新冠疫情发生后,大数据、人工智能、人脸识别等技术广泛应用在防疫中。突然增加的信息曝光,让很多人担忧自己的个人信息是否能得到有效保护。
今年全国两会,部分代表委员也提出了这一问题,并形成议案、提案、建议等,为个人信息保护提供政策参考。
全国人大代表、上海财经大学公共经济与管理学院院长刘小兵认为,为了应急防疫采取的一些措施,在疫情缓解之后应尽量取消,不能将暂时措施变成永久措施。全国政协委员、百度董事长李彦宏也建议,新冠肺炎疫情期间采集的个人信息应设立退出机制。
全国人大常委会法工委近日透露,《个人信息保护法》正在研究起草中,目前草案稿已经形成。起草该法的背景,就包括大数据、人工智能等新技术发展对个人信息保护带来的难题。
全国政协委员、北京国际城市发展研究院院长连玉明。受访者供图
建议1:个人信息应分类分级保护
近日,一份在京发布的《人脸识别与公共卫生调研报告》,对疫情期间公众对人脸识别的接受度进行了研究。报告显示,疫情中大规模使用的人脸识别及其增强形式,让很多受访者担忧其自身信息安全。
疫情的发生,让受访者对人脸识别的接受度有所提高,主要是考虑到社会安全的因素。但受访的1100多人中,60.3%受访者不知道哪些实体拥有自己的面部数据,93.8%的受访者认为自己有权知道,仅有33.5%认为自己的面部数据是安全的。
这一现象也受到全国政协委员、北京国际城市发展研究院院长连玉明关注。他注意到,这次新冠肺炎疫情防控在不断扩大公众知情权的同时,也出现了由于信息权保护缺失导致某些信息泄露的问题。
例如,缺乏根据应用场景对个人信息的分类分级保护,导致个人信息无序传播。掌握个人信息的主体多元,对这些机构主体在信息收集、使用、处理和保护方面,还缺乏规范和监管。另外,缺乏收集、使用和处理个人信息的合法性基础,无法保证个人信息有效使用于合法性事由,导致类似“人肉搜索”等隐私泄露问题。从另一方面看,个人信息泄露也直接影响公众对公共机构的信任,对疫情防控带来负面影响。
连玉明提醒,《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护的条款。借鉴欧盟GDPR,个人信息分为一般个人信息和特殊类型信息,后者也被称为敏感个人信息。
因此,在突发公共卫生事件应急处置中,姓名、出生日期、身份证件号码、生物识别信息、住址、电话、电子邮箱、定位数据、在线活动等行踪信息,也应“升格”为特殊类型信息,从个人信息权高度加以法律保护。基因数据、生物数据和健康数据等本身作为特殊类型信息,更应特别保护。
全国人大代表、上海财经大学公共经济与管理学院院长刘小兵。受访者供图
建议2:疫情缓解后部分应急措施应解除
全国人大代表、上海财经大学公共经济与管理学院院长刘小兵认为,为了应急防疫采取的一些措施,在疫情缓解之后,应该尽量取消,不能将暂时措施变成永久措施。
这一观点与调研报告不谋而合。上述调研报告显示,超八成受访者认为,公共卫生危机结束后,应销毁在非公共空间内搜集的人脸信息,超七成受访者希望减少不必要的人脸识别应用场景。
尤其是在恢复正常生活后,受访者普遍认为,应削减出于应对危机需要采集的人脸信息和部署的人脸识别应用。
“从政府管理角度,拥有更多居民信息或许有利,但从个人角度出发,自由一定会受到部分限制,所以这些临时应急措施不能称为常态。”刘小兵说。
全国政协委员、百度董事长李彦宏也建议,针对新冠肺炎疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。
针对后疫情时期个人信息管理,连玉明则建议,尽快启动建立专门的个人信息保护监管机构。借鉴香港个人资料私隐专员公署的做法,如果违反相关原则,隐私署有权发布强制执行通知、约谈数据使用者,并系统调查数据使用情况。“随着《网络安全法》的颁布实施和《个人信息保护法》《数据安全法》陆续颁布,建立个人信息保护监管机构势在必行。”
建议3:公共机构收集使用信息需依法规范
连玉明建议,行政机关、公共机构的信息收集、使用和处理需要在《个人信息保护法》中加以规范。
我国《传染病防治法》《突发公共卫生事件应急条例》对重大传染病疫情突发公共卫生事件应急处置中,授权进行个人信息收集和使用均做出明确规定。但现实中掌握个人信息的主体众多,包括地方教育部门、公安部门、铁路航空交通部门、基层政府工作人员、电信运营商以及互联网公司等。这些主体在什么条件下可以收集信息、收集哪些信息、如何收集信息,以及这些信息在收集后的安全使用,都应划定边界并依法规范。
连玉明说,对基于数据关联分析的个人信息应加大监管力度,对未经授权披露在传染病暴发期间收集的个人信息可能会使个人面临风险,包括污名化、歧视、暴力等,应依法提供足够的保护。
“现在有的小区强制安装人脸识别门禁,有的商店只接受移动支付,这些做法其实都将个人信息暴露在各种平台上,是有风险的。”刘小兵说。他认为,个人生活便利和隐私保护之间存在权衡关系,很多人为了获取便利将个人信息暴露在技术提供者的视野里,如果技术提供者没有受到良好的规范,就有隐私泄露的危险。
“比如说小区强制安装人脸识别门禁,个人可以请政府出面阻止,也可以起诉,外国就有这样的事件发生。”刘小兵说,但归根结底,在技术发展越来越快的形势下,个人永远要为自己的意识安装“防盗网”。
如果个人信息确实在疫情防控中遭到泄露,连玉明建议,面对在重大突发公共卫生事件应急处置中对侵害众多公民个人信息权的行为,以及相关行政机关违法行使职权或不作为致使众多公民个人信息权被侵害的,应当纳入检察机关公益诉讼范畴加以法律保护。
立法进展
个人信息保护法草案稿已形成 争取尽早提请审议
至少从2018年开始,个人信息保护就成了全国两会上的热点话题。
据媒体报道,2018年,至少有25名代表委员关注个人信息保护,并向大会提交了相关提案议案或建议。2019年,也有多名全国政协委员对数字经济时代个人信息保护存在法律缺位问题提出意见建议,焦点在于数据的权属及监管使用等方面。
全国人大常委会法工委有关部门负责人近日透露,近年来,全国人大及其常委会在制定修改网络安全法、民法总则、刑法、电子商务法等法律中,对个人信息权益、个人信息处理规则、个人信息安全保护措施等做出规定,不断完善个人信息保护相关法律制度。
这位负责人表示,随着大数据、人工智能等新技术发展,个人信息的收集、应用更加广泛,加强个人信息保护的任务更加艰巨。按照全国人大常委会立法规划和立法工作计划安排,从2018年开始,全国人大常委会法工委会同中央网信办,在认真总结网络安全法等法律实施经验、深入研究个人信息利用和保护中的突出问题、借鉴有关国家和地区法律制度的基础上,抓紧开展《个人信息保护法》的研究起草工作。
目前,《个人信息保护法》草案稿已经形成,根据各方面意见进一步完善后,将按照全国人大常委会立法工作安排,争取尽早提请全国人大常委会审议。
新京报记者 倪伟
编辑 陈思 校对 刘军