疫情防控相关App收集使用个人信息合法合规问题思考

作者：Janus移动安全威胁数据平台（www.appscan.io）

背景

突发的新冠肺炎中断了有序开展的App违法违规收集使用个人信息检查。考虑到新冠肺炎这一公共卫生事件，在个人信息保护与信息流转产生冲突时，无论监管机构还是信息主体都选择向信息流转进行让步。机构方面目前，包括欧盟数据保护委员会（EDPB）、美国、英国等在内的数据保护机构都为疫情期间如何收集和使用个人数据发布了相关的指导意见和声明。个人主体方面，笔者自己在疫情期间，前后5次被要求提交个人信息，分别是物业以问卷调查的形式要求居民提交信息，2次问卷分别是通过``问卷星''、``金数据''第三方平台实现。公司对员工开展的2次问卷调查和要求对``随申码''的授权，信息的提交是通过 ``钉钉''完成。另外，笔者自己还通过微信小程序``随身办''提交了人脸信息以获取``随申码''。这些过程中提交的信息包括身份信息、生物信息等，如身份证、人脸、行程等。在监管向数据流转开绿灯的同时，行业专家也表示对数据流转所带来安全问题的担忧，如今天上午北京网络安全大会主题演讲嘉宾、以色列交通部网络安全主管 Oren Elimelech就提出了防疫和数据安全之间的矛盾。

国内，在抗击新冠肺炎疫情形势趋好的情况下，网信天津未雨绸缪，发布了《天津市委网信办关于开展疫情防控相关App违法违规收集使用个人信息专项治理的通告》（简称通告）启动对疫情防控相关App违法违规收集使用个人信息专项治理。通告的具体工作有《天津市疫情防控App专项治理情况通报》（简称通报）等。通告从9个点对违法违规收集使用个人信息行为进行认定，并给出保障信息流转安全的工作安排。

通过对通报内容的梳理发现，这次检查的重点为知情同意和撤销同意两个方面。在知情同意方面，主要检查是否有隐私政策、是否告知使用目的等。撤销同意方面，主要检查是否提供删除或更正个人信息功能、是否未公布投诉、举报方式等。

思考1：疫情防控环境下的知情同意

疫情防控相关App是一类特殊App，其目的是为了支撑疫情监测、信息报送、宣传教育、环境整治、困难帮扶等任务。是在保障公共卫生安全场景下使用的App。通报显示，在执行通告时，大部分工作集中在知情同意方面。个人认为，这方面的检查意义并不是很大，理由如下：

(i)《中华人民共和国网络安全法》（简称安全法）是原则、宣示层面上法律框架，采用了以知情同意为核心的保护框架。《信息安全技术个人信息安全规范》（简称规范）做为指导文件对安全法的知情同意进行了修正，列举出了无需征得信息主体授权同意的例外。对疫情防控相关App适用的认定方法应该与通常的认定方法有所不同，具体的认定方法应该采用规范中所定义的例外情况。

这些例外的存在，使得疫情App为公共卫生安全而进行数据流转时，即使未执行知情同意也是合规的。

(ii) 规范强调一般场景下的知情同意，而在疫情防控期间，如果刻板地要求知情同意，反而给信息主体太多的``自由''，进而危害公共安全。

(iii) 由于权力失衡（不给信息不让进入小区、办公场地等），知情同意在防疫场景下也无法得到实施，在这种情形下，知情同意对应的隐私政策、增强式告知等反而成为一种摆设，甚至对用户造成一定的干扰。

(iv) 从实际使用来看，疫情防控相关App是一种针对特殊群体、有限范围使用的App，数据控制者已经事先通过社交软件、口头、电子邮件等方式告知了数据使用规则，而用户应该使用``授权同意''或者``明示同意''的方式同意了信息采集。

综上，笔者认为疫情防控相关App检查的重点不应该是知情同意，亦是否有隐私政策、是否告知使用目的不应该成为此类App的认定标准。

思考2：疫情防控环境下的信息流转

疫情防控相关App的信息流动只要为维护公共卫生安全服务，那在个人信息收集（规范5.6-C），个人信息主体权利（规范8.7-E-3），共享、转让、公开披露（规范9.5-C）方面，均属于规范定义的例外，可以不遵守规范所定义选择同意、主体参与基本原则。在知情同意失效的情况下，笔者认为应该从以下两个方面对疫情防控相关App进行监管：

(i) 重点监管个人信息收集，个人信息主体权利，共享、转让、公开披露是否为疫情防控目的服务。

(ii) 规范除个人信息收集，个人信息主体权利，共享、转让、公开披露外，均未设置例外情况，因此可以从除此之外的几个点对疫情防控相关App进行监管，如信息安全管理等，这也解决了公众对这些信息流动过程中产生安全问题的担忧。

(iii) 规范用于指导各类组织（包括机构、企业等）个人信息处理活动，是个人信息保护工作的国家推荐性标准。从法律效力上看，规范是国家推荐性标准，不属于强制性标准，规范为开展与个人信息保护相关的各类活动提供了参考，为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。规范的定位导致实际执行可以有一定的偏离，因此，可以结合现实情况对疫情防控相关App进行监管。如考虑疫情防控相关App无法对行使个人信息删除权利的信息主体做个性化响应（受规范8.7-E-3支持），监管应该结合抗疫的时机，要求信息控制者遵守最少够用的原则，在抗疫目的达成后，应及时根据约定删除个人信息。

从网信天津通告的工作过程和通报的行文看，其也认识到不应该过度强调知情同意，如通报中，网信天津审慎地将相关App描述成问题App，并要求运营者填报相关信息，从信息流转的角度保障个人信息安全。

总结

新冠肺炎的爆发对个人信息保护产生了巨大的冲击，安全法、规范等在此类突发事件下个人信息保护的相应指导是缺失的。此次事件后，希望立法者考虑完善相关的法律、法规、标准，或能及时跟进推出例外情况下的指导意见或声明，也希望执行者在法律框架下，积极思考、探索如何将法律、法规、标准向实际情况进行适配。

注：笔者不是法律、法规、政策方面的专家，本文仅代表笔者个人观点。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。