个人信息保护是这几年全国两会的热议话题之一,今年疫情期间很多地方、单位为防疫进行个人信息采集,更是增加了代表委员对此的关注度。
据报道,全国人大代表、全国人大社会建设委员会副主任委员任贤良就带来了一份建议,专门探讨后疫情时期个人信息何去何从。在他看来,防疫期间采取的一些特殊措施,不能没完没了地延续下去。疫情结束后,有关部门应当对收集的个人信息进行封存、销毁。在收集、存储个人信息等方面,我们相关的法律也得跟上。
后疫情时期个人信息何去何从,其实是不少代表委员共同关心的话题。如有的代表建议,为了应急防疫采取的一些措施,在疫情缓解后应尽量取消,不能将暂时措施变成永久措施;有的委员呼吁,疫情期间采集的个人信息应设立退出机制;还有委员在提案中表示,《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护。
代表委员们聚焦后疫情时期个人信息保护,一方面是因为当前疫情防控进入常态化阶段,我们已经有更多精力和必要去讨论、规范涉疫个人信息的采集以及后续处置;另一方面,也是因为此前的确出现过不少涉疫个人信息泄露的情况。如上个月,某地警方就通报,当地市民的微信群里出现中心医院出入人员名单信息,内容涉及数千人的个人身份信息。
还要看到,疫情期间的个人信息采集以及个人信息的让渡状态,终究是服膺于疫情防控的应急需要。换言之,这是非常态化的操作。而目前疫情防控进入常态化阶段,相应的个人信息采集以及此前已收集的个人信息如何处置,也理当以常态化的思维和标准来规范。
比如,可以从保护个人信息的角度出发,对那些已经采集但对后续防疫不再具有价值的个人信息,进行妥善封存或是销毁,最大程度避免引发个人信息泄露的次生风险。
而疫情防控常态化下,因疫情防控需要依然必须进行的信息采集,也该依据比例原则,从收集主体、收集范围、收集方式、储存保护等多方面,进一步确立更规范的标准,找到疫情防控与个人信息保护的新平衡,从源头压缩个人信息的安全风险。有调研结果就表明,在恢复正常生活后,受访者普遍认为,应削减出于应对危机需要采集的人脸信息和部署的人脸识别应用。
另外,眼下到底哪些场合还需要采集个人信息,需要采集哪些信息,在不同地方,甚至同一地方的不同场合,都存在差别操作的情形。像近期就有地方的健康码升级引发争议。对此,还是有必要严格区分疫情期间和疫后信息采集的边界。
当然,为应对突发疫情而启动的个人信息采集,由于具有突出的应急性,难免突破既有的个人信息保护边界,从而为个人信息保护提出诸多现实挑战。但从另一个角度看,这也为网络时代的个人信息保护立法提供了一种极端场景的应用测试,有利于增强立法对个人信息保护复杂性的回应能力。
比如,像疫情这样的重大突发公共卫生事件,其信息采集和保护边界,是否需要重新界定?是否有必要依据应用场景对个人信息保护进行分类分级?总之,从法律上厘清特殊场景下的个人信息保护边界,也能为正常状态下的个人信息保护制度完善提供更多实用性经验。
而目前正是相关立法的关键时期。全国人大常委会法工委有关部门负责人日前就透露,《个人信息保护法》正在研究起草中,目前草案稿已经形成,将根据各方面意见进一步完善。很显然,疫情防控期间所反映出的个人信息保护问题,正为立法草案的完善提供了一种现实参照。若能予以妥善吸纳、回应,对于提升个人信息保护法的现实针对性无疑大有裨益。