全國人大常委會會議審議個人資訊保護法草案——
大數據時代防止“裸奔” 立法當如何作為
大數據在疫情防控中發揮了重要作用,特殊時期收集個人資訊也成為常態,一些小區甚至開始實行人臉識別。問題是,這些資訊到底該怎麼收集處理?怎麼保存保管,一旦洩露怎麼追究責任?要知道,“身份證、手機號、姓名、住址,再加上生物資訊,就是每一個人最全的資訊了。這些資訊一旦洩露,就是‘裸奔’了。”
---------------
“新冠肺炎疫情防控工作中,大數據在重點人群監測預警和統計分析方面發揮了十分重要的作用。但同時也出現了一些個人資訊的無序傳播,一些患者、密切接觸者和外地返鄉人員的姓名、身份證號碼、居住地址、聯繫方式等資訊被非法傳播的案例,對個人和疫情防控工作都造成了負面影響。”
10月13日,備受關注的個人資訊保護法草案首次提請十三屆全國人大常委會第二十二次會議審議。10月16日上午,在與會人員對草案進行分組審議中,全國人大常委會委員劉修文提出的這個問題,引起委員們的熱議。
個人資訊保護立法要注重可行性
陳斯喜委員認為,草案目前一些概念還比較模糊,含義不清楚,將給實施帶來困難。個人資訊保護法具有可行性,關鍵要處理好幾個關係。首先,公開資訊的收集與專門採集的資訊要區分開,進行分別對待。比如,已向社會公開的資訊就應當允許收集;其次,公開資訊與非公開資訊怎麼保護要有區別。比如,個人採集的資訊、有關機關掌握的資訊,應怎麼保護?不該公開的個人資訊公開了就要嚴肅處理;最後,要區分採集的資訊是自用還是出售、轉讓。此外,臨時採集識別與長期保存個人資訊也應區分開來。比如現在一些單位、社區已經實行人臉識別,這種採集是暫時的還是永久儲存,就要區別對待。“總之,這幾個關係要理清楚並分門別類作出規範,法律才具有可行性。”陳斯喜説。
王超英委員認為,個人資訊保護立法必須要平衡好保護個人資訊和維護公共安全的關係。“這是這部法律立法一個很重要的點。”
在他看來,目前草案雖然有所涉及但還不夠。疫情防控期間,大家都見到了很多收集個人資訊的場景。比如在防疫最緊張的時候要進入一些地方,一定要求登記身份證、手機號、姓名、住址,實際上這4個加上生物資訊就是每一個人最全的資訊了。這些資訊如果一旦洩露,就是“裸奔”了。
“現在還有生物識別資訊,比如小區的人臉識別,這種必要性到底是什麼?這些資訊在這些最基層的單位到底應該怎麼收集和處理?怎麼在法律上規定做到收集個人資訊最小化,並且應當符合比例原則,在什麼情況下應當收集什麼資訊。這些資訊怎麼保存保管,一旦洩露法律責任當然有了,這些責任誰去追究、怎麼追究?這些還要再研究。”王超英錶示。
劉修文針對草案中應對突發公共衛生事件等情況下對個人資訊保護的豁免性規定提出了意見,他表示,收集個人資訊並進行大數據分析是進行高效社會管理的有效途徑。世界各國在突發公共衛生事件下,採用公共利益優先原則,有限地突破個人資訊保護屏障,跟蹤和披露疫情資訊已成為慣例。但這並不意味著“公共衛生”“公共安全”可以直接成為個人資訊保護豁免的萬能理由。
劉修文表示,新冠肺炎疫情防控工作中,存在流動人員同時面對流出地和流入地街道、社區、公安、所在單位等多層級、多部門的資訊採集,既造成了行政和社會管理資源的浪費,也加大了個人資訊管理的風險。通過細化個人資訊共用操作規範,才能減少重復採集,提高應對效率,防範個人資訊保護豁免情況下的資訊洩露。
劉修文建議,要進一步研究如何權衡公共需要與個人權利,以劃定合理的個人資訊保護與利用界限。根據比例原則的要求,將個人資訊的損害限定在最小範圍。包括:盡可能明確突發公共衛生事件或者緊急情況下有權採集個人資訊的主體;強化採集主體的個人資訊安全保護意識和保護義務,以降低資訊暴露風險;明確突發公共衛生事件或者緊急情況下個人資訊數據共用規範和後續個人資訊處理機制。
個人資訊保護立法重在解決難題
全國人大常委會委員、全國人大憲法和法律委員會副主任委員周光權認為,制定個人資訊保護法,不能只是單純地在法律的種類中增加一部法律,而是要解決目前面臨的難題。
“個人資訊保護立法,既要考慮個人目前在日常生活中面臨的問題,比如小程式、App、網頁使用時個人資訊的洩露等,同時還要考慮今後新的技術發展帶來的知情同意方式的變化。”周光權特別提及,伴隨生物資訊識別技術的應用,有些單位和部門好像已經嘗到了使用人臉識別技術的“甜頭”。因此,人臉識別、指紋等生物識別技術的限制,也是這部法律繞不開的問題。“如果繞開的話,這部法律對未來社會治理髮揮的作用就是有限的。”
同時,周光權強調,立法過程中要平衡好各種關係。“現在獲得個人數據,使用App基本都是免費的,這個‘免費午餐’確實有風險,理應要加強監管,但是也不能對網際網路企業一棍子打死,而平衡好這個關係是比較複雜的,這是這部法律要認真研究的。”
國家機關取得個人資訊後如何管理使用
周光權認為,立法中還必須考慮國家機關在取得個人資訊後的管理和使用問題。他舉例説,因為內部管理制約很少、許可權下放得很低,西部某地有一名民警在工作中上網獲取了公民的個人資訊,她的丈夫開了公司專門提供個人資訊、查婚外戀,通過這種方式牟取不正當利益,後來,兩人雙雙獲刑。
“公權力如何管理好手中的個人資訊,如何對其進行制約和限制,這個問題法律不能繞開。”周光權説。
王超英提出,個人資訊保護法草案對國家機關處理個人資訊作了專門規定,這是本法的一個亮點。但是,條文不夠精準,國家機關履行法定職責範圍非常寬泛,既有刑事訴訟領域的偵查、起訴、審判,也有一般行政執法領域的處罰、許可,還有社會保險、納稅、社會救助、社會福利、人口統計等。
“這些行為性質不相同,處理公民個人資訊的不同的國家機關應當遵循什麼樣的處理規則,一致還是不一致?現在有關國家機關為了徵稅、行政處罰、信用懲戒、方便社會管理,共用了很多個人資訊。是否都符合履行法定職責所必須?是否都符合當時聲稱的個人資訊收集和使用規則?這些都需要進一步研究。”王超英認為,草案這方面規定得太原則,建議立法中要對國家機關共用個人資訊範圍、程式以及相關保存期限等作出更加明確的規定,進一步明確規定國家機關處理個人資訊和個人資訊共用行為。