當(dāng)前,人工智能、區(qū)塊鏈和大數(shù)據(jù)技術(shù)等智慧科技在疫情防控中發(fā)揮了積極作用,但同時,收集個人信息也涉及個人隱私問題,需要引起足夠的關(guān)注。
人工智能在疾病預(yù)測方面,可以輔助醫(yī)生診斷病情和治療病人,承擔(dān)檢測疾病,預(yù)測病人風(fēng)險,選擇藥物,甚至進(jìn)行實(shí)際治療工作。例如,某數(shù)科公司有一款疫情機(jī)器人,可以與疑似病患互動而判斷患者是否需要隔離治療。有機(jī)構(gòu)精準(zhǔn)醫(yī)學(xué)研究院研發(fā)的“新型冠狀病毒肺炎自測評估系統(tǒng)”也具有診斷功能,只要患者輸入信息,系統(tǒng)就會作出患病風(fēng)險層級評估并給出就醫(yī)指導(dǎo)。還有互聯(lián)網(wǎng)公司通過紅外設(shè)備和人臉識別系統(tǒng)開發(fā)出檢測體溫機(jī)器人,可以在公眾場合精準(zhǔn)地確定體溫異常的行人;有的科技公司開發(fā)的疫情機(jī)器人可以提供新型冠狀病毒基礎(chǔ)信息解讀、預(yù)防措施、癥狀及就醫(yī)指導(dǎo)、實(shí)時疫情信息、發(fā)熱門診、定點(diǎn)醫(yī)院等信息查詢引導(dǎo),普通民眾通過手機(jī)下載后使用,方便檢測自己的身體狀況。如果廣泛推廣這些自動檢測系統(tǒng),可以讓普通人及時得到自救,緩解醫(yī)院的檢測壓力,防止交叉感染和疫情擴(kuò)散。
區(qū)塊鏈與信息管理方面,有高校開發(fā)的“區(qū)塊鏈疫情采集監(jiān)測系統(tǒng)”可以分布式在線采集全校學(xué)生和教職工健康狀態(tài)數(shù)據(jù)、外出情況和疫情防控信息,實(shí)現(xiàn)實(shí)時在線監(jiān)測防控的目標(biāo)。有保險理賠平臺使用區(qū)塊鏈管理與病毒相關(guān)的索賠,取消了面對面交涉和紙質(zhì)文件,防止傳染發(fā)生,將患者、醫(yī)院和保險公司鏈接起來,可以優(yōu)化賠付流程,更快地處理理賠并付款。
大數(shù)據(jù)在疫情和病情預(yù)測方面也發(fā)揮了重要作用,可以實(shí)現(xiàn)疫情信息的獲取、匯聚、整理、分析和挖掘。鐵路公司運(yùn)用實(shí)名制售票大數(shù)據(jù)資源,統(tǒng)計(jì)全國以及各省的乘客去向。通信公司利用網(wǎng)絡(luò)大數(shù)據(jù),分析在一定時段內(nèi)自特定地區(qū)進(jìn)入各省市的人口分布情況。這些大數(shù)據(jù)提供給疫情防控部門,幫助其精準(zhǔn)研判疫情并發(fā)布相關(guān)信息,讓百姓關(guān)注疫情,提高自我防護(hù)能力,同時避免聽信謠言,引發(fā)社會恐慌。此外,還有許多企業(yè)和個人利用地圖、交通、移動通信、電商消費(fèi)數(shù)據(jù)等大數(shù)據(jù)資料建立病毒感染風(fēng)險預(yù)測模型,通過輸入被檢測人的個人信息,預(yù)測其是否到過疫源地、是否與疫源地人員接觸、是否與已感染病例接觸,進(jìn)而實(shí)現(xiàn)預(yù)警。例如,目前出現(xiàn)的“確診患者相同行程查詢工具”,任何人只要向其輸入乘坐的交通工具、時間和地區(qū),即可查詢到自己是否曾和確診者同行。
智慧科技設(shè)備(以下簡稱“設(shè)備”)收集個人信息一直就是“公開的秘密”,設(shè)備的使用過程也是個人信息不斷被收集的過程。這次疫情防控掀起了收集個人信息的一次新的“高潮”。上文列舉的疾病監(jiān)測軟件、區(qū)塊鏈信息管理軟件和病毒感染風(fēng)險測試軟件等,都在源源不斷地收集用戶的人臉圖像、姓名、年齡、身份證號碼、電話號碼、家庭住址,以及是否確診、疑似或者密切接觸等信息。
需要說明的是,個人信息收集存在兩種情況。一是通過去標(biāo)識化處理后匯聚成集合性信息,提供給政府和疾控等部門,以作為疫情發(fā)展判斷和部署的依據(jù),這是值得大力提倡的合法行為。二是設(shè)備以幫助用戶預(yù)測病情或者感染危險等為名,獲得用戶的個人信息,當(dāng)這些個人信息中還包含敏感信息時,就存在收集合法性問題。
無疑,設(shè)備實(shí)際上充當(dāng)了一個信息收集者的角色,這種收集也可以稱之為被動收集。在重大疫情背景下,用戶也必然不再像平日那么謹(jǐn)慎,按照軟件提示輸入自己的癥狀和乘坐的車次和航班號等信息,其個人信息包括敏感信息沉淀在設(shè)備之中,或者被設(shè)備所“抓取”。
那么,設(shè)備所有人有沒有收集個人信息的資格呢?按照《信息安全技術(shù)個人信息安全規(guī)范》的規(guī)定,個人信息收集的方式有兩個:一是征得用戶明示同意,二是出現(xiàn)公共衛(wèi)生等重大事件時,行政機(jī)關(guān)、疾病預(yù)防控制機(jī)構(gòu)無需征得個人信息主體的同意即可收集其相關(guān)信息。除此之外,其他任何單位和個人不得以疫情防控、疾病防治為由收集個人信息。
設(shè)備對個人信息的收集確實(shí)存在不符合法律法規(guī)之處。其一,實(shí)踐中大多的設(shè)備并不會明確向用戶提示其信息將會存儲在設(shè)備之中,即使有這樣的提示也不具體,無法引起用戶的足夠注意。實(shí)踐中不排除存在名為“自愿同意”,實(shí)為“強(qiáng)制”收集信息的情形發(fā)生。有的用戶使用設(shè)備的真實(shí)意思只是想進(jìn)行某種測試,并沒有授權(quán)設(shè)備采集自己信息的意思。其二,設(shè)備所有人不是醫(yī)院,設(shè)備并非醫(yī)務(wù)人員,也并沒有得到衛(wèi)生部門的授權(quán),不屬于法定的個人信息收集人。
根據(jù)《網(wǎng)絡(luò)安全法》第41條的規(guī)定,網(wǎng)絡(luò)運(yùn)營者收集使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集使用信息的目的、方式和范圍,并經(jīng)被收集者同意。
第一,設(shè)備收集信息應(yīng)該建立在用戶知情同意的基礎(chǔ)之上。所謂知情,是指設(shè)備或者設(shè)備所有人應(yīng)當(dāng)告知用戶其個人信息會被設(shè)備收集,并告知收集信息的使用目的和使用范圍,不應(yīng)以欺詐、誘騙、誤導(dǎo)的方式收集個人信息。所謂同意在這里應(yīng)該做嚴(yán)格解釋,可以參照歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的規(guī)定,數(shù)據(jù)主體的“同意”指的是數(shù)據(jù)主體通過一個聲明,或者通過某項(xiàng)清晰的確信行動,自由作出的、充分知悉的、不含混的、表明同意對其個人數(shù)據(jù)進(jìn)行收集的意愿。
第二,設(shè)備收集個人信息應(yīng)該符合內(nèi)容最小化原則,即只能收集必要的信息,而不能收集額外的信息。例如,與疾病檢測相關(guān)的體溫和不適狀況、行蹤和交通工具信息等,而個人基本信息如個人姓名、身份證號、電話號碼等不屬于被收集信息,更不能收集個人生物識別信息和職業(yè)信息等。
第三,設(shè)備所有人對個人信息負(fù)有保密義務(wù),要采取嚴(yán)格管理措施,如進(jìn)行加密或去標(biāo)識化處理,同時加強(qiáng)網(wǎng)絡(luò)安全工作,防止個人信息被盜取或者泄露,切實(shí)保護(hù)用戶的隱私。
第四,用戶使用設(shè)備的目的完成后,設(shè)備所有人應(yīng)該盡快將收集到的個人信息刪除或者做匿名化處理,如果要進(jìn)行二次使用,則需要到工信部門進(jìn)行備案。
已有0人發(fā)表了評論