针对日前有网友建议的“授权单位机构查询个人健康码和行程码状态”,四川省大数据中心答复称,在不能充分确保数据安全的状态下,不宜将数据对各单位机构进行授权使用。
四川省大数据中心的答复合法合理。一方面明确指出,健康码作为当前疫情防控的重要工具,数据来源包括了身份证、电话号码等隐私敏感信息,说明将隐私敏感信息授权给单位机构查询不合理。另一方面,又列举了《数据安全法》《个人信息保护法》等法律法规,重申“健康码仅用于疫情防控”的原则,以“不能充分确保数据安全”为由拒绝授权。
这一则看似简单的回复,让广大民众松了口气——终于有一个权威官方机构,对健康码的技术性滥用和个人信息索取扩大化作出明确拒绝。
但这并不意味着对健康码的滥用得到了遏制,恰恰相反,这一则新闻正是在提醒着,现实生活中,对健康码及相关个人信息的滥用和过度收集是如此的普遍。
实际上,比四川省大数据中心“拒绝授权”更值得关注的,是提问者所阐述的滥用健康码及收集个人信息的情况,与其要求授权的背后逻辑。
提问者在人民网领导留言板反映的情况是,根据防疫要求,学校机构、企业单位等每天需要收集个人健康码和行程码,在这过程中,收集者和使用者面临每天上传或发送数次的操作,很不方便。更有甚者,提问者提及,收集的信息不仅包括健康码截图,甚至还要“在图片上备注姓名电话甚至身份证号等信息”。这就意味着,四川省大数据中心因健康码含有敏感信息而拒绝向学校和企业授权,但包括姓名、电话、身份证号码在内的敏感信息却被变相强制要求标注在没有加密、不知如何保存或被传到谁手上的健康码截图上。这样的标注对疫情防控起不到任何作用,却是对个人信息安全的严重侵害。
更令人担忧的是,这种涉嫌违法违规的情况很可能普遍存在,而且频次高到提问者想要求健康码授权来“提升工作效率,减少人工负担”的地步。提问者也许只是出于个人工作便利的角度提出授权要求,但背后的逻辑却很危险。如果由于过度防疫和违规收集个人信息带来了超负荷的工作量,而因此要求进一步对敏感信息授权以减轻自己的工作,这就意味着,一个错误的行为导致的恶果,用另一种错误的方式扩大化,最终造成更大的恶果。目前,后一种错误的方式已经因四川省大数据中心的“拒绝授权”而暂时没有发生,但过度防疫和违规收集个人信息的根源还在。
“防疫要求”不是“尚方宝剑”。必须追问的是,一些完全于防疫无益却严重侵害个人信息安全的滥用健康码和过度收集个人信息行为,是依据什么防疫规定,为了什么目的,如果是学校或用人单位的自选动作,为什么这么明显的过度防疫和违规行为没有被叫停?
6月24日,国家卫健委疾控局副局长雷正龙表示,国务院联防联控机制明确了健康码的使用管理,运行保障和信息安全等各项规定,要求各地根据不同疫情风险等级对相关人员进行精准赋码,不得“一刀切”“码上加码”,不得擅自扩大应用范围,绝不允许因疫情防控之外的因素对群众进行健康码赋码变码。精准赋码也许针对的是河南随意赋红码事件,但运行保障和信息安全等各项规定应当包含了常态化防疫中的个人信息保护等问题。健康码及相关个人信息在什么情况下可以通过什么方式收集,如何储存、如何保密、如何销毁,必须有严格的规定与细致的执行方案。
疫情防控已进入第三年,如何防止健康码滥用损害公民基本权利,是常态化防疫中的重要问题。健康码本质上是为了疫情防控的公共利益,公民对隐私权的部分让渡,但这样的让渡必须合法、合理,有意义更要有节制。健康码不得随意授权,更不得随意索取收集,不仅不能运用于任何防疫之外的用途,也不能以防疫之名行滥用权力之实。