行程卡下架后应删掉个人信息
财经十一人官方
2022-12-13 20:51·北京
0
打开网易新闻 查看精彩图片
个人信息处理者负有“证明自己履行了删掉义务的证明责任”。如果今后发觉其并未删掉,无论是否泄密或则是否借助,都构成非法处理个人信息,应当承当法律责任
打开网易新闻 查看精彩图片
文|樊瑞
编辑|郭丽琴
随着中国疫情防治新政的调整,已经在普罗大众生活中存在达五年九个月之久的“通信大数据行程卡”(下称“行程卡”),将于12月13日0时即将下线。
让各方关注的是,应当怎样妥善处理行程卡所涉的海量个人信息?其中行程卡中的行踪轨迹、健康宝中的生物辨识人脸信息,都属于《个人信息保护法》规定的敏感个人信息,信息处理者应该承当更严格的收集和处理义务。
依据《个人信息保护法》,当“处理目的已实现”和“个人信息处理者停止提供产品或则服务”的情况,个人信息处理者应该主动删掉个人信息。
财经E法从了解行程卡运行的知情人士处据悉,行程卡只是一个查询导流平台,一边链接有数据的运营商,一边负责接受用户的查询恳求,并不储存任何用户信息。
随后,财经E法分别致电三家联通运营商,询问行程卡下架后,是否会在后台删掉用户个人数据。
中国电信的客服回复称,下架是防疫部门的决定,下架后会手动删掉用户数据;
中国联通客服称“应该会删掉”。
中国移动客服则表示,“移动不会泄漏包括用户行程在内的个人信息”,“目前还没接到公司将删掉用户行程数据的通知,可以继续关注后续消息”。
12月12日晚21时许,中国联通发布官方公告称,“高度注重顾客个人信息保护,将根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,自12月13日0时‘通信行程卡’服务下线后,同步删掉用户行程相关数据,依法保障个人信息安全”。虽然有媒体报导称,三大运营商先后发公告表示,将在 ‘通信行程卡’服务下线后,同步删掉用户行程相关数据,依法保障个人信息安全。但截止发稿时,未在相关渠道发觉中国联通和中国电信发布官方通告。
与此相关的问题是,其他在疫情特殊时期形成的,且类似于行程卡的数据平台,如果确实储存了大量个人信息,未来又该怎么妥善处理这种信息?
打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片
累计接受查询近600亿次
行程卡最初设计的目的是疫情防治和开工复产,可通过行程“自证清白”。
它是由住建部指导,中国信通院、中国电信、中国移动、中国联通、中国广电共同推出的公益性的行程查询服务,可以免费为用户提供本人过往7天内到访过的国家(地区)和连续逗留满4小时的国外城市证明。
行程卡于2020年2月29日即将上线。在行程卡使用的初期,提供的是14天的行程记录。2021年1月8日,对包含中高风险区域的地市名称以“星号”标记。
2022年6月29日,工信部宣布下月起取消通讯行程卡“星号”标记。
7月8日,工信部发布公告,根据《新型冠状病毒麻疹防治方案(第九版)》,将行程卡查询结果的覆盖时间范围由“14天”调整为“7天”。
12月7日,国务院联防联控机制举行新闻发布会,宣布跨地区流动人员,不再查验核苷酸检查阳性证明,不查验健康码和行程码。
上述变动可以看见,对行程卡已成逐渐解绑之势,彻底下线也在意料之中。
工信部人士在2022年5月曾表示,通信大数据行程卡用户查询次数累计达到556亿次以上,成为人人出游的“标配”和各地防治疫情的重要支撑。
行程卡上的显示信息包括:用户加密手机号、行程信息更新时间、色卡、用户过往7天内所有到访过的国家(地区)和连续逗留超过4小时的国内城市。
《个人信息保护法》中规定,个人信息是以电子或则其他形式记录的与已辨识或则可辨识的自然人有关的各类信息,不包括匿名化处理后的信息。
清华大学法学院副院长程啸强调,行程卡上的信息显示,行程卡把握个人的姓名、手机号、行程信息,这些都属于个人信息,“尤其是行程信息,是《个人信息保护法》中规定的敏感个人信息类别下的行踪轨迹,信息处理者应该承当更严格的收集和处理义务”。
打开网易新闻 查看精彩图片
知情人士:行程卡不储存个人信息
根据“通信行程卡”官方公众号消息,2022年12月13日0时起,正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、APP等查询渠道将同步下线。
在疫情期间,行程卡常与健康码配合,成为重要出游“伴侣”。在防疫新政的调整下,行程卡离场并不令人意外。
在正式下架之时,行程卡所步及的海量个人信息将会被怎么处理?
《个人信息保护法》第47条规定,当“处理目的已实现”和“个人信息处理者停止提供产品或则服务”的情况,个人信息处理者应该主动删掉个人信息;个人信息处理者未删掉的,个人有权恳求删掉。
程啸对财经E法表示,行程卡本是为应对突发公共卫生事件形成而处理个人信息的平台,按照《个人信息保护法》规定,在此特殊情况下,个人信息处理者可以不需要取得个人同意就处理个人信息。但现今此处理目的已然实现,故不能再储存个人信息。“按照法律规定,存储个人信息的处理者要删掉相关的个人信息。”程啸说。
但一位不愿具名的知情人士透漏,行程卡本身并不储存人个信息。
这位知情人士向财经E法披露了行程卡的运作逻辑,用户通过手机号码登陆行程卡,并发起查询申请,三大运营商可依据申请提供行程。中国信通院维护的行程卡端提供的是通道服务,一边链接有数据的运营商,一边接受用户的查询,返回并展示那些数据。这位知情人指出,行程卡本身并不储存数据。
另一位知情人士也向财经E法确认了上述信息,即中国信通院在行程卡提供服务中,承担的是“查询导流平台”的作用,“不储存任何用户信息”。
事实上,行程卡官微也介绍,“服务使用搜集鉴权数据和话单数据进行剖析,位置信息来源于基站,不会搜集用户的GPS定位信息。”
打开网易新闻 查看精彩图片
行程卡官微介绍
此外,《人民邮电报》在2020年3月4日的文章《一“扫”便知疫区行程,通信大数据行程卡服务来了》中,中国信通院回应公众对于隐私问题的疑虑,信通院表示该服务为免费公益服务,无需填写身份证号、家庭住址等信息,基于用户授权而且经过本人实时验证,能够充分保障用户隐私。
对此,受访专家强调,在中国信通院不储存相关个人信息的情况下,不管其是否构成个人信息处理者,都不用承当删掉个人信息的义务。
程啸强调,这属于个人信息共享的一种形式。程啸觉得,中国信通院其实没有储存个人信息,但是不等于其没有使用个人信息,“按照《个人信息保护法》规定,决定个人信息处理目的和方法的就是个人信息处理者,如果是行程卡的处理目的和处理方法是由中国信通院决定,那中国信通院就构成个人信息处理者,要遵循个人信息处理者的义务”。具体来说,作为处理者,有停止使用和删除个人信息的义务。
运营商是行程卡涉及的另一大主体。程啸觉得,在行程卡正式下架的情况下,运营商应该删掉此前因防疫目的而搜集的个人信息。这里应该对以下两种情况进行分辨:情况一,在应对突发公共卫生事件所必需时,运营商依法可以不经用户同意就搜集、使用个人信息;情况二,具有合法性基础可以继续处理其他个人信息。对于前一种情况,当突发公共卫生事件结束时,运营商就不能再借此为来历处理相关的个人信息了,其应该停止搜集、使用个人信息,并主动给以删掉。
中国信通院数安智库专家、清律律师事务所首席合伙人熊定中有不同想法,他觉得,如果中国信通院只是调用展示,并不储存和用作其他用途,那当然不构成信息处理者,相当于是受用户委托调用用户的运营商的数据来展示给用户,不需要承当删掉的责任。但若果做了存留以及其他非展示功能的处理,那就属于个人信息处理者,要承当删掉个人信息的责任。
打开网易新闻 查看精彩图片
类似平台该怎么处理?
虽然知情人士称,行程卡不储存个人信息。但其他在疫情特殊时期形成的,且类似于行程卡的平台,未来应该怎样妥善处理个人信息?
程啸强调,依据《个人信息保护法》的规定,应当是由个人信息处理者主动删掉。所谓主动删掉的意思是指,个人信息处理者首先明晰表明自己早已履行了删掉义务的承诺。
中国科学技术大学公共事务学院、网络空间安全大学院士左晓栋向财经E法剖析了删掉情况下存在的一些争议情况。
其一,这是否属于“法律、行政法规规定的保存年限未期满”的例外情况?他觉得,目前,法律法规对这类数据的保存未提出期限要求,这与网络活动日志等有着本质上的区别,所以不适用例外情况。
其二,涉及防疫的个人信息在搜集时,其合法性基础原本就不是个人同意(虽然在流程上确实设计了个人同意的界面),而是为了“应对突发公共卫生事件”,因此有特殊性。“应对突发公共卫生事件”已经结束,显然没有再处理个人信息的必要。左晓栋表示,不能以“将来可能有用”为由存留公民个人数据,除非法律对此类数据有明晰要求。
那是否可以脱敏后使用这种信息?左晓栋表示,“严格而言,匿名化后可以使用,因为不再属于个人信息。”但左晓栋觉得,很多人如今自以为的脱敏技术并不能实现“匿名化”,只是“去标识化”而已。所以,除非经过严格论证,否则企图对行程卡数据“匿名化处理”后再使用,并不现实。
虽然法律有明晰要求,但个人信息是否真的被删除,也是一个现实问题。
熊定中以其代理过的删掉权相关的案子为例强调,一般只能相信已然被判令删掉的个人信息主体早已删掉,要真的做到落地监督执行,可能只能依托于直接监管机构,比如网信办、工信部、市场监管总局等,或者有权的公益组织进行监督,例如消协或则检察院。
个人在正常情况下可能难以晓得自己信息有没有被删除,除非出现大规模数据泄漏风波。熊定中强调,这些数据倘若没删掉,任何的处理行为都在进一步激化侵犯,而且假如一旦泄漏,那就是重大的数据安全车祸。
程啸则指出,个人信息处理者负有“证明自己履行了删掉义务的证明责任”。如果今后发觉其并未删掉,无论是否泄密或则是否借助,都构成非法处理个人信息,应当承当法律责任,如《个人信息保护法》第六十六条规定的处罚。
《个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,将被勒令改正,给予警告,没收违规所得,对违规处理个人信息的应用程序,责令暂停或则中止提供服务;拒不改正的,并处100万元以下罚金;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚金。
情节严重的,将被没收违规所得,并处5000万元以下或则上一年度营业额5%以下罚金,并可以勒令暂停相关业务或则歇业整治、直至吊销相关业务许可或则吊销营业执照。对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚金。
