威胁:信息盲区,即社会对于感染人群、可能感染人群和密切接触人群一无所知。在信息盲区下,我们对疫情防控无从下手。如今,因为互联网等数字技术的发展,个人信息的收集与利用成为了可能。有效的掌握相关信息,可以对制定防控措施、遏制病毒传播发挥巨大作用。
世界许多国家已经对此展开了相关实践。
例如,通过与欧洲移动通信运营商合作,意大利、德国、奥地利等国的卫生机构已经可以获取匿名的用户个人位置数据,以此来判断人员的流动。
据媒体报道,在意大利,政府通过这些数据来查看禁令的实施情况,通过对2月21日首例确诊病例以来的数据对比,意大利政府发现,两周左右时间内,超过300到500米的人员移动减少了约60%左右。

但另一方面,个人信息的合理保护同样紧迫。个人信息的收集与处理一旦超出了必要性,个人信息的储存与流转一旦出现安全问题,就可能会给个人带来切身的利益伤害。
很多地方已经出现了个人信息泄漏事件,有一些个人信息甚至可能已经被黑色产业与诈骗分子掌握,对公民的生命财产造成重大威胁。在此背景下,越是在个人信息大规模收集与利用的情形下,越应当重视个人信息的保护。
在疫情之下,个人信息到底如何“既保护又利用”?特殊时期的保护利用有何特殊性?常规情况下保护的原则与方法又应当如何调整?
从目前世界各国对于个人数据的使用情况中,我们可以发现这样几个“规律”——
▌涉及疫情的个人信息收集不适用“告知-同意”原则,不以个人同意作为信息收集的合法性前提
这一点可谓全球共识。
例如在2020年3月16日,欧洲数据保护委员会(EDPB)在《关于在COVID-19爆发的背景下处理个人资料的声明》中明确指出,雇主和公共卫生部门在流行病背景下处理个人数据,无需获得数据主体的同意。
从原理上说,这是因为疫情数据收集为抗疫和执法所需要,在执法关系中,收集个人信息的目的是公共利益,信息收集者收集此类信息并非为了商用或长期使用。在这类情形中,收集个人信息的公共利益具有优先性。
如果收集个人信息都要获取个人同意,那将造成大量的个人信息无法被合理收集甚至瞒报,给公共利益带来重大损失或威胁。
▌涉及疫情的个人信息收集与利用应当符合社会合理预期,遵守“目的限定”“数据最小化”等原则
这一点也已经得到各国认可。
我国中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》指出,收集联防联控所必需的个人信息,应“坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群”。同时,“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意”。
英国的信息委员会办公室(ICO)也在3月5日发布声明指出,疫情期间收集个人信息的能力并非是“无限的”,数据收集者应当保持“需要收集的最小信息量”。同时,如果确实有必要收集更多的数据,那么也应当尽量保证这些数据的安全,不得将此类数据用于其他途径。
这里尤其需要指出,个人信息收集的有限性与必要性不仅对于个人隐私保护至关重要,而且对于疫情信息的收集也至关重要。因为缺乏对个人信息收集的限制与对个人信息安全的保护,个人就可能不愿意积极配合政府与企业的个人信息收集。正如很多信息隐私法的权威丹尼尔·索洛夫(Daniel Solove)所言:个人信息的合理保护正是个人信息合理使用的前提与保障。
▌企业收集个人信息应视为政府委托,政府应积极接受疫情数据
从性质上说,疫情期间企业所收集个人信息实为政府委托,专为抗疫所需。因此,就关系而言,企业和个人之间形成了一种耶鲁大学杰克·巴尔金(Jack Balkin)教授所说的信息信托的关系,而且此类信托属于企业为了抗疫而进行的信托。
在此种关系下,企业对于抗疫个人信息的收集虽然合法,但不宜长时间保存或利用此类个人进行商业开发。将疫情信息用于商业开发,不仅违反目的限制原则,而且会造成重大风险。疫情数据是特定情形下收集的,涉及很多敏感信息,且不规范之处较多。
如果允许疫情数据数据,特别是如果疫情数据流入数据黑产或诈骗分子之手,将给相关人员造成重大风险。此外,疫情信息如果泄漏,将给社会带来重大信任危机,给未来疫情相关信息收集带来难度,增加信息瞒报的风险。
▌政府应利用疫情信息进行病毒溯源与研究
确保信息安全比较简单粗暴的方法是遵从“限期储存原则”,一删了之。但这种方法仍然是次优选项,这一选项虽然有利于保护个人隐私,却无法对疫情信息进行合理利用,发挥大数据应用的价值。
我国目前疫情尚未结束,海外疫情愈演愈烈,此时仍然需要相关信息帮助抗疫。而且,即使疫情彻底结束,也仍然需要疫情信息进行病毒溯源与科学研究,此类病毒溯源与病毒传播的机理研究对我国具有极为重要的战略价值,可以帮助我们追溯病毒的起源与传播机制。
而对于此类疫情信息的研究,政府既是责任主体,也更具有相关能力和正当性。我国政府可以考虑尽快接管疫情信息,对疫情信息进行匿名化处理,在保证疫情信息安全的基础上展开研究。


由此可见,疫情期间的个人信息收集的特殊性在于其公益性、迫切性和必要性。
从我国疫情期间的相关表现来看,大型企业在收集与利用个人信息问题上相对较为规范,但各类小区单位、小企业在个人信息收集问题上仍然存在很多不规范之处。随着抗疫进入持久战,个人信息的保护利用应当更为规范,对前期个人信息的清理、整顿、保护和合理利用工作应当及时展开。
页: [1]
查看完整版本: 疫情之下的个人信息:如何既利用又保护?