政府采購實踐中應強化個人信息保護

政府采購實踐中應強化個人信息保護

——寫在《中華人民共和國個人信息保護法》頒布之際

■ 張澤明

人工智能技術的發展與智能手機的普遍使用，使得個人信息被非法收集的“門檻”越來越低。看房被房企攝像頭非法搜集人臉信息，進小區必須通過人臉打卡……加之各類APP幾乎“無孔不入”，不遺余力鼓勵用戶上傳人臉信息進行識別，過度收集個人信息乃至濫用、泄露個人信息已不是個案。

日前，最高法出臺相關司法解釋，為人臉識別劃出紅線；《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）也于近日正式頒布……個人信息保護的“法網”越扎越緊，對政府采購相關執行者也提出更高要求，采購人以往在涉及個人信息收集上的一些慣常做法亟待改變。

考勤、監控系統需求管理調整勢在必行

公眾對個人信息保護的意識不斷提升，由此產生的糾紛也呈上升趨勢。民法典施行以來，截止到今年6月30日，各級人民法院以個人信息保護糾紛為由立案的一審案件已有192件。為加大個人信息保護力度，規范法律適用，《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》已于8月1日正式生效。

根據該司法解釋，人臉信息的處理者（采購單位）還要承擔不泄露采集人臉信息的責任，如果未采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失，采購單位將承擔侵權責任。

該司法解釋還規定了信息處理者需要承擔更多的舉證責任，當采購單位與員工發生人臉采集糾紛時，采購單位必須自證收集人臉信息合法性。如果確認采購單位侵權，被侵權者的維權成本可作為財產損失請求賠償。

基于此司法解釋，采購單位在維護及采購使用考勤系統、監控系統等涉及采集個人信息軟件時，至少要考慮如下幾個問題：

一是存量人臉考勤系統應合法使用。單位使用人臉考勤系統必須征得員工的同意，且不得強迫或變相強迫員工同意，否則將侵害到員工的人格權。

二是要確保即將采購的考勤及監控系統采購需求合法性。采購人應在采購考勤等系統前斟酌是否需要使用人臉考勤，如不使用，則考勤系統預算將大為降低。如果仍然需要繼續使用人臉考勤，則應在需求中明確供應商提供的考勤系統應具備防止信息泄露機制，比如系統的存儲要求、調看及導出信息權限設置、是否使用終端加密設施提高系統使用者權限等。

需全面、完整理解個人信息保護

從近期工信部通報整改“違規調用通信錄、位置信息以及開屏彈窗”的APP來看，微信、搜狐視頻、騰訊視頻、攜程旅行、愛奇藝等眾多知名APP無一幸免，均赫然在列。今后一段時間，國家對違法收集個人信息的打擊力度只會加強不會減弱。

《個人信息保護法》將于11月1日正式開始施行。該法是構筑個人信息保護法律體系的里程碑，對個人信息保護提出了很多原則性要求。筆者認為，以下四點非常值得采購人關注，以便為采購可能遇到的問題做好準備。

一是該法明確了個人信息及處理的定義。個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。這樣的定義，意味著采購人采購的諸如監控系統、社保系統、戶籍系統、安保系統、人事管理系統、醫療系統、學籍系統、報考系統等，均要提前考慮個人信息保護問題。

二是該法明確了“個人同意”是信息處理者處理個人信息的一般先決條件。該法還規定，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。在公共場所安裝圖像采集、個人身份識別設備，為維護公共安全所必需，應設置顯著的提示標識，采集的個人信息只能用于維護公共安全的目的。

三是該法將重要個人信息定義為敏感個人信息，并完善了保護措施。明確生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡，以及不滿十四周歲未成年人的個人信息等屬于敏感個人信息。采集敏感個人信息還應履行向個人告知處理敏感個人信息的必要性以及對個人權益的影響的特別義務。同時，完善了個人信息保護投訴、舉報工作機制。

四是該法特別強調了國家機關履行法定職責收集個人信息時，應承擔主動告知、信息境內存儲、最低限度收集等義務。

采購人應全流程、寬嚴適度做好個人信息保護

當然，面對個人信息保護措施的全面升級，采購人也不必草木皆兵，既要提高信息保護意識，也要正確把握信息保護的尺度。

首先，要加大對信息系統類項目采購的事中事后管理。要在采購文件中加入個人信息保護條款，敦促供應商加大對系統信息保護的技術投入力度，對諸如存儲設備、數據庫、操作系統等要確保安全可控。在系統采購到位后，還要健全涉及個人信息系統的內部控制機制，對諸如社保系統、戶籍身份系統等制定最嚴格的權限驗證登錄機制，最大限度降低個人信息泄露風險。

其次，要依法對個人信息數據進行分級保護、分級對待。《數據安全法》將于今年9月1日開始施行，其中首次提出建立數據分類分級保護制度，并重點保護重要數據目錄和國家核心數據，明確各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。采購人要根據工作推進情況，及時吃透信息保護政策精神，探索本單位的個人信息數據保護細則，及時關注隱私計算等市場上信息保護新產品的效果，將保護要求規范到采購工作中去。

最后，不能因數據保護而因噎廢食。除了要保護個人信息尤其是個人隱私數據外，也要保證政務信息及時公開、確保共享信息的合理流動，避免片面加重個人信息保護采購成本。

《個人信息保護法》規定，處理個人敏感信息應事前進行個人信息保護影響評估，針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準。據此，個人隱私信息將比一般個人信息具備更高的保護標準。此外，民法典規定，當某信息既涉及私密隱私，也涉及個人信息的時候，首先適用隱私的保護；不能適用隱私的，才適用個人信息的保護。

那么如何確定哪些信息屬于隱私，適用更高的保護規定呢？采購人不妨關注近期北京互聯網法院針對黃某訴微信讀書侵害隱私權、個人信息權的判決。在此判決中，法院認為個人信息可劃分為符合社會一般合理認知下的私密隱私、不具備私密性的一般信息和兼具防御性期待和積極利用期待的個人信息三類。

簡言之，判斷特定個人信息是否處于隱私，除了一般社會公認的私密信息外，其余信息還要結合信息內容、涉及人格尊嚴與否等因素判斷是否侵害隱私權。如果尚未達到對用戶人格刻畫的程度，不涉及人格尊嚴的維護問題，就不構成隱私。基于此，法院認為微信讀書自動讀取的微信好友關系、個人讀書的時長、閱讀內容等，在微信讀書界進行展示時不算隱私信息，僅為一般個人信息。這也為采購人在履行個人信息保護時提供一定參考。

（作者單位：大連海關）

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。