新冠肺炎疫情發生以來,各類移動互聯網應用程序(App)在疫情防控工作中發揮了重要作用。但很多這類程序收集處理的是個人身份證號、行蹤軌跡、健康狀況、家庭住址等敏感信息,App行為是否合法合規、個人信息能否得到妥善保護、疫情過後數據如何處置等問題引發公眾擔心。2月4日,經中央網絡安全和信息化委員會同意,中央網信辦印發了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》。天津近日印發了《關於開展疫情防控相關App違法違規收集使用個人信息專項治理的通告》,這在全國屬首例,無論是對當前的疫情防控,還是長遠的網絡安全工作,均具有重要意義。
個人信息保護工作涉及所有人切身利益,其重要性自不待言。正因為如此,《網絡安全法》專設了多個條款,《個人信息保護法》《數據安全法》正在抓緊起草,3月6日的2020年1號國家標準公告也宣佈GB/T 35273-2020《信息安全技術 個人信息安全規範》正式發佈,相關專項行動、制度性設計均已安排。但新冠肺炎疫情期間還要對這項工作再強調、再部署,足以說明其有特殊性。
一是疫情防控的需要。大數據在疫情監測分析、病毒溯源、防控救治、資源調配等一系列疫情防控環節都發揮了不可替代的巨大支撐作用,而相當一部分疫情防控相關大數據由個人信息匯聚而來。目前社會上違規收集、濫用個人信息的情況依然比較嚴重,疫情期間這個問題如果處理不好,可能會帶來很大負面影響,最終危害“抗疫”大局。天津的專項治理是對中央要求的具體落實,而且有手段、有機制、有時間表、有責任部門,這就是政治自覺,這就是對人民負責。
二是正本清源的需要。為什麼要正本清源?是因為很多人對於疫情防控中的個人信息收集使用有兩種錯誤認識,一種認為這些信息太敏感不能用,一種認為緊急情況下可以隨便用。一方面,世界各國的個人信息保護法規標準,都在嚴格的條款之外,為健康醫療、公共事件處置類的個人信息作出了例外規定。即,與公共安全、公共衛生、重大公共利益直接相關的活動中,或者學術機構出於公共利益需要開展統計或學術研究時,可以不徵得當事人授權同意而收集、使用、共享、跨境傳輸個人信息。甚至還規定,出於維護當事人生命目的但又很難獲得其同意的,也可以豁免法規中的“授權同意”要求。這個看起來奇怪的規定,其實特指的是生命搶救情況。人都已經昏迷了,難道還要等著他醒來簽字才能給他拍片子嗎?由此可見,健康醫療和公共安全類數據,不但要用,還要大膽地用、充分地用。但另一方面,目的正當不等於手段正確,這其中有個必要性證明的問題。這一點往往被多數人忽視,認為他這個事情多麼高尚、正確,怎麼就不能做呢。例如,他可能覺得為了驗證一個人的真實身份,需要進行人臉識別。但他需要證明,是在窮盡了其他所有手段,沒有任何其他辦法的情況下,才不得不去收集人臉這種極為敏感和特殊的信息。上述模糊認識,在相當大範圍內、相當大程度上存在著。天津的專項治理,對於廓清認識、更有效支持疫情防控、引導相關App科學設計和合規運行顯然十分必要。
三是推進信息化健康發展的需要。新冠肺炎疫情是我國經濟社會發展過程的一個重要節點,我們的生產生活方式必將發生重大改變。移動辦公、線上會議、遠程教育、網上籤約等不僅僅是疫情期間的權宜之舉,更標誌著中國將開展一輪新的數字化轉型,我國信息化發展會進入新的階段。這本來是一個漸變的過程,但此次疫情無疑成為“加速器”。在移動互聯網的大時代背景下,移動App顯然是這場變革的“推手”,例如很多App已經從消費領域向工業領域加速滲透。但如此迅速的變革,使大量App還沒有來得及考慮安全防護便匆匆推向市場。此情此景,使人想到二十年前信息化建設進入一個高潮時,有識之士作出的“沒有安全的信息化是危險的信息化”的論斷,這在今天同樣適用。這是一個關係我國信息化長遠發展的大問題,必須及時管控風險。天津的專項治理從疫情防控相關App這一當前熱點入手,為大家敲響了移動和遠程安全的警鐘,也為由點及面加強移動App安全管理、保障新形勢下信息化健康發展提供了更多可資借鑑的經驗,這具有標誌性意義。
四是探索地方網絡安全管理長效機制的需要。我國網絡安全管理體制,一直處在不斷的調整優化之中。在這個過程中,地方網絡安全工作抓什麼?這始終是一個在探討中的問題。地方網信部門如何落實數據安全管理職責?很多地方網信幹部都在思考。天津的專項治理對此給出了答案。維護人民群眾的利益,這是我們網絡安全工作的重要目標。但要在這個目標之下,以遵循中央精神和法律授權為前提,主動創新方式方法和手段。只要心中有群眾的利益,這個創新空間就很大。事實上,天津市的網絡安全工作創新一直很成體系,連續出臺了《天津市促進大數據發展應用條例》《天津市數據安全管理辦法(暫行)》,特別是2019年12月,天津市網信委印發了《天津市提升數據安全保障能力專項行動方案》,其中便提出了“深化App違法違規專項治理”的工作任務。在中央網信辦等四部委已經開展移動App違法違規專項治理工作的背景下,地方怎麼開展專項治理?怎樣體現地方特色?怎樣不加重企業負擔又力求實效?這些創新性思考早已為此次專項治理奠定了基礎。其意義已經超越個人信息保護本身,而在於為地方網信部門抓好網絡安全工作、編制“十四五”網絡安全規劃探索出了新路子。
中國信息安全研究院副院長 左曉棟
閱讀更多 武清大良 的文章
