中国政府采购报社主办 财政部指定政府采购信息发布媒体
当前位置:首页 >>供应商 >> IT电子报 >> 政府采购实践中应强化个人信息保护

政府采购实践中应强化个人信息保护

栏目: IT,电子报 时间:2021-09-06 18:06:53 发布:管理员 分享到:
【摘要】

政府采购实践中应强化个人信息保护

——写在《中华人民共和国个人信息保护法》颁布之际

■ 张泽明

人工智能技术的发展与智能手机的普遍使用,使得个人信息被非法收集的“门槛”越来越低。看房被房企摄像头非法搜集人脸信息,进小区必须通过人脸打卡……加之各类APP几乎“无孔不入”,不遗余力鼓励用户上传人脸信息进行识别,过度收集个人信息乃至滥用、泄露个人信息已不是个案。

日前,最高法出台相关司法解释,为人脸识别划出红线;《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)也于近日正式颁布……个人信息保护的“法网”越扎越紧,对政府采购相关执行者也提出更高要求,采购人以往在涉及个人信息收集上的一些惯常做法亟待改变。

考勤、监控系统需求管理调整势在必行

公众对个人信息保护的意识不断提升,由此产生的纠纷也呈上升趋势。民法典施行以来,截止到今年6月30日,各级人民法院以个人信息保护纠纷为由立案的一审案件已有192件。为加大个人信息保护力度,规范法律适用,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》已于8月1日正式生效。

根据该司法解释,人脸信息的处理者(采购单位)还要承担不泄露采集人脸信息的责任,如果未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失,采购单位将承担侵权责任。

该司法解释还规定了信息处理者需要承担更多的举证责任,当采购单位与员工发生人脸采集纠纷时,采购单位必须自证收集人脸信息合法性。如果确认采购单位侵权,被侵权者的维权成本可作为财产损失请求赔偿。

基于此司法解释,采购单位在维护及采购使用考勤系统、监控系统等涉及采集个人信息软件时,至少要考虑如下几个问题:

一是存量人脸考勤系统应合法使用。单位使用人脸考勤系统必须征得员工的同意,且不得强迫或变相强迫员工同意,否则将侵害到员工的人格权。

二是要确保即将采购的考勤及监控系统采购需求合法性。采购人应在采购考勤等系统前斟酌是否需要使用人脸考勤,如不使用,则考勤系统预算将大为降低。如果仍然需要继续使用人脸考勤,则应在需求中明确供应商提供的考勤系统应具备防止信息泄露机制,比如系统的存储要求、调看及导出信息权限设置、是否使用终端加密设施提高系统使用者权限等。

需全面、完整理解个人信息保护

从近期工信部通报整改“违规调用通信录、位置信息以及开屏弹窗”的APP来看,微信、搜狐视频、腾讯视频、携程旅行、爱奇艺等众多知名APP无一幸免,均赫然在列。今后一段时间,国家对违法收集个人信息的打击力度只会加强不会减弱。

《个人信息保护法》将于11月1日正式开始施行。该法是构筑个人信息保护法律体系的里程碑,对个人信息保护提出了很多原则性要求。笔者认为,以下四点非常值得采购人关注,以便为采购可能遇到的问题做好准备。

一是该法明确了个人信息及处理的定义。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。这样的定义,意味着采购人采购的诸如监控系统、社保系统、户籍系统、安保系统、人事管理系统、医疗系统、学籍系统、报考系统等,均要提前考虑个人信息保护问题。

二是该法明确了“个人同意”是信息处理者处理个人信息的一般先决条件。该法还规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。在公共场所安装图像采集、个人身份识别设备,为维护公共安全所必需,应设置显著的提示标识,采集的个人信息只能用于维护公共安全的目的。

三是该法将重要个人信息定义为敏感个人信息,并完善了保护措施。明确生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满十四周岁未成年人的个人信息等属于敏感个人信息。采集敏感个人信息还应履行向个人告知处理敏感个人信息的必要性以及对个人权益的影响的特别义务。同时,完善了个人信息保护投诉、举报工作机制。

四是该法特别强调了国家机关履行法定职责收集个人信息时,应承担主动告知、信息境内存储、最低限度收集等义务。

采购人应全流程、宽严适度做好个人信息保护

当然,面对个人信息保护措施的全面升级,采购人也不必草木皆兵,既要提高信息保护意识,也要正确把握信息保护的尺度。

首先,要加大对信息系统类项目采购的事中事后管理。要在采购文件中加入个人信息保护条款,敦促供应商加大对系统信息保护的技术投入力度,对诸如存储设备、数据库、操作系统等要确保安全可控。在系统采购到位后,还要健全涉及个人信息系统的内部控制机制,对诸如社保系统、户籍身份系统等制定最严格的权限验证登录机制,最大限度降低个人信息泄露风险。

其次,要依法对个人信息数据进行分级保护、分级对待。《数据安全法》将于今年9月1日开始施行,其中首次提出建立数据分类分级保护制度,并重点保护重要数据目录和国家核心数据,明确各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。采购人要根据工作推进情况,及时吃透信息保护政策精神,探索本单位的个人信息数据保护细则,及时关注隐私计算等市场上信息保护新产品的效果,将保护要求规范到采购工作中去。

最后,不能因数据保护而因噎废食。除了要保护个人信息尤其是个人隐私数据外,也要保证政务信息及时公开、确保共享信息的合理流动,避免片面加重个人信息保护采购成本。

《个人信息保护法》规定,处理个人敏感信息应事前进行个人信息保护影响评估,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。据此,个人隐私信息将比一般个人信息具备更高的保护标准。此外,民法典规定,当某信息既涉及私密隐私,也涉及个人信息的时候,首先适用隐私的保护;不能适用隐私的,才适用个人信息的保护。

那么如何确定哪些信息属于隐私,适用更高的保护规定呢?采购人不妨关注近期北京互联网法院针对黄某诉微信读书侵害隐私权、个人信息权的判决。在此判决中,法院认为个人信息可划分为符合社会一般合理认知下的私密隐私、不具备私密性的一般信息和兼具防御性期待和积极利用期待的个人信息三类。

简言之,判断特定个人信息是否处于隐私,除了一般社会公认的私密信息外,其余信息还要结合信息内容、涉及人格尊严与否等因素判断是否侵害隐私权。如果尚未达到对用户人格刻画的程度,不涉及人格尊严的维护问题,就不构成隐私。基于此,法院认为微信读书自动读取的微信好友关系、个人读书的时长、阅读内容等,在微信读书界进行展示时不算隐私信息,仅为一般个人信息。这也为采购人在履行个人信息保护时提供一定参考。

(作者单位:大连海关)




本报拥有此文版权,若需转载或复制,请注明来源于中国政府采购报,标注作者,并保持文章的完整性。否则,将追究法律责任。

责任编辑:LIZHENG

本文来源:中国政府采购报第1083期第5版
欢迎订阅中国政府采购报

我国政府采购领域第一份“中”字头的专业报纸——《中国政府采购报》已于2010年5月7日正式创刊!

《中国政府采购报》由中国财经报社主办,作为财政部指定的政府采购信息发布媒体,服务政府采购改革,支持政府采购事业,推动政府采购发展是国家和时代赋予《中国政府采购报》的重大使命。

《中国政府采购报》的前身是伴随我国政府采购事业一路同行12年的《中国财经报?政府采购周刊》。《中国政府采购报》以专业的水准、丰富的资讯、及时的报道、权威的影响,与您一起把握和感受中国政府采购发展事业的脉搏与动向。

《中国政府采购报》为国际流行对开大报,精美彩色印刷;每周二、周五出版,每期8个版,全年订价276元,每月定价23元,每季定价69元。零售每份3元。可以破月、破季订阅。 可以破月、破季订阅。

欢迎订阅《中国政府采购报》

订阅方式:邮局订阅(请到当地邮局直接订阅)