疫情防控常态化时期个人信息保护的策略探究*
2022-08-07苏文旺王慧杰左云凤邓利娜
王 昕,苏文旺,王慧杰,左云凤,邓利娜,姜 鑫
(哈尔滨医科大学人文社会科学学院,黑龙江 哈尔滨 150081)
疫情防控常态化时期社会的首要任务已经转变为在大环境稳定的前提下复工复产,驱动经济与社会生活不断向前发展。通过研究发现国内学界对于现阶段保障个人信息权多从法律规制的理论路径探索入手,偏重于实践技术的研究较少。如若信息主体对于可精准识别特定自然人的个人信息无法实际控制并支配,必将有损公民的人格利益以及私人安宁。通过研究疫情防控常态化时期个人信息保护的必要性与特殊性,探索当前阶段数据信息保护与处理的不足,并对存在的问题提出针对性的解决策略,旨在使疫情防控常态化时期公众知情权与个人信息权达到更大程度上的平衡,在维护公共安全的前提下充分保障公民的个人利益。
1 疫情防控常态化时期个人信息保护的必要性和特殊性
1.1 个人信息保护的必要性分析
在疫情防控的过程中,大数据在追踪密接者、反弹风险预测以及疫苗接种情况反馈等方面发挥了重要作用。然而,涵盖面大、精准度高、关联性强的智能算法为信息安全留下了极大隐患。疫情防控常态化背景下,信息流通途径重返多样化的客观现实以及信息主体对信息过度利用的容忍程度逐渐降低等多方面因素迫使当下对个人信息进行保护更加必要。
《突发公共卫生事件应急条例》中明确规定:“突发公共卫生事件发生后,政府应及时并精准地进行信息公开,联合医务部门进行疫情排查、开展治疗等相关工作。”[1]然而,我国已进入防疫常态化时期,主要矛盾点也从重大公共利益保护转变为一般公共利益保护(见图1)。在生产生活逐步恢复正常的情况下,公民对于收集及使用信息的态度逐渐转变,对信息保护的渴望愈加强烈,但信息泄露事件屡见不鲜,相应配套措施有待完善,诸多问题亟待解决。
图1 疫情防控不同阶段公共利益与个人利益关系
保障个人信息安全最主要的两大作用即保护公民人格尊严以及财产权。首先,疫情暴发初期,全球对疫情来源尚不清楚,对个体的人身损害无法具体化衡量。大数据的到来意味着科技时代的进一步发展,它逐渐让我们每一个个体“暴露”在公众视野中,尤其是携带医疗性质涉密性极高的健康数据信息,较之一般个人信息,其处理方式要求更加严格缜密;其次,全民防疫居家隔离期间,以社交平台出售医用口罩及体温测量仪等常规管理医疗器械为主的互联网诈骗案件屡见不鲜。据统计[2],2020年我国共破获网络诈骗案逾30万起,追回赃款近1 900亿元。数据收集主体数量庞大,群众认知水平不足等一系列原因使得不法分子利用较低成本购买数据后进行出售,最终酿成不可估量的损失。
1.2 个人信息保护特殊性分析
第一,更加注重“比例原则”适用的严格规范性。比例原则是指行政部门在行使职权时要控制在必要的限度之内,行政管理目的达成后及时控制手中权力,使公民受到的损失达到最小的一项行政法原则。其逻辑架构可理解为通过关注信息收集的“合目的性”以及“必要性”从而达到其“均衡性”。基于实践中个人信息收集范围超过必要限度的情况大量存在,疫情防控常态化时期更应注重收集内容的少而精细,对信息的控制幅度应逐渐收紧,确保收集目的的正当性。随着疫情防控的深入,常态化疫情防控工作逐渐从全国各省市大范围集中防控转变为以街道、社区甚至单元为单位的小范围控制,社区进行流行病学调查时应着重注意该原则的贯彻与执行[3]。例如,收集内容包含QQ号、婚姻状态、身体健康状况等内容并非必要,属于过度的信息采集。而收集信息逐渐收紧,其目的即实现均衡性。均衡性原则亦称损害最小原则,要求相关部门在履职时尽可能将相对人的损害降到最低,这便注重行政收益与行政成本、行政措施与事件可能造成的损害之间的利益权衡。高密度、强力度的数据使用已无法适应当前新形势,逐渐从大范围筛选过渡至个性化、高效化模式的精细治理的根本原因在于利益冲突,即当下公共利益与个人利益这座天平逐渐平衡,毫无顾忌地采集并公开个人信息将无法继续获得公民的支持,数据处理方式急需转变。
第二,“去识别化”技术的使用从“有”到“强”。“去识别化”技术是指通过“匿名化”和“抑制屏蔽”两种方式,处理信息内容以模糊数据主体属性,切断特定内容与特定人之间的链条,降低主体识别敏感度,从而分离个人信息的隐私性与财产性[4]。匿名化处理机制在涉疫数据重复利用的过程中已经开始应用,然而受制于现有数据再利用范围面窄,技术知名度低等原因,在诸多场景中应用可用而未用。个人信息中或多或少涵盖着隐私的部分,个人隐私较之于普通的个人信息有其独特的价值意义,未做好相应处理使得隐私泄露将会严重贬损人格尊严[5]。在社会环境逐步稳定的前提下,数据脱敏技术应用于个人信息保护范畴更应从多角度深入研究,辅之以相应的激励制度及立法保障,立足技术本身,广泛地应用于其他领域的数据利用。
第三,严格落实数据使用后的封存与销毁机制。为降低不必要的数据安全风险,将数据进行粉碎销毁处理最为安全妥当,相较于重大疫情时期,这也是当下个人信息保护措施的特殊之处。在这场疫情防控阻击战中,世界各国普遍运用多种数据技术手段监测相关病例情况。为提高居家隔离的有效性,俄罗斯在确诊病例家中、各社区街道以及商埠门市前安装智能摄像头,只要被监测者在未经准许的情况下擅自离开指定地点,摄像头无法识别既定目标后会立刻将情况传入疾控中心,工作人员会在最短时间内将其找到并重新开始隔离[6]。摄像资料中较为全面地记录着民众的活动轨迹,但联邦政府对于疫情过后摄像资料的处理并未给予明确说明,为民众隐私泄露留下了极大的安全隐患。在我国,绝大部分地区在防疫信息的处理与销毁问题上同样未做出明确具体的规定,只有少数省份走在前沿。浙江省人民政府明确在疫情稳定后将收集的数据及相关隐私信息封存或损毁,并且发布《浙江省公共数据条例》向省内群众征集意见,足以彰显对该问题的重视程度[7]。云南省也曾下发过类似公告,指明收集的信息仅用作防疫,别无他用[8]。大数据防疫中如实上报个人信息是公民的义务,相应地,有关部门制定配套措施以及救济途径同样关键,这也符合“比例原则”的内在要求。
2 疫情防控常态化时期个人信息保护存在的问题
在疫情防控常态化阶段,以大数据为轴心的抗疫技术依然发挥着不可替代的作用。在兼顾稳固防疫成果与保障信息安全的状态下,现阶段应更注重具体场景设定下积极抗疫与消极防疫间的数据控制并存的客观事实,即如何灵活高效地实现信息收集范围的转变,这正是前文所谈及常态化疫情防控中个人信息保护的特殊之处,其具有独特的研究价值。然与之相关的法律规范不健全,个案实际情况不同,且各地区解决类似问题时尚存在一定的相互依赖,因此,针对现阶段具体情势,个人信息保护仍存在一些明显问题需要探讨。
2.1 信息采集模式固化,管理体系化程度较低
为应对突发公共危险,疫情严重时期信息收集多以数据量大、涵盖面广为特征。“广撒网,多敛鱼”式的收集思想使得信息安全受到极大威胁。线上线下并举,同一部门源于不同事由重复采集,未限制主体的大范围采集等情况的出现使得在信息主体源头处风险便无形增加。在防疫常态化阶段各地区根据实际情况制定适用本行政区域内信息收集及处理的制度尤为重要。此外,从信息采集目的的层面考虑,并非所有行政措施均符合目的限定原则。这里的“目的”不应局限于某地区防疫本身所采取的某项措施,而应结合整体防疫机制、各地区间协作情况、上位利益是否直接影响行政措施等全方位综合探究,形成适当对照标准加以审查。
由于现阶段可收集信息的主体仍然较多,致使在数据信息管理方面仍未达到较为统一的标准。受制于各主体不同的数据管理理念,主体横向间至今尚缺乏统一的涉疫数据管理机构,现有管理制度在实践中也会出现透明及架空现象[9]。然而,突发公共卫生事件背景下数据监管的有效性认定是数据安全的最后一道防线,如若呈现出管理主体混乱、科技化程度低等问题相当于将个人信息安全保障推向深渊。个人信息从被收集后须经过安全储存、技术处理、公开共享,最后走向封存销毁,形成完整闭环。但信息主体对数据的支配力在收集开始便逐渐减弱,对于上报的与自身密切相关的隐私数据的流向并不清楚,以至于对数据利用过程甚至是否销毁无从知晓,销毁机制作为数据信息管理的最后一环是整个监管体系完整性的关键认定内容[10]。
同时,管理模式的不成熟导致相应配套的问责机制尚不健全,以《山东省大数据发展促进条例》为首的数据管理规范率先对相关问题进行规定[11],但问责后的救济措施等内容仍须完善,进行数据全周期、全闭环管理问题的路径构建并逐步应用于疫情防控常态化下个人信息的保护利用是攻克数据安全难题的一大关键。
2.2 数据脱敏处理技术不完善、使用力度不足,信息泄露风险大
一方面,脱敏技术普及率及知名度较低。近年来政府部门对于信息安全宣传教育的力度加强,公民对于数据保护的主观意识明显提高,但对于数据属性模糊方式的基本原理了解甚少。根据马赛克理论,大量非涉密信息片段排列组合,可利用信息便会被揭开神秘面纱,对信息安全产生威胁[12]。去识别技术知名度不高导致的直接后果是诸多数据在不经意间浮出水面时数据主体浑然不知,发觉时为时已晚,无济于事。
另一方面,匿名处理技术自身智能化程度较低。对于敏感内容定位识别、脱敏程度预估、处理结果恒定以及去识别算法融合匹配等多方面内容仍需大量技术人员进行系统更新升级以及日常维护,以达到保护涉密信息的更高要求[13]。疫情防控使用的应用软件或微信小程序等须同公众有机结合,从而不断提高脱敏技术场景化适应程度,进而扩大个人信息的保护范围,提升其利用效率。但非官方数据系统的技术水平与安全性较低,稍有不慎数据将在顷刻间泄露。作为社会进步的根本动力,技术难关必须攻克,重中之重在于数据处理的彻底性与不可恢复性判定。去识别过简将使得某些在形式上匿名的数据实际上并未真正匿名,由于这类数据在使用的过程中很少受相关法律规定的束缚,使得数据处理技术的合规化问题存在立法不足,且数据共享后其具体去向及数据流通模式并不被继续关注,滋生了数据处理的不彻底性,并且存在很大被破解的风险。
2.3 数据信息价值开发不充分,拓展应用安全威胁大
第一,从横向看,信息经收集使用过后,大部分被直接封存处理,对其深入挖掘较少,再利用程度低。学术界关于“旧数据新利用”问题观点不一。在疫情出现后不久,“健康码”应运而生,并在短时间内走向全国,成为有关部门筛查密接史与旅居史的重要工具。这款数据动态统计分析程序在遏制疫情传播、协助政府决策等方面有着极为重要作用。杭州有关技术部门认为这款程序可被进一步研发利用,通过“健康码”详细反映居民健康指数,其中包括作息规律评价、过往病历信息等内容[14]。在看到“健康码”功能日益完善的同时又不禁忆起设计初衷,此时公共利益的正当性能否继续与个人信息及隐私相权衡,以防疫为目的的信息收集与公开能否持续被受众所包容,此时这种扩大化利用是否适当,将会被医学法学与医学伦理学界持续关注。
第二,从纵向看,数据信息的跨途径使用较少。个人信息权作为与人身联系较为密切的权利之一,更多地侧重对其进行保护而非利用。即使加以利用也很难跳出人身性收益的范围圈,这将固化数据主体的思维模式,极大可能损失预期收益。欧盟公共部门从信息再利用的平等性、目的性以及安定性进行分析,以法秩序统一原理为根基,构建了较为完备的运作平台及制度体系。这可以为我国在理论层面,即相应法治体系从分散走向统一;在实践层面,即从单方信息公开向鼓励数据流动转变提供借鉴[15]。
3 完善疫情防控常态化时期个人信息保护的策略
3.1 信息分级管理并实行业内共享,减少流通次数
信息安全问题持续存在,归根结底源于数据流通次数过多以及监管力度欠缺。疫情防控期间,政府部门、社区机构甚至餐饮服务单位均收集大量个人信息,上级信息存储部门并未及时将数据内容传递给下级部门,致使信息重复采集,流通频率骤增,泄露风险积聚(见图2)。
图2 未实行分级管理前的信息采集路径
澳大利亚颁布的《数据共享与公开立法改革讨论文件》对于公共数据的分享利用重新规范,在使用缘由、责任分配、安全系数等内容均设定完毕后,无须涉密保护的数据可实行一键共享,根据实际所需模糊非必要内容,在公共利益持续安全的情形下使个人损失达到最小。该方案并不局限于国家机关内部,在合理目的性审查通过后,事业单位、私营企业等主体同样可以获得相关数据,从事合法活动,并在一定范围内进行行业共享。对于目的审查,同样应区别重大疫情时期与常态化防控时期。在传染病病原尚未明了且情况极其不稳定的情况下,目的审查标准会更加宽松,个人利益最大程度进行让渡;而目前已进入防疫稳定期,保护个人权益的要求使得审查标准逐渐严格。总而言之,这与疫情防控状态、疫情突发程度、区域间不同因素等多方面息息相关。在统一做好相关管理以及配套救济制度,同个人将相关问题交代清楚后,该措施借鉴价值较大,可行性较强,在一定程度上减少了数据外泄的可能(见图3)。
图3 实行分级管理后的信息利用模式
同时,在建立相关数据流通规则后如何对其进行监管便更加关键,疫情防控常态化时期公民个人对于部分信息是否上报具有自主决定的权利,倘若采用上述措施后,个人理应拥有随时查阅提交的数据内容、对象及后期处理等权利,与信息监管部门一致,同样对信息授予具有话语权,甚至是否决权,在不侵犯公共利益以及其他信息主体既得利益的情况下同样可以获得数据产出效益。在信息销毁机制上,应充分保障公民的“被遗忘权”,准许信息主体在必要时查看信息使用记录,最终在无利用价值时有权利主张彻底封存或销毁数据,阻断因系统内部或人为因素导致的信息泄露可能。
3.2 加强技术及算法运用,对数据深入去识别、脱敏处理
去识别、脱敏即信息持有者对所得信息以隐私匿名算法技术及假名化生成覆盖技术为核心进行不可还原性处理。灵活控制对个人信息的处理程度,适当降低数据商业利用价值,势必将得到更好地运用。疫情防控常态化时期该技术得到大面积应用,大数据在抗疫中效用越大,信息危险系数就会越高,利用身源淡化处理等方式将有关信息匿名化,将极大提升公民信息安全及幸福指数(见表1、表2)。
表1 疫情防控流调表(未处理)
表2 疫情防控流调表(已处理)
表1和表2为疫情防控常态化时期模拟流行病学调查数据信息表。对比两组数据,原本表1展示的个人信息经过技术处理后转变为表2的形式,其中王五与王六在未进行数据处理前几乎仅凭借单项信息便可精准定位,经过处理后两组数据基本一致,增大样本容量后信息保护力度便会更加显著。机构组织间可建立互通的信息网络,探索脱敏技术在其余领域的拓展应用,更好地对个人信息“去识别化”进行规制,降低试错成本。并非仅局限于防疫流调数据的处理,该技术在诸多领域同样具有使用价值,扩大脱敏利用范围,从根源解决信息安全问题。
3.3 在信息安全的前提下“合理利用”,从公共利益拓展至商业使用
个人信息的“合理利用”是指信息使用者无需经过信息主体的同意,在数据安全性较高的前提下对数据进行使用与处理,其关键内涵在于对个人信息知情同意权进行宽免[16]。疫情防控常态化时期收集的个人数据为保护公共利益的产物,在符合合理利用标准的前提下向商事领域适当延伸,即将部分人格权益让渡于财产权益,发挥信息数据的创新转换使用效益。
商业使用方式之一即建立“信息银行”,将收集到的信息统一管理纳入储存平台,在保证数据绝对安全的前提下将信息与其他平台进行交易,交易获利在扣付中介费后给予数据主体,或给付财产,或给付财产性利益[17]。“个人信息权”并未正式作为一项民事权利收归于法典中,因此它仅能被认为是一种法益加以保护。假使将个人数据视作财产权的一部分,其是否采用银行、证券等管理模式进行运营、双方交易原则及售价认定、收归后权利归属等一系列问题仍需规制。数据库的建立便利了日常生活,但真正控制数据的主体均为高尖端科技公司与互联网信息平台,信息主体自身并非真正“数据的主人”,体会到的切实收益也是非常微小的,渗透公共数据商业化的思想,构建相应较为具体的使用路径,在确保流通安全的前提下实现价值的剧增,是科学利用个人信息的必由之路。
大数据的使用是个人信息中隶属财产权部分最直接的呈现形式,近年来有关数据法学的研究一直如火如荼,但其中具体模型建构以及实践规制尚不完善。因数据交易成本较高、流程复杂,致使出现贩卖数据的“黑市”,扰乱市场经济秩序,阻碍数据市场的良性运行,挤占相关商业活动,致使相关领域的发展受到一定限制。在国家进行宏观立法管控的同时,行业内部也应完善相关运行机制,内生动力、自我规范对于提升专业水准以及降低国家管控成本的作用举足轻重。
另外,任何商品进入市场流通后均涉及服务售后等问题,个人数据作为与人身紧密相连的无形资产,将其进行明确分类具有重要意义(见表3)。界清可流通数据信息及禁止交易信息,依照一定等级体系严格遵照执行,将数据所属权变更后无其余损害他人权益的冗杂事项作为可利用信息的准入门槛,确保在不影响公民日常生活的前提下尽最大可能发挥数据开发价值。
表3 可财产化信息与禁止交易的信息
个人身份证号码、金融账户等与数据主体直接相关的信息,被纳入禁绝商用内容,同理不列入财产化构想讨论范畴内。IP可能于原有价值基础上赋予更大、更多的额外价值与附加价值用于维持商圈的运行,在IP商业化后,价值空间增大,出现种种联动衍生物。如游戏IP账号、抖音号、QQ号等,利用平台媒介实现完美的互动,使数据价值骤升;声纹指征与肖像同理,在不侵犯数据主体隐私权益的前提下通过录入数据主体碎片化声音的方式实现各种配音收益等;利用个人肖像作为艺术创作样板等。国内“信息银行”的建设使数据收益资产直观化,具有实际操作可能性。以银行基本运行模式为纲实现数据增值,在疫情防控常态化中个人信息得到充分保障的前提下实现有效流通。
4 结语
兼顾公共安全与社会持续运转的双重任务是疫情防控常态化时期数据疫情防控工作的内核与关键,同时也是社会进一步实现转型突破的重要一环。当下存在“去识别化”技术不成熟且存在利用范围较窄,数据收集的时代性特征并不明显且管理尚未形成完备体系,数据再利用拓展程度较低等问题。针对此问题,笔者团队提出数据分级存储利用、加大脱敏技术使用力度以及拓宽数据商业利用性的规划方向,在做好信息安全保障工作的同时充分发挥其利用价值的策略与构想。