本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师,题图来自:视觉中国
近日,通信行程卡公众号发布公告称12月13日0时起,正式下线“通信行程卡”服务。虽然服务下线,但公众对健康码引发的个人信息保护问题的讨论却方兴未艾,今天就结合《个人信息保护法》和大家聊聊健康码涉及的个人信息保护和通信行程卡数据合规问题。
一、疫情管控政策调整后,健康码涉及的个人信息应如何处理?
在国内的防疫管控政策调整后,通信行程卡是第一个下线服务的健康码类服务。三年防疫,各类健康码收集了非常多的公众个人信息,笔者认为,这些健康码对个人信息的收集、使用、存储等环节应遵守的主要原则有三个:合理目的、单一用途、安全存储。
1、合理目的。 一般情况下,数据处理者收集、使用个人信息应当取得个人同意,而健康码类服务则比较特殊,根据《个人信息保护法》规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,不需取得个人同意。但正因为法律授权主要为了应对紧急情况,健康码类服务处理个人信息更应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
2、单一用途。 根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》的规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。所以如果要变更健康码使用目的的,对其已经收集存储的个人信息,应当再次征得的用户同意的方式进行处理或者具备其他合法性基础 (比如政府为履行法定职责或者法定义务所必需) ,再继续保留以用作新目的。
3、安全存储。 健康码类服务收集的个人信息、可能包含生物识别信息、健康数据、行程数据等个人敏感信息,所以收集或掌握个人信息的机构应当对这些个人信息采取严格的管理和技术防护措施,比如对个人敏感信息应当加密传输和存储,防止被窃取、被泄露。相关的个人信息,在疫情防控目的解除后,应当主动删除或者做匿名化处理。
二、通信行程卡数据合规上有哪些问题?
根据公众号认证信息,通信行程卡的运营者是中国信息通信研究院,对于这样一个有网页端、手机应用端、小程序端的产品,从律师的角度,至少在下列问题上其数据合规还是有一些可改进之处的:
1、小程序端和网页端无法查看《服务协议》和《隐私政策》。 目前只有通信行程卡手机应用端有《服务协议》和《隐私政策》,而多数用户使用的小程序端却无法查看。用户打开小程序就直接进入具体的信息填报页面,要求用户单独授权,同意并授权运营商查询本人在疫情期间7天内到访地信息。
这个有什么问题?理论上,要求用户授权时应当告知其权利义务,《服务协议》和《隐私政策》就是让用户了解其权利义务以及服务商对数据的收集、使用、存储方式。举个例子,通信行程码会收集用户手机的蓝牙接触信息 (包括接触时间和信号强度) ,当用户被诊断为新冠肺炎确诊/疑似患者后,通信行程码会将蓝牙接触的加密ID和蓝牙接触信息上传至防疫部门。这个在《服务协议》和《隐私政策》里都有规定,但小程序使用者是看不到的。
2、《服务协议》和《隐私政策》部分规定不一致。 比如,服务协议显示,通信行程码会呈现14天内的到访地信息。而隐私协议及服务页面显示的是7天内的到访地信息。又如前文提及的蓝牙接触信息,《隐私政策》规定收集的信息将会在给定期限 (目前设置为7天) 后自动删除,而《服务协议》里有类似收集的规定,但没有删除期限的条款。到底是不是7天后删除,让人有点疑惑。
3、其他问题。 其他还有些小问题,比如通信行程码没有告知用户个人行程相关信息的存储期限;对于收集的手机信息保存期限和存储地点没有约定、对于储存的个人信息相应的技术安全措施也没有告知用户相应的安全措施;服务协议文本不够严谨,显示海淀区人民法院诉讼解决,但文字上用的是仲裁解决;本次的服务下线公告没有说明如何处理收集的信息 (目前有报道称中国信息通信研究院将全部删除收集的信息) 。
最后,随着防疫政策的调整,包括通信行程码在内的各种健康码服务都将陆续减少使用或不再使用,如果服务不再提供,那以防疫为目的收集的各种个人信息就应当删除或脱敏,也就是去除可以识别身份的手机号、姓名、头像照片、手机ID等信息,使相关的信息不能被关联到个人。
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师。电话:8621-52134900,Email: yytbest@gmail.com,汪婷,上海大邦律师事务所顾问。本文仅代表作者观点。