甄贞：要防控住疫情也要防护好个人信息

今年以来，面对新冠肺炎疫情防控的严峻形势，依法加强公民个人信息收集，快速、准确掌握确诊病例、疑似病例、密切接触者等重点人群活动轨迹，成为推进流行病学调查、支持疫情联防联控工作的重要举措，在打赢疫情防控人民战争、总体战、阻击战中发挥了关键作用。同时，为保护公民个人信息安全，国家有关部门出台多项措施，规范信息收集、保管与使用，防范信息泄露，如中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》、民政部等四部门联合印发《新冠肺炎疫情社区防控信息化建设和应用指引》等。但是，在新冠肺炎疫情防控期间，公民个人信息收集不规范、保护不到位等问题依然较为突出：

一是超出疫情防控需求，过度收集公民个人信息，违反最小必要原则，突出表现为APP软件提取个人通讯录、地理位置等信息，社区、商场、办公楼宇等特定场所出入登记本记载所有出入人员的身份证号码、家庭住址、工作单位等信息，而此举并非追踪重点人群活动轨迹、实现疫情联防联控等工作所必需。二是信息收集方式简单粗放，收集渠道杂乱不一，且疏于监管，为不法分子获取个人信息留下可乘之机，例如遍布各大场所的纸质登记本记载着所有出入人员的个人信息，后续登记者可自由浏览其他出入人员信息，现场负责人员基本上不会予以监督，有的登记本甚至无人看管，登记者可随意拍照留存。三是缺少公民个人信息的清理处置措施，埋下信息外流的持久性风险。伴随疫情防控形势变化，为支持疫情防控所收集的公民个人信息，是否全部有必要长期保存、能否予以定期销毁等尚无明文规定，也未进行相应的分析研判，造成个人信息的储存量持续膨胀，泄露风险不断加剧。四是针对违规披露或者故意泄露公民个人信息的行为，问责追责机制执行不到位，违法成本过低。围绕侵犯公民个人信息所设置的行政处分、行政处罚、刑事责任等分级式处罚措施相对健全，但因侵犯公民个人信息而受到追责的主体少、处罚轻，警示作用有限，威慑力度不够，难以有效遏制违法行为。

针对新冠肺炎疫情防控期间公民个人信息收集与保护存在的问题，我认为，首先应明确线上线下为防控疫情收集公民个人信息的范围，严格挂钩疫情防控目的，凡非疫情防控所必需的信息，任何单位和个人一律不得收集，并根据重点人群与普通人群的防控特点，向社会公开发布个人信息收集名录；其次，优化配置公民个人信息收集方式和渠道，为防控疫情收集个人信息的单位应当事先向公安机关报备，内容涵盖单位名称、收集方式、收集范围、责任人员等，收集信息时可以登记表替代登记本，人手一份，互不干扰，同时限制收集单位的知悉人员范围，加强过程管控；第三，建立公民个人信息定期清理机制，参照档案保存的管理模式，明确疫情防控期间收集的不同类别个人信息的保管期限，对于期限届满的个人信息，由相关负责人员及时运用删除数据库、销毁纸质文档等方式予以清除，降低信息保管成本和泄露风险；第四，加大执法监督力度，严厉惩治侵犯公民个人信息违法行为，执法部门通过官方网站、公众号等多元化载体公开举报方式，进一步畅通违法行为线索收集渠道，对于查实的违法行为依法全面从严从重处理，并定期发布涉疫情类侵犯公民个人信息行为典型案事例，弘扬正确的舆论导向。

（作者系全国政协常委，国务院参事）