大數據時代防止“裸奔” 個人信息保護立法要注重可行性

“新冠肺炎疫情防控工作中，大數據在重點人群監測預警和統計分析方面發揮了十分重要的作用。但同時也出現了一些個人信息的無序傳播，一些患者、密切接觸者和外地返鄉人員的姓名、身份證號碼、居住地址、聯系方式等信息被非法傳播的案例，對個人和疫情防控工作都造成了負面影響。”

10月13日，備受關注的個人信息保護法草案首次提請十三屆全國人大常委會第二十二次會議審議。10月16日上午，在與會人員對草案進行分組審議中，全國人大常委會委員劉修文提出的這個問題，引起委員們的熱議。

個人信息保護立法要注重可行性

陳斯喜委員認為，草案目前一些概念還比較模糊，含義不清楚，將給實施帶來困難。個人信息保護法具有可行性，關鍵要處理好幾個關系。首先，公開信息的收集與專門采集的信息要區分開，進行分別對待。比如，已向社會公開的信息就應當允許收集;其次，公開信息與非公開信息怎么保護要有區別。比如，個人采集的信息、有關機關掌握的信息，應怎么保護?不該公開的個人信息公開了就要嚴肅處理;最后，要區分采集的信息是自用還是出售、轉讓。此外，臨時采集識別與長期保存個人信息也應區分開來。比如現在一些單位、社區已經實行人臉識別，這種采集是暫時的還是永久儲存，就要區別對待。“總之，這幾個關系要理清楚并分門別類作出規范，法律才具有可行性。”陳斯喜說。

王超英委員認為，個人信息保護立法必須要平衡好保護個人信息和維護公共安全的關系。“這是這部法律立法一個很重要的點。”

在他看來，目前草案雖然有所涉及但還不夠。疫情防控期間，大家都見到了很多收集個人信息的場景。比如在防疫最緊張的時候要進入一些地方，一定要求登記身份證、手機號、姓名、住址，實際上這4個加上生物信息就是每一個人最全的信息了。這些信息如果一旦泄露，就是“裸奔”了。

“現在還有生物識別信息，比如小區的人臉識別，這種必要性到底是什么?這些信息在這些最基層的單位到底應該怎么收集和處理?怎么在法律上規定做到收集個人信息最小化，并且應當符合比例原則，在什么情況下應當收集什么信息。這些信息怎么保存保管，一旦泄露法律責任當然有了，這些責任誰去追究、怎么追究?這些還要再研究。”王超英表示。

劉修文針對草案中應對突發公共衛生事件等情況下對個人信息保護的豁免性規定提出了意見，他表示，收集個人信息并進行大數據分析是進行高效社會管理的有效途徑。世界各國在突發公共衛生事件下，采用公共利益優先原則，有限地突破個人信息保護屏障，跟蹤和披露疫情信息已成為慣例。但這并不意味著“公共衛生”“公共安全”可以直接成為個人信息保護豁免的萬能理由。

劉修文表示，新冠肺炎疫情防控工作中，存在流動人員同時面對流出地和流入地街道、社區、公安、所在單位等多層級、多部門的信息采集，既造成了行政和社會管理資源的浪費，也加大了個人信息管理的風險。通過細化個人信息共享操作規范，才能減少重復采集，提高應對效率，防范個人信息保護豁免情況下的信息泄露。

劉修文建議，要進一步研究如何權衡公共需要與個人權利，以劃定合理的個人信息保護與利用界限。根據比例原則的要求，將個人信息的損害限定在最小范圍。包括：盡可能明確突發公共衛生事件或者緊急情況下有權采集個人信息的主體;強化采集主體的個人信息安全保護意識和保護義務，以降低信息暴露風險;明確突發公共衛生事件或者緊急情況下個人信息數據共享規范和后續個人信息處理機制。

個人信息保護立法重在解決難題

全國人大常委會委員、全國人大憲法和法律委員會副主任委員周光權認為，制定個人信息保護法，不能只是單純地在法律的種類中增加一部法律，而是要解決目前面臨的難題。

“個人信息保護立法，既要考慮個人目前在日常生活中面臨的問題，比如小程序、App、網頁使用時個人信息的泄露等，同時還要考慮今后新的技術發展帶來的知情同意方式的變化。”周光權特別提及，伴隨生物信息識別技術的應用，有些單位和部門好像已經嘗到了使用人臉識別技術的“甜頭”。因此，人臉識別、指紋等生物識別技術的限制，也是這部法律繞不開的問題。“如果繞開的話，這部法律對未來社會治理發揮的作用就是有限的。”

同時，周光權強調，立法過程中要平衡好各種關系。“現在獲得個人數據，使用App基本都是免費的，這個‘免費午餐’確實有風險，理應要加強監管，但是也不能對互聯網企業一棍子打死，而平衡好這個關系是比較復雜的，這是這部法律要認真研究的。”

國家機關取得個人信息后如何管理使用

周光權認為，立法中還必須考慮國家機關在取得個人信息后的管理和使用問題。他舉例說，因為內部管理制約很少、權限下放得很低，西部某地有一名民警在工作中上網獲取了公民的個人信息，她的丈夫開了公司專門提供個人信息、查婚外戀，通過這種方式牟取不正當利益，后來，兩人雙雙獲刑。

“公權力如何管理好手中的個人信息，如何對其進行制約和限制，這個問題法律不能繞開。”周光權說。

王超英提出，個人信息保護法草案對國家機關處理個人信息作了專門規定，這是本法的一個亮點。但是，條文不夠精準，國家機關履行法定職責范圍非常寬泛，既有刑事訴訟領域的偵查、起訴、審判，也有一般行政執法領域的處罰、許可，還有社會保險、納稅、社會救助、社會福利、人口統計等。

“這些行為性質不相同，處理公民個人信息的不同的國家機關應當遵循什么樣的處理規則，一致還是不一致?現在有關國家機關為了征稅、行政處罰、信用懲戒、方便社會管理，共享了很多個人信息。是否都符合履行法定職責所必須?是否都符合當時聲稱的個人信息收集和使用規則?這些都需要進一步研究。”王超英認為，草案這方面規定得太原則，建議立法中要對國家機關共享個人信息范圍、程序以及相關保存期限等作出更加明確的規定，進一步明確規定國家機關處理個人信息和個人信息共享行為。

中青報·中青網記者 王亦君 焦敏龍

關鍵詞： 大數據時代 個人信息保護