编者按:新冠肺炎疫情发生以来,中国法学会和地方各级法学会、各研究会坚决贯彻习近平总书记重要指示精神和党中央决策部署,主动担当、积极作为,组织动员法学法律工作者,在统筹推进疫情防控和经济社会发展工作中充分发挥职能作用,特别是加强对依法防控、复工复产、公共卫生等重点问题进行集中攻关、提出对策建议、贡献法治智慧,取得良好成效。本报开辟“以法之名战‘役’行动”系列报道专栏,摘编刊发部分专家学者的精彩文章,以法之名,致敬所有坚守在抗击疫情一线的各行各业工作者。本期为第二十一期。
在疫情防控阻击战中,人工智能、大数据等新技术八仙过海,各显神通,筑起一道道“智慧防线”。然而,技术是把双刃剑。出于防控需要,部分政府部门、公共机构和企业收集了大量公民个人信息,其中不乏隐私信息,而相关配套制度存在缺口,加剧了信息泄露的风险。实际上,疫情期间,公民信息泄露事件偶有发生,引发人们担忧。
近年来,我国个人信息保护领域立法已有长足发展,但随着新技术日新月异,立法层面还是存在一些不足。随着疫情防控态势渐稳向好,“复盘”疫情期间的信息管理,有利于疫情结束后公民信息的妥善处理,也有利于我国公民个人信息的长远保护。我们应完善信息保护的政策框架,在个人生活、商业利益、社会治理之间寻求可能的平衡,以保护个人权益和促进信息流通为准绳,找到信息利用和安全的平衡点,具体从以下几方面着手。
第一,推动公权力机关树立公民个人信息保护理念。在疫情防控初期,出于迅速控制疫情传播工作的需要以及行政管理效率考虑、社会公共利益考量,一些处理方式较为便利、具有震慑性但忽视了个人信息保护。对此,中央网信办针对利用大数据支撑联防联控工作发布了通知,要求收集联防联控所必需的个人信息要坚持最小范围原则,收集或掌握个人信息的机构要对个人信息的安全保护负责。行政机关应重视信息利用利益和利益衡量方法,围绕利益衡量结果展开,兼顾信息保护与利用,在保障人格尊严的前提下实现信息效益的最大化目标。公权力机关还应构建公民信息分类管理和筛选模式,根据涉及信息与个人人格尊严的关联度、信息所需的保护状态、信息采集渠道等不同,为不同种类的信息提供强度、方式不同的保护,决定哪些信息一次授权一次使用,哪些信息一次授权可以自由流动,哪些信息应当公开,哪些信息需要保护。公权力机关可以设立应当征集信息的“正面清单”,平衡疫情防控管理与保护公民信息的需求。随着疫情态势渐好,个人信息保护工作也应进一步受到重视,对于已收集的公民信息在疫情结束后应进行妥善处理。此外,还应构建可追溯的信息保护责任链条,防止信息泄露却无从查起。
第二,加强互联网企业的行业自律。不少互联网企业针对疫情设计了便民小程序,服务公众,值得肯定,但是也有部分互联网企业过度收集个人信息,甚至泄露相关信息。除了互联网企业,不少超市、药店、公交地铁手中也掌握了大量详细的个人信息。中央网信办的通知明确提出,除国务院卫生健康部门授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息;不得将数据用于其他用途等要求。企业收集和使用个人信息必须征得消费者的同意,遵循合法、正当、必要的原则。此外,企业还应将隐私保护嵌入产品设计和商业模式中,“以用户为中心”的宗旨,充分尊重用户的隐私和选择,多为用户数据安全考虑,提供更人性化的服务。
第三,借助区块链等新技术实现信息安全有序共享。区块链是一种去中心化的分布式账本技术,具有透明可信、防篡改、可追溯、高可靠性等特点。结合区块链技术的共识机制、加密机制、点对点网络等技术,可以构建基于区块链的信息管理方案,通过访问控制机制达成信息的共享,敏感信息被加密保存在数据云中,提高信息安全性。此外,有关机关和企业应不断填补技术漏洞,进行技术发展,用好新的技术手段,减少个人信息的不必要曝光。
第四,培育公民个人在大数据时代的信息素养。疫情期间,有人轻信并转发谣言,造成恐慌;也有人信息被泄露,遭到骚扰;还有人公开他人信息,受到处罚。这说明我国公民的信息素养急需提升。信息素养要求公民不仅能分辨信息的真假,而且对于自己的信息权利义务有一定的认识。互联网是个“大杂烩”,信息真真假假难以区分,公民应该更多关注权威媒体的信息,对于信息的来源、作者身份、内容依据、数据来源进行批判性的思考,不盲从,不轻信,不造谣,不传谣。
信息安全攻防战是长期博弈,在可预见的未来谁都无法做到高枕无忧。政府、企业、技术和用户必须协同发力,多管齐下、惩罚并举,四个手段相互联系,构建“四位一体”防御体系。
(作者为东南大学人民法院司法大数据研究基地研究人员)