疫情防控期间,公共场所对个人信息登记,这能有效追踪疫情动态、精准防控。律师表示,疫情期间收集个人信息符合相关法律规定,关键问题在于收集之后的存储及使用环节,比如是否妥善保管,是否违法转让等,这也是个人信息保护的关键。
4月19日,山东胶州公安发布,疫情期间因泄露6000余人个人身份信息名单,3人被依法行政拘留。该通报引发社会关注,微博平台上,这一话题阅读量超过2.4亿。
疫情防控期间,出入社区、车站、道路设置卡口以及饭店、商超等公共场所,扫码登记、填写个人信息表已经成为常态,在有效追踪疫情动态、精准防控的同时也带来了个人信息安全问题的担忧。疫情期间登记的个人信息安全么?疫情结束后这些信息如何处理?个人信息安全如何得以保护?记者对此进行了采访调查。
反复登记的个人信息谁来保管
日前,在深圳工作的东先生因疫情防控需要,除了在省、市、区、街道四级行政单位和深圳市公安局的网络页面中填报个人信息外,其房东还登门将东先生的姓名、身份证号、联系电话等信息写在了纸质的笔记本上。对此,他有些担心:“我上报的个人信息是否有遭受泄露的风险?”
同样有此担心的还有江西南昌的媛媛。在去医院看牙时,护士要求自己填写姓名、身份证,家庭住址和联系电话等信息。当配合填完表格时,媛媛发现出入信息的登记单就摆在门口,来往的人都可以随意查看。
记者走访发现,除了扫码进行网上登记,出入小区以及公共场所还需手动填写纸质登记表,而这些登记表如何保管则没有统一的规定。
在北京新街口一家理发店,记者发现门口的小桌上摆放着记录客人姓名、电话和体温记录的登记表。店长表示,会有政府主管部门的工作人员不定时来检查登记情况,目前登记表由店里整理成册统一保管,并未接到上交何处的通知。
北京前门街道大江社区党委书记李文生介绍道,社区对没有出入证的返京人员、来访人员进行信息登记,表格内容也随着疫情防控不断进行调整。他表示,这些信息表作为原始资料由社区工作人员进行专门的保管、留存,以便于排查。
“社区内部反复强调,信息登记只用于疫情防控,我们本身就掌握辖区内居民的基本信息情况,因此对居民的个人信息很重视。”李文生说,至于疫情之后信息表如何处理,是否统一上交,他表示还未接到相关通知。
北京志霖律师事务所律师赵占领认为,依据网络安全法、传染病防治法、突发公共卫生事件应急条例相关规定,疫情期间无论是手动填写还是通过健康码收集个人信息,都符合正当、合法、必要原则。
“收集环节没有问题,问题主要是在收集之后的存储及使用环节,比如是否妥善保管,是否违法转让等,这也是个人信息保护的关键。”赵占领说。
疫情期有人冒充医保局人员诈骗
赵占领分析,众多场所和软件都在收集个人信息,可能会由于人员保管不善、服务器安全漏洞以及收集主体非法转让、提供给第三方用来牟利等,带来个人信息泄露的风险。
在疫情暴发初期,不少武汉返乡人员、密切接触者的个人信息遭到泄露,其中包括姓名、身份证、手机号、住址甚至就读学校等信息。一位网友表示,因为春节回家路过武汉,在家隔离期间发现自己的姓名、身份证号、家庭住址、手机号等信息都被发在微信群里。
记者了解到,不少市民表示,近段时间接到谎称医保局、电信管理局的诈骗电话,对方能准确说出自己的姓名。
东先生告诉记者,几乎是“游戏绝缘体”的他在疫情期间就接到一家游戏公司的电话,客服邀请他注册玩游戏。但东先生对于对方如何获得自己的联系方式则是一头雾水。
信息泄露不仅使个人信息在网络上“裸奔”,也助推了犯罪。记者在多个QQ群中搜索发现贩卖个人信息的交易。在名为“运营大数据联通数据大数据……”的群公告里写着:精准获取客户电话+姓氏+年龄+地区等数据,百分百真实,适用于医疗、教育培训、房产、金融等多行业。有群里卖家发布消息称,可采集全国任意地区,各行各业的客户信息,可获取指定APP、网站等精准数据。
对信息收集后如何处理应有明确规定
今年2月,江苏警方告破首起利用疫情非法获取公民个人信息的案件。犯罪嫌疑人薛某某通过制作防护口罩预约服务的虚假网站,非法获取公民个人信息。其实,薛某某经营一家培训中心,想要借此机会骗取个人信息将自己的广告发出去,他本人并没有任何口罩可供领取。
4月,因造成山东省胶州中心医院出入人员名单在社会上被转发传播,3人被依法行政拘留,名单涉及6000余人的姓名、住址、联系方式、身份证号码等个人信息。
据公安部4月15发布的统计数据,新冠肺炎疫情发生以来,全国公安机关对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。
据了解,我国已有针对个人信息保护的相关规定,涉及网络安全法、刑法中有关侵犯公民个人信息的规定等。2月4日,中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,对疫情期间个人信息的收集做了严格规定。
不过,对于采集来的信息如何保存、处理等问题却没有明确的规定和标准。中国政法大学传播法研究中心副主任朱巍认为,个人信息收集主体应符合合法、正当、必要性原则,疫情结束以后如不存在必要性,应当将数据进行销毁。
同时,朱巍指出,针对此次抗疫中出现的关于信息保护的问题,现有法律并不能完全适用,目前我国对个人信息保护的规定更多集中在网络范畴。
“尤其在大规模公共卫生事件发生时,线下收集问题更加凸显。”朱巍说,“收集者责任和收集范围、用户对自己信息的控制删除权利、信息收集后的监管问题、收集之后如何保管和销毁等,都应制定统一的标准和明确的规定。”
个人信息保护法已经列入全国人大常委会2020立法工作计划,在朱巍看来,这或将弥补线下信息收集问题的空白。“应该把保护个人信息作为打击网络犯罪的一个重要抓手,个人信息保护好了,诈骗相关的犯罪也会相应减少。此外,提供公民意识,全民普法也十分重要。”朱巍说。