全国政协委员、北京国际城市发展研究院院长连玉明。 受访者供图
现在出入商超、写字楼、车站等公共场所,扫码填写个人信息成为常态。如何保管这些因防疫需要收集的个人信息?疫情过后又该怎样“善后”?
这是今年两会,全国政协委员、北京国际城市发展研究院院长连玉明关注的话题之一。在他看来,突发重大公共卫生事件的全球性防控,要求各国必须加强数据公开和信息共享,但“信息越公开透明,越要强化个人信息权保护。”
南都记者注意到,近几年来连玉明持续关注数据安全立法,他曾于2017年提出数权的概念,并先后主编《数权法1.0:数权的理论基础》和《数权法2.0:数权的制度建构》等著作。
围绕数据安全立法、疫情防控时期个人信息保护等话题,南都记者对连玉明进行了专访。
数据安全和个人信息保护立法进程需再加快
南都:去年两会期间,你提交了一份《关于加快<数据安全法>立法进程的提案》,这个提案由哪个部门办理?办理的结果如何?
连玉明:去年提交的这个提案由全国人大常委会法工委办理。应该说,全国人大常委会高度重视数据安全立法工作,将数据安全法列为全国人大常委会立法规划第一类项目,并列入了2019年立法工作计划拟初次审议项目。
2019年11月26日,我应邀参加全国人大常委会法工委举办的2020年立法计划座谈会。座谈会上,我就加快《数据安全法》立法进程,特别是在数据安全法立法过程中强化数权、数权制度、数权法理论研究和数权立法体系研究,加快立法协商力度,牢牢把握国家数据主权,抢占大数据规则制定权和国际话语权等,发表了自己的意见。全国人大常委会法工委领导对我说:“你提出的提案,很快会有结果。”
南都:随着新冠肺炎疫情的蔓延,数据安全再次成为全球关注的热点。在这样的背景下,你对我国数据安全立法有何建议?
连玉明:如果用一句话概括,那就是《数据安全法》的立法进程要加快再加快。突发重大公共卫生事件的全球性防控,要求各国必须加强数据公开和信息共享,同时也应加快数据保护。对我国来说,牢牢把握国家数据主权就变得尤为重要,数据安全成为全球化“升级”背景下最为紧迫的核心问题。
各类机构信息收集 要在“个保法”中加以规范
南都:在疫情期间,相关部门泄露个人信息事件也有发生。事实上,这个问题近年来时有发生。今年“两会”上你有相关的提案吗?
连玉明:你提出的问题也是我关注的。今年“两会”上,我提交了《关于加强重大传染病疫情突发公共卫生事件应急处置中个人信息权保护的提案》。我在提案中强调,这次新冠肺炎疫情进一步凸现,加强个人信息权保护和数据安全问题刻不容缓。
理性看待这次疫情,国家在发挥制度优势积极防控并取得重大战略成果的同时,不断扩大公众知情权,加大政府信息公开力度,取得了非常好的效果。但也必须认识到,由于信息权保护缺失也导致出现一些信息泄露,主要表现为:
一是缺乏根据应用场景对个人信息的分类分级保护,导致个人信息无序传播。二是掌握个人信息的主体多元,对这些机构主体在信息收集、使用、处理和保护方面缺乏规范和监管,个人信息泄露渠道不可控。三是缺乏收集、使用和处理个人信息的合法性基础,无法保证个人信息有效使用的合法性事由,导致了类似“人肉搜索”等隐私泄露问题。四是个人信息泄露直接影响公众对公共机构的信任,对疫情防控带来负面影响。
南都:疫情期间为防控需要,收集和使用个人信息的主体是多元的,如街道、社区、物业,甚至药店、餐馆等,在个人信息保护能力上差异很大,你认为采取哪些举措才能既有利于防控,又可以有效保护个人信息呢?
连玉明:我在提案中建议首先还是要加强立法保护。尤其是《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护条款。
在突发卫生公共事件应急处置中,姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱信息、定位数据、在线活动、行踪信息等,应“升格”为个人信息权予以法律保护。对行政机关、公共机构的信息收集、使用和处理也要在《个人信息保护法》中加以规范。
南都:为疫情防控,众多主体收集的个人信息在疫情控制后应该如何“善后”?如果处理不当,会带来哪些风险?
连玉明:做好个人信息的“善后”处理是疫情防控的“必修课”。我的建议是加快编制发布重大传染病疫情突发公共卫生事件应急处理中个人信息保护管理指引。借鉴世界卫生组织发布的《传染病爆发中伦理问题的管理指南》,明确具有收集与使用相关个人信息权力的指挥机构、执行机构,并明确相关工作启动条件和流程规范。
我建议统一集中管理机制、运用脱敏技术、去标识化、加密等措施对数据进行预处理,基于大数据关联分析结果不触达相关人员。对公共卫生监测、临床研究、个例患者遭遇以及传染病爆发期间生物样本数据的快速共享建立严密访问机制。如果处理不当,造成数据泄露、丢失及未授权使用,很可能使个人面临风险,包括污名化、歧视、暴力等。需要强调,对疫情期间收集和使用的基因数据、生物数据和健康数据必须作出特别保护。
个人信息保护可以通过公益诉讼来实现
南都:在去年全国政协二次会议讨论“两高”报告时,你提出探索拓展公益诉讼,把个人信息保护纳入公益诉讼保护范围的建议,这有得到回应吗?
连玉明:这个建议很快得到最高人民检察院主要领导高度重视,并专门就此建议进行了研究落实。从最高检回复的精神看,危害安全生产、大数据时代个人信息泄露、互联网侵权公益等问题,因为没有特定的相对人而无法起诉,导致对国家和社会公共利益的维权缺位。
面对法定领域外的公益受损问题,民事诉讼法、行政诉讼法确定的检察机关提起公益诉讼的案件范围,都有一个“等”字。这些领域都可以作为检察公益诉讼探索拓展案件范围的方向。最高检的这些意见说明,个人信息保护可以通过公益诉讼来实现,这为个人信息权保护提供了法律保障。
南都:我们关注到,《民法典》(草案)中提到“隐私权和个人信息保护”,而你在提案中提出“个人信息权”保护,请问“个人信息”和“个人信息权”有何差异?
连玉明:个人信息还是个人信息权是《民法典》制定中颇具争议的一个问题。个人信息重在强调利益,个人信息权重在强调权利。从利益升格为权利,至少应满足三个条件:一是利益具有正当性和合法性;二是这种权利被现有法律体系所容纳;三是利益—权利的成本效益分析。
如果从这个意义上讲,《民法典》(草案)使用“个人信息”也有一定现实道理。但我个人主张,个人信息保护本质上是权利保护,在法律上使用个人信息权更为规范和准确,也更加彰显个人信息保护的人格权属性。
制定《数权法》,掌握数据主权的主动权
南都:在你提交的提案中提出加快推动《数权法》立法,可以谈谈你的建议吗?
连玉明:“数权法”一词是我在2017年3月首次提出的。数权法是调整数据权属、数据权利、数据利用和数据保护的法律规范。数据权、共享权、数据主权形成数权的核心权益,这也是中国大数据乃至全球大数据研究在法理上的新突破。数权是相对独立于物权的一项新的权利。
数权法既是未来法治的探索和创新,也是对传统民法的丰富和深化。加快《数权法》立法并作为上位法,对完善《网络安全法》《数据安全法》《个人信息保护法》等数权法律体系并付诸实施具有先进性、科学性和指导性。
南都:在你看来,推动数权法立法的重要性是什么?
连玉明:我在提案中建议,以加快推动数权法立法为突破口,抢占大数据国际话语权和规则制定权,牢牢把握和维护国家数据主权,同时加强数据开放共享、数据安全和个人信息权保护,把数权制度优势转化为数据治理优势,全面提升数据治理现代化水平。
必须强调的是,越来越多的国家已经在数据主权方面展开立法实践,也面临着包括数据霸权主义、数据保护主义、数据资本主义和数据恐怖主义在内的新挑战和新威胁。加快制定《数权法》,要牢牢把握数据主权的主动权,维护国家数据安全和国际数据秩序,为加强国际数据治理政策储备和治理规则研究提出中国方案。
南都记者 李玲 蒋琳 发自北京