业用于除疫情防控外的其他目的,损害公众或者特定个人的利益;此等个人信息可能被不法犯罪分子乃至境外敌对势力窃取,导致个人的人身、财产安全受到危害;长期通过“两码”监测公众的健康状况和行踪轨迹,容易致使其异化为永久的“电子镣铐”,不仅构成对公民权利的侵害,还可能成为境外敌对势力攻击我国的口实。在《通知》公布实施的背景下,除特殊情形外,个人信息处理者不应继续通过“两码”处理用户的个人信息。对于“两码”收集和储存的个人信息,个人信息处理者如果不能进行合理处置,其个人信息处理活动不仅缺乏相应的合法性基础,同时还可能对公众和社会的利益带来巨大风险。有鉴于此,当“两码”退出后,有必要采取相应措施,妥善处置其收集和留存的个人信息。
“两码”退出后的个人信息处置措施
建议对“两码”收集和存储的相关个人信息采取以下处置措施:
其一,随着防控政策的调整,通信行程卡已经退出服务,健康码也应尽快退出服务。从国务院联防联控机制发布的相关通知来看,现在绝大部分公共场所不再查验健康码,健康码的应用场景已大幅减少。作为《突发事件应对法》下应急时期的应急措施,健康码以消除非常状态、恢复正常状态为目的。在应急状态结束后,健康码的退出是必然选择,届时地方行政机关应当明确各地健康码退出的时间、方式和相关个人信息的处置措施。
其二,个人信息处理者通过“两码”收集和存储的个人信息,原则上应当全部删除、销毁。《个人信息保护法》第47条规定,处理目的已实现、无法实现或者为实现处理目的不再必要的,个人信息处理者应当主动删除个人信息;法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。随着疫情防控措施的不断优化调整,个人信息处理者通过“两码”处理用户的个人信息,已不再是实现科学防疫的必要手段。因此,个人信息处理者应当依照《个人信息保护法》第47条规定,主动删除、销毁其存储的全部个人信息。从地方立法实践来看,内蒙古自治区、浙江省、重庆市、广西壮族自治区等地的省级地方规范性文件已对个人信息处理者销毁相关个人信息的义务作出了明确规定。例如,《广西健康码管理与服务暂行办法》第38条规定:“广西健康码相关信息将严格按照国家安全管理使用规定及公民个人信息保护规定存储在政府部门或其指定的地点,按照相关法律法规规范使用,疫情结束后按规定销毁或妥善处置。各地已整合下线的健康码,要做好数据销毁并向社会公告,接受群众监督。”
其三,删除、销毁相关个人信息时应当遵循“谁存储谁删除谁销毁”的原则。作为通信行程卡收集的个人信息的主要存储者,中国电信、中国移动、中国联通均已发布公告表示,通信行程卡服务下线后将同步删除用户行程相关数据,依法保障个人信息安全。作为通信行程卡小程序的运营者,中国信通院本身不存储通信行程卡收集的个人信息,但是在其向用户提供查询服务的过程中,可能产生一些衍生数据。对于此等数据,中国信通院发布公告表示已在提供服务的过程中滚动删除、销毁。此外,根据《工业和信息化部关于政协十三届全国委员会第三次会议第1784号(政治法律类189号)提案答复的函》(工信提案〔2020〕171号),通信行程卡收集的个人信息数据经脱敏后还会通过国务院联防联控机制向相关部门审慎、定向提供。脱敏是指对个人信息进行技术处理,去除其中的可识别信息,使其无法直接识别特定自然人,包括去标识化和匿名化等风险控制措施。依照《个人信息保护法》第4条第1款的规定,相关部门接收的个人信息属于经过匿名化处理的个人信息的,其可以对此等个人信息进行自主利用。相关部门接收的个人信息属于经过去标识化处理的个人信息,且尚未达到匿名化处理的程度的,相关部门应当予以销毁。
健康码收集的个人信息一般存储在终端App、平台系统、扫码端,比较分散,再加上实际运营的外包和转包,信息的共享和流转,信息分布更加分散。鉴于此,凡存储有此等个人信息的单位、个人,不管通过何种途径获取此等个人信息,都应依法依规履行删除、销毁的义务。
其四,相关个人信息的销毁工作应当在中央网信办的统筹协调下进行,各级网信办负责对删除、销毁工作进行检查、监督。拒不履行删除、销毁义务的,应当被追究法律责任。由于“两码”收集的个人信息数量多、范围广,且包含大量的敏感个人信息,相关个人信息的全面、彻底销毁对于保障广大用户的个人信息权益而言具有重要意义。作为履行个人信息保护职责的部门,中央及地方各级网信办应当对相关运营商、服务商、行政机关等主体销毁个人信息的实际情况进行监督检查,确保相关个人信息“应删尽删”“应销尽销”。
其五,未来国家机关重启“两码”,需要以专门的法律或者行政法规为依据,不得任意重启,地方行政机关不得通过类似于“两码”的手段处理公民的个人信息和限制公民的自由。《个人信息保护法》第34条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”依据该条规定,国家机关为公共利益重启“两码”的前提是存在相应法律、行政法规的规定。
实践中健康码收集的个人信息在使用范围上存在外溢情况,一些地方将健康码与医疗社保、公共交通、政务服务等关联,形成对个人信息安全的威胁。例如,2020年6月28日某城市市通过的《关于做强做优城市大脑打造全国新型智慧城市建设“重要窗口”的决定》提出,要充分发挥杭州健康码在公共卫生体系中的重要作用,结合社会治理相关数据库,延伸移动端功能,拓展“一人一码”公共服务,推动健康码与就医、养老、健身等功能相集成,加快健康码使用从疫情防控向日常服务应用转变,使健康码在提升公共卫生现代化水平中发挥更重要作用。笔者认为,地方政府任意扩大健康码的使用范围或者重启健康码,没有合法依据,应当坚决制止。
(原文刊登于《上海法治报》12月28日5版“法治论苑”。责任编辑 徐慧,见习编辑 朱非)
作者 | 张新宝