人员流动,带来经济繁荣的同时也暗藏着风险。疫情防控的重要环节之一是能够较为全面地掌握人员流动情况。追溯确诊者、疑似者、密切接触者等重点人群的行踪轨迹,是疾控中心、医疗机构、社区等不同组织的一项重要职责;在各地复产、复工、复学之际,个人也被要求提供14天内的行程证明,以预防新的传播风险。定点、定时汇报个人所在地及出行情况,成为了近阶段大多数国人必须完成的一项任务。但这其中,既有人瞒报、谎报个人行踪,也有人利用职务之便非法散布他人信息。
一般而言,个人行踪轨迹信息属于个人敏感信息中的一类。在当前这个特殊时期,行踪轨迹一旦被泄露、非法提供或滥用,就可能对个人造成远超出日常的侵害。如,被曝曾有特定区域旅居史,个人就可能遭遇歧视,甚至生活安宁也受到冲击。而相对于其他常见的个人信息,轨迹数据获取一般需要借助技术手段,且不能直接识别出特定自然人,在数据利用时通常要关联特定自然人的姓名、身份证号、手机号等信息,方可获得有价值的情报。
目前,在行政区域交界处、社区、企事业单位及其他公共场所出入口,都要求个人进行登记以掌握本区域人员的进出情况,不仅给一线防控人员增加了作业负担,信息汇总、查询、研判的有效性也不得而知,而且,还存在个人信息被泄露的风险。国家建立的网络信息基础设施其实已能掌握绝大多数人员的流动情况,但在实际运行中并未能充分发挥作用。对此,有必要结合个人行踪轨迹信息采集、识别的技术手段与特征,以最小化收集、最大化利用为目标,探讨疫情防控期间个人行踪轨迹信息合理利用的规则依据及实施策略。
一、行踪轨迹信息的获取手段
行踪轨迹是对已发生的出行行为的描述,在出行行为发生的那一刻,通过某种方式予以记录,供事后查证时调取。目前可用于记录行踪轨迹的手段主要包括以下四类:一是借助交通工具的记录。包括出具飞机、火车、客运班线等实名购置的票据,提供附有时间信息的过路过桥费收据、地铁或公交的刷卡记录、出租车发票等。另外,还可利用共享单车、网约车的手机应用以及配有GPS的车载终端标记实时路径。部分城市地铁车厢还提供了扫码服务,方便乘客留存车厢、座次等信息。二是基于手机基站定位的记录。手机已成为生活的必需品,无论手机智能与否,都可根据基站定位原理,测量不同基站的下行导频信号,结合基站坐标推断出手机的位置。虽然基于手机基站的定位精度低于基于手机GPS或Wi-Fi的定位精度,但在绝对大多数情形下能满足行踪追溯的需求。三是在关键卡口如公路收费站、社区或单位门禁处,进行线上或线下登记。如,通过刷身份证进行核验登记;在不具备身份证核验的地方,通过电子化或非电子化的填写方式录入人员的进出情况。多地目前推行的健康码,即为一种通过实名认证的线上行程记录工具。四是调用公共安全监控视频系统,查找特定人员的活动线路。
上述四类方式的数据来源不一,存在多元化的信息控制主体。对基于交通工具的行踪追溯而言,除出行者自身以外,运输服务提供方通常掌握出行者信息。但疫情期间,城际、城市公共交通无法正常运营,能够提供的行程信息较为有限。基站定位和监控视频定位获取的数据覆盖面广、真实可靠,且信息控制主体较为单一,信息安全可控,但为普通市民提供行程证明,理论上并非电信运营商及安防部门应承担的义务。在关键卡口进行信息登记、核验,对基层组织而言操作简便,能实时掌握本辖区情况,但缺乏统一汇总渠道,不利于跨区域、跨部门信息交互,存在信息泄露风险。
二、 行踪轨迹信息的关联识别
行踪轨迹信息在疫情期间主要有三种应用场景:自上而下的特定人员查找、自下而上的个人主动申报以及中间环节的信息核验登记(如图1所示)。考虑行踪轨迹信息由片段化的定位数据所组成,仅有空间坐标不足以识别特定自然人并满足特定场景的应用需求,故定位数据需要与某些公开或非公开的事实关联之后才能发挥其功效。
首先,需要与能直接识别出特定自然人的身份信息相关联。不同主体可能拥有同样的行程,要使行踪轨迹变为一种“可被识别”的个人信息,需要通过实名认证的电话号码、车票、手机应用以及卡口身份证核验等措施,把个人身份信息与出行记录相关联。
其次,需要与时间要素相关联。个体间的交集必须借助特定的时间与空间,倘若只记录空间位移的变化而不嵌入时间戳,对查找个体间联系而言是无用的。有些地方“一刀切”地实行“逢鄂必拒”政策,实质是忽视了行踪轨迹时间上的关联性。值得注意的是,不同应用场景对轨迹数据时间颗粒度的粗细有不同要求,而时间颗粒度的粗细决定了轨迹数据的收集和处理成本。例如,个人申报行程一般以“天”为计,而在查找地铁车厢同乘人员时,时间窗口往往需要以“分钟”为计。两种情形下信息量的存储和检索存在数量级的差异。
最后,还需要判断行踪轨迹与待证事实之间的关联。疫情期间的待证事实,主要为判断个体是否为确诊者、疑似者或密切接触者。倘若不存在待证事实,个体申报行踪只是提供了事后查证的线索,从降低信息处理成本上看,提供颗粒度较粗的轨迹最为经济;而一旦存在待证事实,则必须根据基层组织掌握的个人信息,结合第三方数据来源,力争在最短时间内找到对应主体。
三、行踪轨迹信息合理利用的规则依据
现行法律规范在四个方面为个人行踪轨迹信息的合理利用提供了规则依据:
第一,保证数据提供的真实性。《传染病防治法》第十二条规定,个人必须接受疾病预防控制机构和医疗机构有关传染病的预防及控制措施,并如实提供有关情况。为此,个人负有提供真实行踪轨迹的义务。但仅靠个人回忆,难免会有疏漏或偏差,需要利用其他信息控制者掌握的数据进行补正。《个人信息安全规范》(GB/T 35273)要求,信息控制者应向个人信息主体提供查询端口,使个人主体能查阅“其所持有的关于该主体的个人信息或个人信息的类型”,这也为个人主体获得信息控制者轨迹数据支持提供了依据。
第二,保证数据获取的正当性。《个人信息安全规范》规定,在“与公共安全、公共卫生、重大公共利益直接相关的”情形下,信息控制者收集、使用个人信息,无需征得个人主体的授权同意。这在一定程度上为交通、电信、安防等部门在疫情期间调用个人行踪轨迹信息提供了正当性理由。此外,《数据安全管理办法(征求意见稿)》第三十六条规定,“国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供”;《公共安全视频图像信息系统管理条例(征求意见稿)》第二十一条规定,“县级以上人民政府行政主管部门因调查、处置突发事件需要,可查阅、复制或者调取公共安全视频图像信息系统的基础信息或者采集的视频图像信息。”待上述法律法规正式通过之后,政府使用第三方采集的个人行踪轨迹信息将会有更为完善的法律基础。
第三,保证数据流转的安全性。《网络安全法》第四十二条对掌握个人行踪轨迹数据的网络运营者设定了履行数据安全保护的义务。《传染病防治法》第十二条也明确,“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”对于数据安全管理责任落实不到位的,一旦致使泄露行踪轨迹信息五百条以上,根据最高法、最高检关于“拒不履行信息网络安全管理义务罪”所作的司法解释,可认为造成了严重后果,应予以刑事处罚。需要注意的是,轨迹信息由若干定位数据组成,如何认定轨迹信息的条数,在司法实践中仍需进一步明确。当下,最需要强化信息控制者和基层组织的数据安全意识,秉持最小化收集原则,实施全过程数据安全技术防护。
第四,保证数据传播的合法性。疫情当前,向辖区内提供确诊患者行踪轨迹信息,让公众知晓周围环境是否存在感染风险,是全民防控的一项重要工作。《传染病防治法》第三十八条明确了疫情信息公布的权威渠道,各级人民政府卫生行政部门经国务院卫生行政部门授权之后,方可向社会公布本行政区域的传染病疫情信息。对于违法、违规散布传播个人行踪的,属侵犯他人隐私权益的行为。被侵权人可根据《侵权责任法》要求侵权行为人承担相应的民事责任。公安机关也可按《治安管理处罚法》第四十二条规定,对违法行为人给予行政处罚。此外,根据两高司法解释,“非法获取、出售或者提供行踪轨迹信息五十条以上的”构成“侵犯公民个人信息罪”的严重情节,应处三年以下有期徒刑或者拘役,并处或者单处罚金。疫情期间在保障公众知情权的同时,同样需要强化隐私宣传教育,鼓励公众运用法律武器保护自身隐私权益。
四、行踪轨迹信息合理利用的实施策略
(一)最小化采集范围:以手机基站定位与身份证核验为主,终端记录与节点核验相配合
最小化采集一方面应使个人所需上报的信息类型和数量最小化,另一方面应使掌握个人行踪的信息控制主体范围最小化。已完成身份认证、覆盖绝大部分人群,且不需要个人添置新的设备或安装新的应用,是基站定位和身份证核验的共有优势。目前国内三大电信运营商已面向个人开放了城际间的“漫游地查询服务”,进一步实现县、区甚至社区间的漫游查询,虽然会增加运营商的服务成本,但技术上是可行的,这为个人利用手机终端记录行踪轨迹,并完成自下而上的报告提供了可能。通过节点管理的方式,在基层关键卡口装配身份证核验系统,一方面可核验身份证刷卡数据与个人上报信息,另一方面将卡口坐标加入行踪记录,丰富了轨迹信息中的定位点数据。一旦出现待证事实,电信运营商和负责身份证管理的公安部门因事先登记了查找对象的联系方式和居住地址,可在第一时间反馈给基层组织。若无待证事实,基层组织则不掌握个人基本资料,降低了个人信息被泄露的风险。
(二)垂直化信息联动:建立数据统一共享交换平台,制定事件触发与数据传递机制
中国电科在2月份汇总了交通、铁路、民航等部门数据,建立了大数据平台,用于协助单位或个人查询是否有与确诊或疑似患者的接触史。作为数据统一共享交换平台的雏形,其数据来源主要是公共交通运输的票务数据,相对较为单一,但不失为有益的尝试。乘坐公共交通时的身份验证,实质也属卡口身份证核验,因此,最理想化的数据平台是同时接入电信运营商提供的个人漫游地数据与卡口身份证刷卡数据。一旦疫情发生,平台正式启用,要求信息控制者在不违反法律规定的前提下,自下而上接入所掌握的个人行踪轨迹;出现待证事实时,平台自上而下为基层组织提供关注对象的过往行踪及实时定位;疫情结束后,启动数据删除机制,保证个人行踪轨迹信息不可被检索与访问。
(三)开放式数据挖掘:鼓励有能力的组织和个人,参与重点人群流动情况的分析与预测
中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》提出,“鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。”公共数据合理适度向社会开放,有助于释放技术红利、制度红利和创新红利,助力政府治理能力的提升。在开放利用的同时需要注意,去标识化是行踪轨迹信息开放共享的重要前提。如,必须隐去姓名、手机号码、身份证等个体信息直接标识符,对地址类准标识符也应采用加密结果替代真实值。对参与人员流动情况数据挖掘的组织与个人,也需要明确其责任和义务,制定激励机制鼓励其提交高质量的分析报告与决策建议。
(四)便民化应用服务:为个人查询、下载、更正、删除行踪轨迹信息提供渠道
个人在疫情期间向主管部门“如实提供有关情况”是《传染病防治法》规定的一项义务,而出具第三方信息控制者提供的行程证明,对中小型企业或组织而言,是复工、复产时核验员工行踪轨迹最为便利的手段。欧盟颁布的《一般数据保护条例》赋予网络用户以一种“经过整理的、普遍使用的和机器可读的”方式来获取和下载个人数据;今后无论我国是否引入该规则,都需要通过法律明确要求信息控制者在疫情期间为个体提供获取轨迹数据的便利。此外,《网络安全法》第四十三条赋予个人享有要求网络运营者更正或删除个人信息的权利,实践中也应给予便捷的实现方式。
面对疫情防控的艰巨任务,在法治框架下实现个人行踪轨迹信息数据共享、互联互通、业务协同,相信必能有效减轻基层作业负担,规避个人信息泄露风险,提升国家应对突发公共卫生事件的能力与水平,推进国家治理体系和治理能力现代化目标的实现。