原标题:左晓栋:App治理为疫情防控个人信息收集使用正本清源
新冠肺炎疫情发生以来,各类移动互联网应用程序(App)在疫情防控工作中发挥了重要作用。但很多这类程序收集处理的是个人身份证号、行踪轨迹、健康状况、家庭住址等敏感信息,App行为是否合法合规、个人信息能否得到妥善保护、疫情过后数据如何处置等问题引发公众担心。2月4日,经中央网络安全和信息化委员会同意,中央网信办印发了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。天津近日印发了《关于开展疫情防控相关App违法违规收集使用个人信息专项治理的通告》,这在全国属首例,无论是对当前的疫情防控,还是长远的网络安全工作,均具有重要意义。
个人信息保护工作涉及所有人切身利益,其重要性自不待言。正因为如此,《网络安全法》专设了多个条款,《个人信息保护法》《数据安全法》正在抓紧起草,3月6日的2020年1号国家标准公告也宣布GB/T 35273-2020《信息安全技术个人信息安全规范》正式发布,相关专项行动、制度性设计均已安排。但新冠肺炎疫情期间还要对这项工作再强调、再部署,足以说明其有特殊性。
一是疫情防控的需要。大数据在疫情监测分析、病毒溯源、防控救治、资源调配等一系列疫情防控环节都发挥了不可替代的巨大支撑作用,而相当一部分疫情防控相关大数据由个人信息汇聚而来。目前社会上违规收集、滥用个人信息的情况依然比较严重,疫情期间这个问题如果处理不好,可能会带来很大负面影响,最终危害“抗疫”大局。天津的专项治理是对中央要求的具体落实,而且有手段、有机制、有时间表、有责任部门,这就是政治自觉,这就是对人民负责。
二是正本清源的需要。为什么要正本清源?是因为很多人对于疫情防控中的个人信息收集使用有两种错误认识,一种认为这些信息太敏感不能用,一种认为紧急情况下可以随便用。一方面,世界各国的个人信息保护法规标准,都在严格的条款之外,为健康医疗、公共事件处置类的个人信息作出了例外规定。即,与公共安全、公共卫生、重大公共利益直接相关的活动中,或者学术机构出于公共利益需要开展统计或学术研究时,可以不征得当事人授权同意而收集、使用、共享、跨境传输个人信息。甚至还规定,出于维护当事人生命目的但又很难获得其同意的,也可以豁免法规中的“授权同意”要求。这个看起来奇怪的规定,其实特指的是生命抢救情况。人都已经昏迷了,难道还要等着他醒来签字才能给他拍片子吗?由此可见,健康医疗和公共安全类数据,不但要用,还要大胆地用、充分地用。但另一方面,目的正当不等于手段正确,这其中有个必要性证明的问题。这一点往往被多数人忽视,认为他这个事情多么高尚、正确,怎么就不能做呢。例如,他可能觉得为了验证一个人的真实身份,需要进行人脸识别。但他需要证明,是在穷尽了其他所有手段,没有任何其他办法的情况下,才不得不去收集人脸这种极为敏感和特殊的信息。上述模糊认识,在相当大范围内、相当大程度上存在着。天津的专项治理,对于廓清认识、更有效支持疫情防控、引导相关App科学设计和合规运行显然十分必要。
三是推进信息化健康发展的需要。新冠肺炎疫情是我国经济社会发展过程的一个重要节点,我们的生产生活方式必将发生重大改变。移动办公、线上会议、远程教育、网上签约等不仅仅是疫情期间的权宜之举,更标志着中国将开展一轮新的数字化转型,我国信息化发展会进入新的阶段。这本来是一个渐变的过程,但此次疫情无疑成为“加速器”。在移动互联网的大时代背景下,移动App显然是这场变革的“推手”,例如很多App已经从消费领域向工业领域加速渗透。但如此迅速的变革,使大量App还没有来得及考虑安全防护便匆匆推向市场。此情此景,使人想到二十年前信息化建设进入一个高潮时,有识之士作出的“没有安全的信息化是危险的信息化”的论断,这在今天同样适用。这是一个关系我国信息化长远发展的大问题,必须及时管控风险。天津的专项治理从疫情防控相关App这一当前热点入手,为大家敲响了移动和远程安全的警钟,也为由点及面加强移动App安全管理、保障新形势下信息化健康发展提供了更多可资借鉴的经验,这具有标志性意义。
四是探索地方网络安全管理长效机制的需要。我国网络安全管理体制,一直处在不断的调整优化之中。在这个过程中,地方网络安全工作抓什么?这始终是一个在探讨中的问题。地方网信部门如何落实数据安全管理职责?很多地方网信干部都在思考。天津的专项治理对此给出了答案。维护人民群众的利益,这是我们网络安全工作的重要目标。但要在这个目标之下,以遵循中央精神和法律授权为前提,主动创新方式方法和手段。只要心中有群众的利益,这个创新空间就很大。事实上,天津市的网络安全工作创新一直很成体系,连续出台了《天津市促进大数据发展应用条例》《天津市数据安全管理办法(暂行)》,特别是2019年12月,天津市网信委印发了《天津市提升数据安全保障能力专项行动方案》,其中便提出了“深化App违法违规专项治理”的工作任务。在中央网信办等四部委已经开展移动App违法违规专项治理工作的背景下,地方怎么开展专项治理?怎样体现地方特色?怎样不加重企业负担又力求实效?这些创新性思考早已为此次专项治理奠定了基础。其意义已经超越个人信息保护本身,而在于为地方网信部门抓好网络安全工作、编制“十四五”网络安全规划探索出了新路子。
中国信息安全研究院副院长左晓栋