继“新十条”不再对跨地区流动人员查验核酸检测阴性证明和健康码之后,行程卡也将正式退场。
12月12日,通信行程卡官方微信发布通知,称将在12月13日0时起,正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、 APP等查询渠道将同步下线。
至此,诞生1000余天的行程卡正式“下线”。绿色箭头、星号标识这些曾经出现的符号也彻底退出历史舞台。根据5月26日工信部公布的数据,彼时行程卡用户查询次数累计达到556亿次以上。
“通信行程卡”服务下线,那些绑定的海量数据该如何处理?
12月12日,中国电信、中国联通、中国移动三大运营商均表示,将按照有关法律规定,自12月13日0时“通信行程卡”服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。
作为最初支持疫情防控的技术手段之一,“通信行程卡”(简称“行程卡”)是由中国信通院联合中国电信、中国移动、中国联通三家运营商企业利用手机“信令数据”,通过用户手机所处的基站位置获取 ,为全国手机用户免费提供的查询服务,手机用户可通过服务,查询本人前14天到过的所有地市信息。
最初上线时,因为只需要绑定手机号即可识别到访地点,操作简单且全国通用,为支持人员合理流动、安全复工复产提供有力支撑。上线仅16天后,也就是到2020年2月29日,行程卡已为全国16亿手机用户,免费提供其本人14天内到访地服务。
随着疫情形势的不断变化,行程卡也在适时做出调整。
2021年1月8日20时30分起,行程卡将不再对包含中高风险区域的城市名称标记为红色,变更为在该城市名称后以*(星号)标记,*(星号)标记表示用户前14天内到访过的该城市当前存在中风险或高风险地区,并不表示用户实际到访过这些中高风险地区。
2022年6月29日,取消通信行程卡“星号”标记。7月8日凌晨,行程卡官方微信公众号再次发文:即日起“通信行程卡”查询结果的覆盖时间范围由“14天”调整为“7天”。
国务院联防联控机制综合组此前印发的《新冠肺炎疫情防控健康码管理与服务暂行办法》,第二十四条明确加强个人隐私保护,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。第二十九条明确,任何组织和个人发现违规违法收集、利用、公开个人信息的行为,可以及时向网信、公安部门举报。
因此,如果要变更健康码使用目的,对其已经收集存储的个人信息,应当再次征得的用户同意的方式进行处理或者具备其他合法性基础(比如政府为履行法定职责或者法定义务所必需),再继续保留以用作新目的。
工信部信息通信经济专家委员会委员、中国行为法学会网络与数据法学研究部主任王春晖认为,“通信大数据行程卡”的数据分析的是“手机信令数据”,通过用户手机所处的基站位置获取,信令数据的采集、传输和处理过程自动化,有严格的安全隐私保障机制,查询结果实时可得、方便快捷,为我国的疫情防控做出了重大贡献。
王春晖表示,行程卡、健康码的使命已经结束,处理个人信息的目的已经不再必要,应当依法全部删除。
他解释,辅助疫情的一些工具类似行程卡、健康码等,下线后也储存和收集了大量个人敏感信息,比如说个人的行踪轨迹。“这样的信息原则就是 ‘谁收集、谁删除’”。因为健康码和行程卡都完成了历史使命,所以当初批准收集的部门应该去主动删除这类信息,保存这些数据保存没有任何必要。
对于个人信息的定义,《个人信息保护法》称,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《个人信息保护法》第四十七条明确,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
处理目的已实现、无法实现或者为实现处理目的不再必要;个人信息处理者停止提供产品或者服务,或者保存期限已届满;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的其他情形五种。
第四十七条还指出,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
一般来说,若是经过匿名化处理过的通讯信息,就不会关联到具体的个人,也可以应用在公共应急事件场景中,例如节假日景点游客众多等情形下会对人流量进行提示等。在实际使用中,行程码提示的是到访城市信息,而涵盖了场所码的健康码则涉及了更多个人信息,这也是多位专家重点提醒要注意的。
王春晖强调,行程卡和健康码收集储存了很多详细个人信息,主要是敏感个人信息,应当按照“谁主管、谁负责”的原则,尽快主动删除。如果这类个人信息删除确实出现了技术问题无法实现,就必须将个人信息做匿名化处理。“个人信息一旦做匿名化处理,就无法关联到具体的个人,这类数据信息就不属于个人信息了。不过,当然还是首选全部删除。”
上海交大数据法律研究中心执行主任何渊也认为,对于个人信息,信息处理者都有义务进行删除。比如,行程卡是由中国信通院和运营商联合提供的,根据《个人信息保护法》他们都是共同的个人信息的处理者,也就都有义务进行删除。
“那些对于技术上难以实现的数据删除,需要向公众说明具体理由,如何处置,以及对我们每个人的影响,这些个人信息的影响评估做完后都要向公众公开。”何渊补充到。
来源:网络
相关推荐:
后疫情时代,平衡个人信息保护,牢守数据安全底线市场监督总局、国家网信办发布《个人信息保护认证实施规则》
Twitter再次传来重磅消息: 540万用户数据在暗网公开
泄漏超5亿用户信息 Meta被爱尔兰监管机构罚款2.65亿欧
《信息安全技术 关键信息基础设施安全保护要求》发布