疫情期间对互联网用户个人数据的合规收集及利用
摘要
2020年新年伊始,新型冠状病毒在武汉始发,之后以“人传人”的感染模式迅速在全国各地蔓延。确诊病例及传染模式都显示,有武汉旅居史的人成为感染源,通过日常聚集极易感染与之接触的人,由此被感染的人数节节攀升。尽管武汉在1月23日采取封城管理,但由于春运人员流动,在封城之前已经有约500万人从武汉流向全国乃至全球各地。 因此,确定从武汉流出人员的信息,及时进行诊断隔离,对于疫情的防控至关重要。
得益于大数据的发展,通过对互联网用户个人信息进行收集、处理、分析甚至共享,可以有效定位潜在传染源。在1月28日央视《新闻1+1》,国家卫健委高级别专家组成员李兰娟院士表示,专家利用大数据技术梳理感染者的生活轨迹,追踪人群接触史,成功锁定感染源及密切接触人群,为疫情防控提供宝贵信息。李院士表示某位患者曾表示自己并无重点疫区接触史,但经过大数据排查,发现其曾经至少接触过三位来自重点疫区的潜在患病人士。可见大数据技术通过追踪移动轨迹、建立个体关系图谱等,在精准定位疫情传播路径,防控疫情扩散方面的重要作用。
然而,利用大数据进行分析的前提是对数据资源进行使用,这一过程需要打通各数据控制者所掌握的数据资料,这就涉及到数据收集、使用和共享的合规问题。
一、信息控制者
传统意义上具备信息收集与信息监管的信息控制者主要为各类政府行政部门,如公安部、户政部门、通讯监管部门等基于行政职权而产生的信息控制权。在大数据时代,互联网公司成为了更主要的信息控制者。互联网公司利用移动互联网应用等互联网产品为用户提供服务,向用户收集与提供服务所需的用户个人信息,并通过隐私政策、用户协议的模式,约束信息控制者与用户的权利义务。隐私政策与用户协议为信息控制者根据国家标准单方制定,一般用户在下载完,开始使用所选择的互联网产品前,会先阅读同意互联网公司提供的隐私政策或用户协议。隐私政策或用户协议明确了将根据产品需要,收集用户的个人信息以及信息的共享、转让、披露、保护问题。在手机使用率几乎百分百覆盖中国,人们衣食住行高度依赖互联网移动应用的当下,个人信息不可避免被各种互联网产品所收集和被应用于大数据分析。
二、个人信息的类型
根据《信息安全技术 个人信息安全规范》的规定,个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、通讯方式及地址、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等能够以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 以上信息主要为识别自然人本质特征的基础信息,即确定拥有这些信息主体为谁。除此之外,为了更严格的保护个人隐私,《信息安全技术 个人信息安全规范》规定了保密系数应当更高的“个人敏感信息”,即一旦泄漏、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受损或歧视性待遇等的个人信息。 个人敏感信息包括了以上提到的个人信息中的身份证件号码、生物识别信息、财产信息、行踪轨迹等,因为一旦此类信息泄漏,很可能危及信息主体的人身或者财产安全。除了这些客观的信息,个人敏感信息还应当包括自然人的性取向、宗教信仰等自行选择的价值观念。此类信息或与个人的名誉相联系,一旦披露可能会使其名誉受损或者受到歧视性待遇,因此应当受到严格的保护。在本次疫情中,网传遭泄漏的武汉返乡人员信息中,除了基本识别个人身份特征的姓名、证件号码外,信息中还包括行踪轨迹、通讯住址、甚至高考成绩等个人敏感信息。
微信隐私政策
抖音隐私政策
以上分别为目前使用率最高的两款移动互联网应用微信与抖音的隐私政策,明确了用户使用软件服务时,应用会收集的用户个人信息,包括用户个人敏感信息。
三、互联网产品对个人信息收集及使用应当遵循的一般规定
由于信息控制者掌控的大量个人信息可能被披露、出售予犯罪份子实施诈骗行为,因此对于信息控制者收集、使用个人信息的行为,国家有明确的法律规制。国家法律法规及各类规定的大前提系确保合法合规收集个人信息并确保信息安全不被泄露。
首先,刑事层面上,由于近几年来互联网公司成为更为主要的信息控制者,刑法对于侵犯公民个人信息罪的主体也有了新的修改。修改前的《刑法》第二百五十三条之一规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”,对于侵犯公民个人信息的主体主要定义为国家机关或传统的信息控制单位。修改后的《刑法》(刑法修正案(九))将此条修改为:“违反国家规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”。由以上修改可见,修改后侵犯公民个人信息罪的主体更加宽泛,只要是在履行职责或者提供服务过程中获取信息的信息控制者,均可能成为犯罪主体,而互联网公司作为新的主要的信息控制者,自然包含在内。互联网公司工作人员将在提供服务过程中获取的个人信息提供给他人的,需要承担刑事责任。在安徽省谢家集区人民法院审理的侵犯公民个人信息一案中,被告人系瓜子二手车网工作人员,将工作中获取的用户二手车财产信息出售予他人,法院认定构成侵犯公民个人信息罪。
其次,中华人民共和国《网络安全法》明确了网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;并且应当对其收集的用户信息严格保密,并建立健全的保密制度。 《信息安全技术 个人信息安全规范》确定的个人信息安全基本原则、个人信息收集的合法性要求、最小化要求、授权同意原则,以及最新的《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(草案)都确定了收集个人信息应当取得用户的授权同意,并不得收集与所提供的服务无关的个人信息;对外共享、转让个人信息时应当事先征得用户的明示同意,否则不得共享及转让。 互联网企业若违反上述收集、使用用户个人信息的规定,为用户造成损失的,须承担相应的民事责任。在深圳市中级人民法院审理的周裕婵、广东快客电子商务有限公司网络侵权责任纠纷一案中,二审法院认可一审法院认定的上诉人(原审被告)广东快客电子商务有限公司在提供网购服务过程中,没有尽到严格的信息保密义务,导致上诉人(原审原告)周裕婵的网购信息被泄露,因而被第三方诈骗的后果,广东快客电子商务有限公司对此需承担60%的赔偿责任。法院认为,快客公司作为网络购物电商平台的运营方,在收集、处理众多消费者个人信息过程中应履行依法收集、合理使用、安全防护、禁止或限制披露等义务。对于其提供服务所采集的用户信息数据,具有严格保密的法律义务。信息泄露事件的发生,在排除其他泄露隐私信息可能性的前提下,可以认定是由于快客公司疏于防范导致的结果,因而可以认定其具有过错,应承担侵权责任。 因此,一般情形下,互联网公司对于用户个人信息负有严格的保密义务,轻易不能改变个人信息的用途,并应当适用技术手段确保信息安全。
四、疫情期间无需获得信息主体授权,收集、使用用户个人信息的合法性基础
无论是收集信息抑或是改变信息使用目的,原则上都需征得信息主体的明示同意。我国《网络安全法》第四十一条第二款规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”第四十二条规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”由此可见,我国《网络安全法》中,仅仅从同意规则的角度,对个人信息数据的收集和使用的合法性基础予以规定,而未明确其他例外情况。因此,无需用户授权同意,移动互联网应用等信息控制者主动收集与应用提供的服务无关的个人信息或将收集的信息转让、共享,则需要具备其他合法性基础。
国际上关于个人信息保护的主要法律文本,对信息控制者特殊处理用户信息提供了合法性事由,包括《APEC隐私框架》第十三条:“定于本框架第三章的隐私保护例外原则,包括与国家主权、国家安全、公共卫生和公共政策相关者”; 欧盟的《一般数据保护法案》(General Data Protection Regulation, GDPR)第六条,对满足下列情况之一的处理个人数据行为视为合法:“(1)数据主体同意为一个或多个特定目的而处理数据;(2)处理是为履行数据主体参与的合同之必要,或是因为数据主体在签订合同前的请求而采取的措施;(3)处理是为履行控制者所服从的法律义务之必要;(4)处理是为了保护数据主体或另一个自然人的切身利益;(5)处理是为了执行公共利益领域的任务或行使控制者既定的公务职权之必要;(6)因数据处理者正当利益或第三方正当利益而必须处理个人数据的,除非这样的利益小于数据主体的利益或基本权利和自由,特别当数据主体尚未成年时。当公权力部门在履行职责时处理个人数据的,不受第(6)款约束”。 可见,赋予信息控制者基于公共卫生、公共利益的需要处理用户数据的权限,符合国际惯例。
我国《信息安全技术 个人信息安全规范》(GB/T 35273-2017)吸收了域外的经验,明确了数据收集使用的其他合法性基础。第5.4条的规定,即与公共安全、公共卫生、重大公共利益直接相关的情形,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意;以及第8.5条,在上述涉及公共安全、公共卫生、重大公共利益的情形下,个人信息控制者共享、转让、公开披露个人信息亦无需事先征得个人信息主体的授权同意。 关于个人隐私的定义,杭州市中级人民法院在(2014)浙杭民终字第1813号《民事判决书》中有如下定义:“隐私权是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权”。 当个人信息直接影响到公共利益,应当作出适度让步。让位于快速有效防控病情的公共利益需要,移动互联网应用可以收集与疫情所需的用户个人信息,并改变个人信息使用方式,用于管控疫情。例如,各类售票移动应用可以将掌控的用户行踪信息共享与疫情防控机构,用于定位武汉流出人员的去向。
在实务中,《个人信息安全规范标准》中的相关规定,通过互联网企业与用户签订的服务协议,已经间接地获得了用户的授权。以上截图为美团外卖、携程旅行App的隐私政策。众多互联网应用提供的隐私政策中,均根据国家标准规定了收集、使用用户个人信息时“征得同意的例外”,为互联网产品出于公共利益的需要自行收集及使用用户个人信息提供了豁免条款。
此外,在公安部组织起草的《互联网个人信息安全保护指南》第6.6条规定了个人信息的共享和转让应满足的要求:“个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:a) 共享和转让行为应经过合法性、必要性评估;b) 在对个人信息进行共享和转让时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;c) 在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息;d) 在共享、转让前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;e) 应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;f) 在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;g) 当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
《互联网个人信息安全保护指南》第6.7条对个人信息的公开披露进行了规定:“个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;b) 向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;c) 公开披露个人敏感信息前,除6.7 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;d) 准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;e) 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;f) 不得公开披露个人生物识别信息和基因、疾病等个人生理信息;g) 不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。
由于我国《网络安全法》未规定同意规则的例外,而上述文件为标准性文件,在疫情期间向相关部门或其他组织共享个人信息数据,特别是个人敏感数据是否具备合法性基础,互联网公司存在一定的疑惑。实际上,这一合法性基础可以从其他部门法律中寻得。《传染病防治法》第十二条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。”此外,在检测预警与应急处置一章中,提及因突发事件或生产安全事故的,依照《突发事件应对法》、《安全生产法》等有关法律、行政法规的规定处置。 根据《中华人民共和国突发事件应对法》第三十七条:“县级以上地方各级人民政府应当建立或者确定本地区统一的突发事件信息系统,汇集、储存、分析、传输有关突发事件的信息,并与上级人民政府及其有关部门、下级人民政府及其有关部门、专业机构和监测网点的突发事件信息系统实现互联互通,加强跨部门、跨地区的信息交流与情报合作”;第三十八条:“县级以上人民政府及其有关部门、专业机构应当通过多种途径收集突发事件信息”。 此外,《传染病防治法》(2013年修正)第三十三条亦规定:“疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息”,在“疫情控制”一章中,规定了医疗机构对于传染病防治的系列强制管控权。以上规定可以理解为,在突发事件包括公共卫生安全事件中,人民政府除了依靠职权收集信息,还可以联合有关专业机构进行信息收集与分析。而具备信息收集功能的各大移动互联网应用产品,正好可以发挥作用。
因此,即便《网络安全法》仅规定了同意规则,但上述条款已经为疫情期间未经数据主体同意而向有关部门共享个人信息数据提供了合法性基础,这不仅是一种权利,更是互联网企业防控疫情应尽的义务。但是,值得注意的是,上述条款中所规定的接收数据的主体为疾病预防控制机构、医疗机构,因此如果将个人信息数据共享给其他组织,例如其他互联网公司,仍然存在违规风险。
五、疫情期间如何合理合规使用个人信息,同时保障公共利益
即使出于公共利益的需要收集用户个人信息并改变使用目的,但仍然应当最大限度保护用户的个人隐私,合理合规使用个人信息。我国目前的相关法律法规仍比较欠缺,可以参考域外的相关做法。
《APEC隐私框架》第十三条规定了信息控制者处理用户个人信息的合法事由,但同时对此作出了如下限制,即在适用隐私保护的例外原则时,应当:“(1)限缩于与例外条款相关之目的并符合比例原则;(2)为公众所知悉或符合法律规定”。具体而言:第一,信息的收集及使用应当遵循最少够用原则,即只收集及使用能满足防控疫情需要的最少信息;第二,应当谨慎收集及使用个人敏感信息,防止对信息主体人身及财产造成损害;第三,在收集及使用信息前,应当开展个人信息安全影响评估,充分评估风险;最后,若非必要,不披露个人生物识别信息。
简而言之,信息的收集及使用需要与疫情使用的目的相适应。一般情况下,疫情中需要定位“潜在传染源”,仅需要收集使用与行踪轨迹相关的最有效信息。在披露信息时,对于防控疫情并不必须的个人信息,如证件信息、价值取向等,应当严格保密。在目前官方公布的感染者信息中,也仅仅公布性别、年龄、行踪轨迹等公众有必要知道,对于疫情判断有效的个人信息。此类信息并不致侵犯被感染者的隐私权,也能保障公众的知情权,从而对自身是否需要就医、隔离以及重点防备区域作出判断。
在疫情期间,互联网公司对已经掌握的数据进行疫情分析,属于数据的二次利用,这涉及到变更数据使用目的的问题。GDPR第13条第3款规定:“当数据控制者进行个人数据处理的目的与初始收集的目的不一致时,应当在此之前基于变更后的数据处理目的向数据主体进行告知。”即便基于公共利益,可以不经同意使用相关个人信息数据,但是仍应履行相关的告知义务。
六、合理利用个人信息对处置公共事件(疫情)的重要意义
疫情期间,主动收集或改变掌握的个人信息使用目的用于疫情防控的主要包括以下形式:(1)地方教育部门统计在武汉的大学生名单;(2)公安部门掌握的铁路、航空实名信息;(3)政府安排村委会、街道办事处、社区基层工作人员对返乡人员信息进行登记上报;(4)互联网公司(包括SDK类企业)线上对个人信息进行收集分析。 由于电子数据时代的到来,第四种电子数据收集方式在本次疫情的监控中发挥了重大作用。
《国家信息化发展战略纲要》明确指出,“信息资源日益成为重要的生产要素和社会财富”。据统计,我国网民规模达8.54亿,其中使用手机上网的比例高达99%以上。 加之移动互联网应用(手机App)的快速发展,个人信息被广泛收集,形成可追溯的大数据。而合理收集及整合有效个人信息加以利用,对于本次疫情有重大的扫盲防控作用。北京知识产权法院在为经典案例作出的(2016)京73民终588号《民事判决书》中如此评价互联网大数据:“在大数据和云计算的时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚和规模效应,最大程度地发挥价值”, 本次疫情对互联网用户个人信息的合理有效收集利用便是最好的例证。
在已知传染源发生于武汉,感染时间为2019年12月底至2020年1月底的情况下,通过密切接触追踪法,利用手机及App收集的个人信息,分析行踪轨迹可以精准定位传染源及其辐射人群。具体可以利用的有效信息包括与行踪轨迹相关联的行程信息、交易/支付信息、住宿信息、行车信息、网购信息等。各类票务购票App能够精准收集行踪信息、支付宝和微信等第三方支付系统收集支付交易信息、酒店预定App收集住宿信息、高德/百度等地图用于收集行驶记录信息、京东/淘宝等电子商务平台收集收货信息等。交易信息除了定位行踪,还能够追踪接触人群,以上信息的整合,有利于快速排查可能感染人群。
例如,在本次疫情信息收集及利用中发挥重要作用的票务及旅行类App,均具备获取用户地理位置信息、行程信息、同行人等信息的功能。
此外,利用个人信息用于分析传染源的相关实践包括百度地图推出的人口迁徙大数据、微信、今日头条上关于新型肺炎确诊患者相同行程查询小程序以及通过App收集的数据对传染源迁徙进行分析的众多公众号文章。以上对个人信息的利用及处理有利于政府部门对疫情传染源作整体判断,为公众防控提供参照。借助大数据,防控部门可及时有效对潜在传染人群进行筛查隔离,防止感染人群的进一步扩大。
总结
在疫情的特殊期间,为维护公共利益的需要,可有限地突破个人信息保护的屏障,收集及使用用户个人数据用于甄别与传染源相关人员的行踪,这既是国际上对于个人数据使用的惯例,亦是有效披露疫情信息、避免社会恐慌的重要途径。但在处理的过程中,相关信息控制者应当遵循上述合理合规的使用原则,严谨慎重地使用个人数据并紧紧围绕防疫这一目的,最大限度地实现公共利益与个人隐私的平衡。且利用大数据的过程中,应当科学抓取有效信息,及时进行分析整合,并结合行政防控力量,实现大数据对于处置公共事件(疫情)的作用。
