据澎湃新闻、第一财经等媒体报道,近日,在禹州新民生村镇银行、上蔡惠民村镇银行等河南几家村镇银行存款的储户们被赋红码,有些储户因存款无法取出,近期到郑州、开封等地,到达河南后,发现健康码被赋红码;而部分河南省外储户并未外出,亦未涉足中高风险地区,健康码也被赋红码。根据此前媒体报道的相关信息,储户健康码被赋红码与健康及疫情均无干系。
根据第一财经的报道①,继河南部分村镇银行储户的健康码被“赋红码”之后,6月15日,郑州多个在建楼盘的业主向第一财经反映,自己的健康码也曾在6月12日、6月13日先后被“赋红码”。他们曾和村镇银行储户同处一地向有关部门反映问题。同时,他们都被有关方面询问过是否为村镇银行储户。
2019年底爆发的新冠疫情至今仍未消散,健康码于2020年在浙江杭州应运而生,并迅速推广至全国。健康码使用红、黄、绿三种颜色的二维码,从时间、空间、人际关系三个维度收集信息,量化分析后标识持卡人感染新冠病毒的不同风险等级。健康码与行程码成为疫情之下公众出行不可或缺的必备品。健康码收集了个人姓名、手机号码、生物特征信息、活动轨迹、疫苗接种及核酸检测信息、接触史等大量的个人信息。健康码为疫情防控做出了巨大贡献,同时自其诞生之日起,对其可能导致个人信息泄露或滥用的担忧便随之出现,事实证明,人们的担忧并非多余。赋红码事件事关个人信息保护,牵涉行政权力的行使边界,兹事体大,引发公众与舆论高度关注。
早在健康码推行之前,2020年2月,中央网信办颁布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》②即明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。根据已于2021年11月生效实施的《个人信息保护法》相关规定,处理个人信息应当遵循合法、正当、必要和诚信原则,任何组织、个人不得非法收集、使用、加工、传输他人个人信息。基于防疫目的收集的个人信息,仅应基于防疫目的而使用,未经公民同意而用于其他目的,并不存在合法性基础。截至6月15日,赋码主体仍不明确,事实真相尚待查明,而相关部门及金融机构的数据合规建设,已迫在眉睫。
01数据合规与个人信息保护的法律框架
我国数据安全、网络安全及个人信息保护的基本法律法规,包括《民法典》、《网络安全法》、《数据安全法》、《个人信息保护法》等。
2017年6月1日,《网络安全法》(以下简称“网安法”)生效实施,网安法规定了在我国境内建设、运营、维护和使用网络,以及网络安全监督管理的相关义务和要求。
2021年1月1日,《民法典》正式生效,《民法典》第四篇第六章专设“隐私权和个人信息保护”章节,其中规定处理个人信息应当遵循合法、正当、必要原则,不得过度处理;国家机关、承担行政职能的法定机构等对于履行职责过程中知悉的个人信息,应予保密,不得泄露或者向他人非法提供。
2021年9月1日,《数据安全法》(以下简称“数安法”)生效,数安法规范在我国境内的数据处理活动及其安全监管,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
2021年11月1日,《个人信息保护法》(以下简称“个保法”)生效实施,个保法确立了以“告知+同意”为核心的个人信息处理的一般规则,同时列举了在应对突发公共卫生事件、为履行法定职责或者法定义务所必需等不需取得个人同意即可处理个人信息的法定情形,在保护个人权利和保护社会公共利益之间进行了适当的平衡。
上述一典三法的相继出台与施行,奠定了我国数字网络时代数据合规与个人信息保护的法律规范基础。除《关键信息基础设施安全保护条例》已于2021年9月1日实行外,《网络数据安全管理条例(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《信息安全技术重要数据识别指南(征求意见稿)》(以下简称《重要数据识别指南》)等一系列具备实操性的法律规范均已公开发布征求意见,我国数据与信息保护领域立法正在快马加鞭。
02政务数据合规建设刻不容缓
数安法第五章专章规定了政务数据安全与开放。数安法第三十八条规定:“国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。“第四十九条③、第五十条④规定了国家机关及其工作人员违反数据安全保护义务的相应法律责任。
2022年4月21日,河南省人民政府办公厅发布《河南省政务数据安全管理暂行办法》⑤,条例规定,实行政务数据安全责任制,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,保障政务数据全生命周期安全。
网安法、数安法、个保法等法律法规对政务数据的合规建设提供了主体框架,《关键信息基础建设安全保护条例》及其他相关的法规、规章、标准、规范性文件进一步细化了政务数据合规建设的工作流程及工作规范等。
(一)保障政务数据安全
政务数据是大数据背景下支撑国家治理能力现代化的重要基础,包含各级行政机关及法律、法规授权具有公共事务管理职能的组织履行职责过程中收集的各类数据,数据种类繁杂、数据量大,且政务数据中不乏个人信息及商业秘密,同时包含关系国计民生与重大社会公共利益的核心数据。
首先应建立政务数据分类分级制度,明确本机关、本部门的重要数据目录、清单,对相关政务数据实行分类分级管理。数安法提出“国家建立数据分类分级保护制度”,明确了数据分类分级是数据安全的基本制度。部分省市已制定政务数据分类分级的地方性标准。5月18日,山西省行政审批服务管理局即发布了《政务数据分类分级要求》等两项地方标准⑥。
其次应明确收集政务数据的目的、依据和用途,严格按照收集用途使用政务数据。对包含个人信息、商业秘密等数据应依法采取保密措施。对于疫情防控过程中收集的个人敏感信息,应限定使用期限及范围。突发卫生事件过程中收集的个人信息,系在疫情防控的背景之下,个人权利对社会公共利益的适当让渡,应保护此类个人信息的“被遗忘权”,不忘“健康码”相关个人信息系为抗击疫情而用的“初心”,疫情之后可考虑销毁相关个人信息,杜绝个人信息从“健康码”向“文明码”或其他使用场景的转换,变相改变用途。
(二)建立完善的政务数据合规治理体系
根据数安法第三条的规定,数据处理包含收集、存储、使用、加工、传输、提供、公开等环节,政务数据的处理也基本包含前述各项环节。
政务数据处理除由相关国家机关、部门处理的情形之外,委托第三方处理政务数据的情形并不鲜见。比如政务系统建设、政务数据存储等环节,相关部门经常委托他人代为进行,在此过程中,相关政府机关或部门应重视与受托机构通过合同明确双方的权利义务,防范因受托机构原因引发政务数据合规风险。同时加强对受托机构的日常监督管理,指导受托机构遵守数据安全相关的法律法规,依约全面履行合同义务,承担政务数据安全的相关责任。
对于负有政务数据合规义务的机关或部门而言,应建立健全数据安全管理制度,明确主体责任与岗位职责,合理设定相关数据的访问权限,全流程控制政务数据处理各个环节的合规风险。
(三)落实政务数据合规领域相关主体违法犯罪责任
数据泄露、违规使用等违规、违法行为极易侵害民众个人信息合法权益及其他利益,应加大执法力度,严格按照数安法第四十九条、第五十条及个保法第六十八条⑦等相关法律规定惩处相关责任主体,履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊构成犯罪的,按照刑法相关规定依法予以惩处。
03结语
河南银行储户赋红码事件是一次恶劣的先例,突显出数据安全与个人信息保护领域的合规治理任重而道远。除了赋码机关可能涉嫌政务数据违法违规之外,事件中相关的几个村镇银行也极有可能侵害了储户的个人金融信息,而这距离中信银行因“池子”事件被罚450万元尚不足两年——作为合规业务发端的金融机构,合规之路仍有很长。
注释:
①https://www.yicai.com/news/101444775.htm
②http://www.cac.gov.cn/2020-02/09/c_1582791585580220.htm
③数据安全法第四十九条:国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
④数据安全法第五十条:履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
⑤http://www.henan.gov.cn/2022/04-26/2439344.html
⑥http://xzspglj.shanxi.gov.cn/gzdt/dtyw/jdt/202205/t20220516_5999387.shtml
⑦个保法第六十八条:国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
