发现原创|| 疫情下的数据安全法律问题之一 —互联网公司对个人信息收集使用的合规性
◆ ◆ ◆
疫情之下个人信息等数据的运用状况
2020注定是不平凡的一年,一场新型冠状病毒肺炎突发疫情,彻底搅乱了十四亿中国人的庚子新年。相较于17年前的SARS,此次疫情表现出更快的传播速度,更广的传播范围以及更严重的医学后果。
虽然说经济和技术的发展让人员流动速度和范围远超当年,又恰逢春节,导致疫情更难控制。但是新兴的大数据技术在此次疫情防控中起到了至关重要的作用,成为了医护后盾,民众助手。比如:在疫情极大扩散之初,已经有科技企业利用现代化数据分析手段,得出了全国省份疫情扩散的初步分析结论;四川移动利用网络大数据通过移动用户数据,分析1月10日-20日从武汉进入四川各地的人口数量共5.9万,其中成都地区2.2万,与最新公布的湖北疫情地图、全国疫情地图相互吻合;由7位程序员搭建的《2019-nCoV新型肺炎确诊患者相同行程查询工具》,输入自己乘坐的交通工具、时间和地区,即可查询到自己是否曾与确诊者同行;百度推出了《百度迁徙升级版上线,人口迁徙大数据向公众开放》,系列《新型肺炎搜索大数据报告》等等。如果说医护人员和医学工作者在与死神赛跑,那么大数据正在发挥潜能,找准死神的来龙去脉。
各互联网公司运用大数据帮助公安、交管、医院、卫生防疫等机构在全国范围内精准定位,组织大规模防控工作,防止疫情蔓延,是维护重大公共利益的善举。但是同时也应注意保护好用户的个人隐私,注意防范个人信息保护的合规风险。
◆ ◆ ◆
个人信息收集使用的合规依据
目前的合规依据主要有法律规定以及各互联网公司的隐私政策。
法律规定层面,个人信息保护的专门法律《个人信息保护法》已正式列入2020年的立法计划,目前国家就个人信息保护的规定散见于若干法律、法规、规章、文件及标准中。其中较为系统的是《网络安全法》以及国家标准《个人信息安全规范》。
《网络安全法》将个人信息界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《个人信息安全规范》在此基础上将个人信息的范围扩展到了通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。具体到本次疫情,个人信息被收集、应用最多的便是身份与行踪轨迹这两类个人敏感信息。而前述法律与国家标准都确立了取得信息主体授权同意,遵循合法、正当、必要原则,未经信息主体同意,不得向他人提供个人信息等规则。
隐私政策层面,各大互联网公司几乎都有自己的隐私政策且都大同小异,在用户注册使用之初便取得用户的授权同意,并根据法律规定及时更新。之所以将隐私政策引申为一项合规依据,主要是因为它是取得用户授权同意的主要路径。以百度为例,百度围绕对用户信息的收集、使用设置了一套完整的隐私政策。百度隐私政策披露的收集使用个人信息的目的是:注册,提供产品和服务,沟通,展示和推送定制内容,提供安全保障,改善产品和服务,并开展内部审计、数据分析和研究,以及取得用户授权的其他用途。并将收集到的信息在百度的关联公司中共享、转让,跟授权合作伙伴共享。以及基于用户同意和法律法规、法律程序、诉讼或政府主管部门强制性要求下的公开披露。此外,还设置了共享、转让、公开披露个人信息时事先征得授权同意的九种例外情形。
◆ ◆ ◆
个人信息收集使用的合规论证
还是以百度为例。百度使用 Cookie 和同类技术收集用户信息,并对所收集信息的数据分析,整理出了人口迁徙大数据、系列新型肺炎搜索大数据报告等并向政府部门共享、向全社会公开披露。前述行为,就依据百度自身的隐私政策而言是没什么问题。但是否符合法律规定呢?
首先能够定位到特定个人的个人信息才需要被严格保护。就像本次疫情下,各地武汉返乡人员的名单泄漏,家庭住址、身份证号、手机号等隐私信息一应俱全,使上述人员被“全网通缉”,饱受骚扰与恐吓。那么百度共享、公开的信息是否能够识别到特定个人是判断个人信息等大数据运用是否合规的关键。《网络安全法》和《个人信息安全规范》都规定经过处理无法识别特定个人且不能复原的个人信息可以不经信息主体授权同意而共享、转让和公开。故,百度等互联网公司应将共享、公开的数据进行脱敏处理,使其无法识别到个人。
但事实上,个人信息和非个人信息在大数据时代背景下的边界是比较模糊的。一方面,分析的数据种类和数据越多,各种信息的聚合可能会越容易与特定的个人信息相联系,另一方面,随着不断扩大与紧密联系的网络环境与越发增强的数据分析能力,以及实名认证制度的推行,关联的使用设备的个人将会不断被匹配对应。因此,有必要进一步论证在既无用户授权(或者说用户授权内容是法律没有明确规定的),又无法完全脱敏与匿名的情况下的个人信息使用是否存在合规风险。
百度隐私政策中共享、转让、公开披露个人信息的条件没有包含出于防控疫情的需要,但是规定了出现“与公共安全、公共卫生、重大公共利益直接相关”的事件时可以不必事先征得授权同意。毫无疑问,此次疫情是一次重大的公共卫生事件,关乎公共安全与重大公共利益,百度大数据运用是符合隐私政策的。隐私政策中的九种例外情形是借鉴了《个人信息安全规范》中的规定。但就《网络安全法》而言,并未设置前述例外情形。只规定未经信息主体同意,不得向他人提供个人信息。单就国家标准的规定能否避免将来可能的法律纠纷?
笔者认为,虽然《个人信息安全规范》在法律缺位的情况下,为国家部门提供了很好的借鉴、参考作用。但是,仅依靠国家标准的合法性存在欠缺。不过国务院2011年修订的《突发公共卫生事件应急条例》可以为此种场景下的数据收集、共享和公开提供一些合法性基础。结合《突发公共卫生事件应急条例》第十、十一、二十九、三十六之规定,可以解读为人民政府在突发事件应急预案中,可以将除了卫生行政机构、疾病预防控制机构和医疗机构之外的部门、机构、组织、个人纳入,并赋予其信息收集、分析的权限。根据这一推论,可以在一定程度上化解合规风险,但是各互联网公司在收集、共享、披露疫情信息时最好事先跟政府相关部门进行沟通,取得背书,作为防范今后法律风险的护身符。
综上,一方面疫情背景下互联网公司发挥自身优势收集、使用用户个人信息用作防控疫情需要,阻止疫情蔓延,在现行法律框架下能够找到合法性依据。另一方面,各互联网公司应做好个人信息脱敏处理、匿名化处理,最大限度的做到使其无法识别到具体个人。并且与数据共享的政府部门、机构取得背书。疫情之下,保护好公共卫生、公共利益是要务,但是个体的隐私保护也不容忽视。
律师介绍
叶蕊律师:2016年毕业于成都理工大学法学院,毕业后在律所、公证处工作。2018年取得律师执业证,并在四川发现律师事务所高级合伙人周海洋律师团队任团队律师。从业以来,主要办理过婚姻家事类、人身损害赔偿类、合同类民事纠纷,目前专注于电子商务数据合规、个人信息保护和网络知识产权的学习与研究。
发现律所 人才招募
发现律师事务所成立于2001年,现有律师及工作人员两百四十余人,为“全国律师行业先进党组织”、“全国优秀律师事务所”双优律所。发现所总部位于成都,在北京、重庆、宜宾设有分所,在美国和香港设立办公室事宜正洽谈中。
发现长期致力于优秀人才的招募、培养以及分支机构的建设,如果你心怀法治理想,认可发现的文化,发现诚邀您的加盟,一起共筑大梦、共创大业、共享未来!
发现分所加盟、合伙人加盟、律师助理加盟请联系罗主任:
13908176157@qq.com,律所6楼尚余少量单间办公室和卡座供合伙人团队入驻。
专职律师加盟请联系陈女士:
13880926596(同微信号),578003155@qq.com
总部地址:中国成都市高新区交子大道383号中海国际中心G座5楼6楼
发现将用简约极致的书院、开放包容的理念、专业的培训、优渥的薪酬引领您成为有灵魂的法律人!
欢迎您预约莅所参观考察!
蜀ICP备:17000577号-1