智库中国 > 

突发公共卫生事件中的个人数据保护与分享

来源:澎湃新闻 | 作者:陈兵 程前 | 时间:2020-02-28 | 责编:李晓曼

 

 

伴随数字全球化及人工智能时代的到来,大数据作为人类社会不可或缺的关键技术,正深刻影响甚至改变着民众生产生活格局与国家公共治理方式。

从2015年9月国务院印发《促进大数据发展行动纲要》,到2017年10月十九大召开,我国大数据发展的顶层意图和顶层战略在国家发展的战略全局高度得以凸显。实践中,大数据在为新时代社会经济发展赋能助力的同时,其在应用中产生的诸多问题也已引发社会各界关注探讨。当前抗击新冠肺炎疫情形势严峻,各级政府与医疗机构借助大数据有效实施防控举措,尤其在收集监控信息、追踪传播路径、定位疑似病例环节效果十分明显。

 

然而,在突发公共安全应急机制中该技术大范围、多层级、宽领域的深度应用,对公民个人信息权利将不可避免地造成一定程度的冲击甚至是客观损害。譬如,部分从武汉、湖北疫区返回居住地的人士的个人电话等私人信息遭大量泄露。在特殊时期公共利益优先的大前提下,在个人数据(或“个人信息”,下文交替使用这两个词)权利的法治保障机制尚不充分的背景下,如何在数据保护与数据分享之间实现平衡,值得重点关注与深入思考。

 

以此次新冠肺炎疫情为背景,尽管包括大数据在内,各类技术手段为疫情防控起到了关键作用,但个人数据保护问题在严峻疫情加持下被进一步放大,主要包括:第一,基层信息管理人员法治意识淡薄,难以保障治理对象的个人隐私;第二,重点信息归集与公布缺少统一规范加剧社会舆情恐慌;第三,政府与企业间信息分享缺乏监督预埋数据安全隐患。

 

故在未来防控疫情过程中,应当同步考量上述法治风险,加强个人数据权益相关立法,统一信息发布程序与数据格式,强化政企数据分享的法治机制,以构建系统完备、科学规范、运行高效的突发公共安全事件治理体系。

 

一、基层数据治理主体法律意识不足

 

2020年1月25日左右,大量自武汉、湖北返回居住地人士的个人信息以统计表格形式在微信、微博与网络上曝光,其中详细列出姓名、手机号码、身份证号、乘坐车次、住址门牌号、工作学习单位等敏感内容。

 

后经查明,上述信息泄露源头多为各地基层信息采集人员及公安、卫生等疫情防控机构。因在数据采集、比对汇总、对外公布等环节缺乏隐私保护法律意识,致使那些返乡人士的个人信息在微信群外传后迅速扩散至整个网络。

根据我国现行《传染病防治法》第十二条、《居民身份证法》第十三条、《侵权责任法》第二条与第六十二条之规定,无论是否处于疫情防控时期,未经同意公开个人敏感隐私信息均属违法行为,视情节轻重承担行政、民事或刑事责任。即便法律有明文规定,个别地方的国家工作人员仍然出现上述疏漏,这体现出基层的信息治理主观上法律意识薄弱。究其根本,则指向我国目前个人信息权层面法律基础设施与配套建设尚不充分,互联网大数据技术迅猛发展同既有数据保护体系不相适应的客观现实。

 

在此次疫情凸显个人数据保护与治理隐患之前,世界各国已有相当程度的实践可供参考,如日本的《个人信息保护法》(2003)、俄罗斯的《个人数据保护法》(2006)、欧盟的《通用数据保护条例》(2018)、美国的《开放政府数据法案》(2018)和澳大利亚的《用户数据权利法案》(2019)等。

 

我国在稍早前公布的《民法典(草案)》第三编第六章“隐私权和个人信息保护”中亦吸收上述有益经验,对个人数据进行了专门规范。包括个人数据的属性定位、具体权益范畴等方面内容的《个人信息保护法》早在2018年9月就已列入全国人大常委会的立法规划。

从《民法典(草案)》释放的信号看,个人数据并非隐私权般是一项基本人格权利,而更倾向于一种权益集合,涵盖知情同意权、数据采集权、数据修改权、数据被遗忘权(删除权)、数据管理权、数据使用权、数据收益权等;在个人数据的依法公开与采集方面,则强调“合理限度”与“正当必要”等原则。

 

目前我国个人信息泄露现象较为严重,由上述自武汉和湖北返回居住地人士的个人信息遭泄漏一案中可见一斑。然《民法典》等关键性立法还须承担促进社会整体福利与经济发展的宗旨,在互联网数字经济迅猛发展之际设置较高的私权保护标准,无疑会阻碍相关科技产业创新步伐,欧盟《通用数据保护条例》实施中遭遇的质疑与阻力便是前车之鉴。

是故,制订中的《个人信息保护法》作为个人数据保护领域的基本法,应在现有法律体系基础上,着重对“正当必要”与“合理限度”等限制条件进行正面回应,以廓清个人信息权利群域的底线。

 

二、数据的归集与发布有待规范统一

 

实时采集疫情相关信息并及时公布是当前防控新冠肺炎的核心工作。总体而言,确诊和疑似病例人数仍旧可控,然,此次病毒的人传人强感染性、无症与粪口传播途径致使隔离措施异常严格。社会舆情在恐慌焦虑中对政府信息公开、治理程序公正的要求异常强烈。

 

在保障前述个人敏感信息安全的基础上,高效精准地锁定确诊病例、追踪接触人员、隔离传染路径,第一时间向社会公示健康风险,单靠政府掌握的公共数据信息显然不足,需要借助各类企事业单位积累的模式渠道与数据痕迹,完成重点区域、关键对象由点到面的大数据画像与风险评估。疫情期间,铁路、航空、电信,以及多家互联网科技公司如阿里巴巴、百度、腾讯、携程、艺龙等均根据自身模式成立专门数据分析团队,向各级政府防控部门依法提供大数据信息,为搜索和定位来自武汉特别是华南海鲜批发市场的感染者和密切接触者提供了强大信息支持,并在很大程度上打消了公众的顾虑心理和恐慌情绪。

 

从各级卫健委官网发布的疫情通报中可以看出,来自上述渠道的数据为各地摸排流动人口并缩小搜索范围提供了精准指南,也为有效提高疫情防控效率提供了技术支撑。

但另一方面,汇集至各级卫健委的数据信息极其庞杂,各地对个人信息的脱敏程度不一(如天津市、长春市在疫情通报中对新增确诊病例行踪进行了较为详细的描绘,突出起止时间、接触人群、旅居社区等信息,而其他地方则主要通报新增病例数量与所在辖区),公文名称内容等形式也各有不同(如北京市为“××疫情通报”,天津市为“××疫情情况”,武汉市为“××情况通报”等;内容上以文字陈述居多,个别地方附以辖区病例统计表和年龄分布图)。

在疫情防控高压态势下,各地以有限政务资源尽可能更新疫情信息应予肯定和理解,但若能进一步在信息归集与公开发布环节统一格式与内容细节,无疑将更有助于全国疫情防控大局,并为后续突发公共事件治理积累结构化的数据样本。

是故,笔者建议,为有效阻断传染渠道和保障公共健康,及时指导疫情防控,根据《传染病防治法》第三十八条、《突发事件应对法》第十一条、《政府信息公开条例》第二十条(十一)、(十二)、(十三)款之规定,可遵循“比例原则”在一定范围内公布确诊感染者的居住或经常活动区域。

 

同时必须明确两点:第一,只能公布确诊感染者居住和活动的大致区域,如小区或社区,不能公布其姓名、具体住址(门牌号码)、家庭状况等个人信息和隐私;第二,只能为公共健康和防疫、为民众健康的目的而采取前述措施。

 

此外,可考虑由国家卫健委下发《突发卫生公共安全事件信息公开实施办法》,明确各省级地方疫情通报的公文格式、所载内容及合作渠道;在同互联网企业按标准数据类型共享疫情信息的同时,授权指定第三方平台(如微信、支付宝、丁香医生等)在手机移动端实时更新疫情信息、制作数据图表、反馈民众质疑,以在今后类似突发公共安全事件期间统一数据保护标准,节约政务人力资源,开展多元信息共治。

 

三、数据分享缺乏监督遗留安全隐患

 

相较2003年“非典”时期,互联网结合大数据在本次抗击疫情过程中作用明显。最新疫情信息、专家答疑解惑、社交媒体上的患者求助和舆论监督、多平台防疫信息查询与科普直播使得即便民众隔离在家,依然能实现信息互联互通。其中,政府和互联网企业的数据分享无疑起到了关键作用。

 

不同于疫情信息公开,数据分享在目的、形式和用途上并不相同:信息公开主要是为了增强政府透明和问责,而数据分享则意在通过多主体数据创造公共和商业价值。理论上,数据分享要求政府开放的数据是细颗粒度和可机读的,并能够同其他数据集互联互通,从而有利于数据价值的进一步开发利用。

 

如上述,各级卫健委在数据分享方面还有很大提升空间,目前的问题是疫情信息颗粒度较粗且结构化较弱,难以同商用数据信息直接匹配兼容。同政府部门格式化的信息发布相比,企业和民众更希望获得定制化的、及时的、细颗粒度的和可编辑的数据。这一方面可降低企业采集和利用政府数据的成本和难度,另一方面也有助于民众获得同自己最相关的信息。

从目前趋势看,政府部门正结合信息公开相关要求提速数据分享与合作机制,使掌握海量个人用户数据的互联网企业更好地服务于防疫工作。但此过程中应警惕政务与商用两类数据被分享利用后,未来可能预埋的信息泄露安全风险。上述自疫区返回人员个人信息遭泄露事件,已呈现出些许端倪。因此,政府部门和相关企业在利用大数据进行突发公共安全事件共治时,确有必要保护治理对象的个人隐私安全,整个过程应当接受信息公开与社会化监督,避免因泄露个人数据而导致严重的经济损失与社会问题。

 

目前,学界对政企大数据分享合作的观点主要有两类。一类认为,在国家危难之际,利用大数据进行疫情防范是非常时期的非常举措,并不必然违背法律,个人信息权益应适当让渡,以服务公共利益大局。但如果互联网公司将防疫数据进行后续商业应用,则不具备合法性。另一类则对当前借助疫情防范而迅速铺开的大数据应用表示担忧,尤其在国家治理机构高速运转时难以保证公民基础信息数据得到充分保护的背景下,论者认为,我国目前在个人信息保护方面法律基础薄弱,一旦脱离制度监控,极易在“技术裸奔”中造成大量隐私数据外流,遗祸未来社会经济的健康发展。

 

需要明确的是,第一,“个人信息”内涵范畴大于“个人隐私”;第二,“个人数据”为“个人信息”的数字化表现形式;第三,只要涉及个人用户的数据分享行为不侵害法律意义上的隐私便具备合法性。在当下互联网迅猛发展趋势下,固守狭隘的隐私观念定义,大数据产业、数据分享行为乃至人工智能行业都难以发展。此次疫情从另一角度启示全社会:较为积极的个人数据隐私观有待树立;个人数据隐私有赖于法律保护的同时,需要防止被商业私用与恶意滥用。

在具体实施环节,考虑到目前《民法典(草案)》与《个人信息保护法》尚处在立法环节,当务之急可暂以《国家安全法》第五十一条和《网络安全法》第四章的法律规定为基准,对突发公共事件中个人数据安全进行规制和调节。上述条文规定模糊的,应进一步出台行政规范性文件或其他措施进行弥补,并尽快完善个人信息保护与分享配套法律法规。

 

此外,从长远制度建设着眼,应鼓励在政府数据与包括电商在内的社会主体数据之间建立开放分享合作机制,形成激励相容、利益共享、互相监督的大数据共治生态,使各主体既有挖掘、收集数据的积极性,又能打通数据壁垒、串联信息孤岛,在法治框架下实现政府大数据精准决策与经营者和社会组织便捷利用的协调良性发展。

 

四、仍需研讨之处

 

虽然大数据技术在此次疫情防控方面已经发挥了突出作用,对今后类似突发公共安全事件治理具有参考价值,但在精细采集和深度应用方面仍有较大改进空间,未来值得予以细化。

首先,

突发公共事件个人信息采集精细化、规范化程度不高。

 

除前文提到的法律意识淡薄外,疫情防控一线的基层干部还饱受形式主义和官僚主义困扰,部分机构每日要求重复报送大量人员统计表格,既增加了基层负担和资源空耗,也很难避免数据采集过程中的粗放性与随意性。

 

此次疫情期间,浙江等地采取的一表统计模式,在开放各部门数据采集与使用权限的同时,大幅提升了数据颗粒度与严谨性。未来若能进一步结合区块链等数字防伪加密技术和基层信息采集管理制度,将能够从数据源头实现突发事件信息采集一步到位、真实准确。

其次,治理过程中跨部门数据应用智能化、协同化水平较低。

 

大数据要实现跨部门协同联动方能最大化其潜在价值。但此次疫情期间,许多地方政府部门和基层组织尚未充分认识大数据技术优势,仍采取人海战术,通过打电话、在微信群中通告、发传单等方式进行撒网式防疫宣传、数据排查和信息上报。实际上,国家电网、铁路集团、移动通信等公用企事事业单位及各类互联网公司所掌握的海量数据已能够对治理对象进行数据画像与智能响应。但此种“深数据”与“强智能”的结合,以及各部门数据口径与组织体系的统一,需有法律明确授权。

故在未来突发公共事件应急机制实践中,可依法依规同步开展人工智能“智慧政务”治理模式试点。例如,试点城市政府各部门联合指定互联网科技公司实施无人治理措施,依法授权企业利用自身在用户模式与数据算法方面的特色优势,充分开展精准滚动摸排、实时信息投放与防治需求反馈等日常治理活动。

 

发表评论