行程卡下架后是否删除个人信息?三家电信运营商回复不一

作者 | 财经E法 樊瑞 编辑 | 郭丽琴  

2022年12月13日 08:34  

本文4533字,约6分钟

知情人士透露,行程卡只是查询平台,并不存储任何用户信息。

随着中国疫情防控政策的调整,已经在普罗大众生活中存在达两年九个月之久的“通信大数据行程卡”(下称“行程卡”),将于12月13日0时正式下线。

让各方关注的是,应当如何妥善处理行程卡所涉的海量个人信息?其中行程卡中的行踪轨迹、健康宝中的生物识别人脸信息,都属于《个人信息保护法》规定的敏感个人信息,信息处理者应当承担更严格的搜集和处理义务。

依据《个人信息保护法》,当“处理目的已实现”和“个人信息处理者停止提供产品或者服务”的情况,个人信息处理者应当主动删除个人信息。

财经E法从了解行程卡运行的知情人士处获悉,行程卡只是一个查询导流平台,一边链接有数据的运营商,一边负责接受用户的查询请求,并不存储任何用户信息。

随后,财经E法分别致电三家电信运营商,询问行程卡下架后,是否会在后台删除用户个人数据。

中国电信的客服回复称,下架是防疫部门的决定,下架后会自动删除用户数据;中国联通客服称“应该会删除”。中国移动客服则表示,“移动不会泄露包括用户行程在内的个人信息”,“目前还没接到公司将删除用户行程数据的通知,可以继续关注后续消息”。

12月12日晚21时许,中国联通发布官方公告称,“高度重视客户个人信息保护,将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,自12月13日0时‘通信行程卡’服务下线后,同步删除用户行程相关数据,依法保障个人信息安全”。虽然有媒体报道称,三大运营商先后发公告表示,将在 ‘通信行程卡’服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。但截至发稿时,未在相关渠道发现中国移动和中国电信发布官方通告。

与此相关的问题是,其他在疫情特殊时期产生的,且类似于行程卡的数据平台,如果确实存储了大量个人信息,未来又该如何妥善处理这些信息?

累计接受查询近600亿次

行程卡最初设计的目的是疫情防控和复工复产,可通过行程“自证清白”。

它是由工信部指导,中国信通院、中国电信、中国移动、中国联通、中国广电共同推出的公益性的行程查询服务,可以免费为用户提供本人过往7天内到访过的国家(地区)和连续停留满4小时的国内城市证明。

行程卡于2020年2月29日正式上线。在行程卡使用的早期,提供的是14天的行程记录。2021年1月8日,对包含中高风险区域的地市名称以“星号”标记。

2022年6月29日,工信部宣布即日起取消通信行程卡“星号”标记。

7月8日,工信部发布公告,根据《新型冠状病毒肺炎防控方案(第九版)》,将行程卡查询结果的覆盖时间范围由“14天”调整为“7天”。

12月7日,国务院联防联控机制召开新闻发布会,宣布跨地区流动人员,不再查验核酸检测阴性证明,不查验健康码和行程码。

上述变动可以看到,对行程卡已成逐步解绑之势,彻底下线也在意料之中。

工信部人士在2022年5月曾表示,通信大数据行程卡用户查询次数累计达到556亿次以上,成为人人出行的“标配”和各地防控疫情的重要支撑。

行程卡上的显示信息包括:用户加密手机号、行程信息更新时间、色卡、用户过往7天内所有到访过的国家(地区)和连续停留超过4小时的国内城市。

《个人信息保护法》中规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

清华大学法学院副院长程啸指出,行程卡上的信息显示,行程卡掌握个人的姓名、手机号、行程信息,这些都属于个人信息,“尤其是行程信息,是《个人信息保护法》中规定的敏感个人信息类别下的行踪轨迹,信息处理者应当承担更严格的搜集和处理义务”。

知情人士:行程卡不存储个人信息

根据“通信行程卡”官方公众号消息,2022年12月13日0时起,正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、APP等查询渠道将同步下线。

在疫情期间,行程卡常与健康码配合,成为重要出行“伴侣”。在防疫政策的调整下,行程卡退场并不令人意外。

在即将下架之时,行程卡所步及的海量个人信息将会被如何处理?

《个人信息保护法》第47条规定,当“处理目的已实现”和“个人信息处理者停止提供产品或者服务”的情况,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。

程啸对财经E法表示,行程卡本是为应对突发公共卫生事件产生而处理个人信息的平台,按照《个人信息保护法》规定,在此特殊情况下,个人信息处理者可以不需要取得个人同意就处理个人信息。但现在此处理目的已经实现,故不能再存储个人信息。“按照法律规定,存储个人信息的处理者要删除相关的个人信息。”程啸说。

但一位不愿具名的知情人士透露,行程卡本身并不存储人个信息。

这位知情人士向财经E法披露了行程卡的运作逻辑,用户通过手机号码登录行程卡,并发起查询申请,三大运营商可根据申请提供行程。中国信通院维护的行程卡端提供的是通道服务,一边链接有数据的运营商,一边接受用户的查询,返回并展示这些数据。这位知情人强调,行程卡本身并不存储数据。

另一位知情人士也向财经E法确认了上述信息,即中国信通院在行程卡提供服务中,承担的是“查询导流平台”的作用,“不存储任何用户信息”。

事实上,行程卡官微也介绍,“服务使用收集信令数据和话单数据进行分析,位置信息来源于基站,不会收集用户的GPS定位信息。”

行程卡官微介绍

此外,《人民邮电报》在2020年3月4日的文章《一“扫”便知疫区行程,通信大数据行程卡服务来了》中,中国信通院回应公众对于隐私问题的担忧,信通院表示该服务为免费公益服务,无需填写身份证号、家庭住址等信息,基于用户授权并且经过本人实时验证,能够充分保障用户隐私。

对此,受访专家指出,在中国信通院不存储相关个人信息的情况下,不管其是否构成个人信息处理者,都不用承担删除个人信息的义务。

程啸指出,这属于个人信息共享的一种方式。程啸认为,中国信通院虽然没有存储个人信息,但是不等于其没有使用个人信息,“按照《个人信息保护法》规定,决定个人信息处理目的和方式的就是个人信息处理者,如果是行程卡的处理目的和处理方式是由中国信通院决定,那中国信通院就构成个人信息处理者,要遵守个人信息处理者的义务”。具体来说,作为处理者,有停止使用和删掉个人信息的义务。

运营商是行程卡涉及的另一大主体。程啸认为,在行程卡即将下架的情况下,运营商应当删除此前因防疫目的而收集的个人信息。这里应当对以下两种情况进行区分:情况一,在应对突发公共卫生事件所必需时,运营商依法可以不经用户同意就收集、使用个人信息;情况二,具有合法性基础可以继续处理其他个人信息。对于前一种情况,当突发公共卫生事件结束时,运营商就不能再以此为由来处理相关的个人信息了,其应当停止收集、使用个人信息,并主动予以删除。

中国信通院数安智库专家、清律律师事务所首席合伙人熊定中有不同看法,他认为,如果中国信通院只是调用展示,并不存储和用作其他用途,那其实不构成信息处理者,相当于是受用户委托调用用户的运营商的数据来展示给用户,不需要承担删除的责任。但如果做了留存以及其他非展示功能的处理,那就属于个人信息处理者,要承担删除个人信息的责任。

类似平台该如何处理?

虽然知情人士称,行程卡不存储个人信息。但其他在疫情特殊时期产生的,且类似于行程卡的平台,未来应当如何妥善处理个人信息?

程啸指出,依据《个人信息保护法》的规定,应当是由个人信息处理者主动删除。所谓主动删除的意思是指,个人信息处理者首先明确表明自己已经履行了删除义务的承诺。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋向财经E法分析了删除情况下存在的一些争议情况。

其一,这是否属于“法律、行政法规规定的保存期限未届满”的例外情况?他认为,目前,法律法规对这类数据的保存未提出时限要求,这与网络活动日志等有着本质上的区别,所以不适用例外情况。

其二,涉及防疫的个人信息在收集时,其合法性基础本来就不是个人同意(虽然在流程上确实设计了个人同意的界面),而是为了“应对突发公共卫生事件”,因此有特殊性。“应对突发公共卫生事件”已经结束,显然没有再处理个人信息的必要。左晓栋表示,不能以“将来可能有用”为由留存公民个人数据,除非法律对此类数据有明确要求。

那是否可以脱敏后使用这些信息?左晓栋表示,“严格而言,匿名化后可以使用,因为不再属于个人信息。”但左晓栋认为,很多人现在自以为的脱敏技术并不能实现“匿名化”,只是“去标识化”而已。所以,除非经过严格论证,否则试图对行程卡数据“匿名化处理”后再使用,并不现实。

虽然法律有明确要求,但个人信息是否真的被删除,也是一个现实问题。

熊定中以其代理过的删除权相关的案子为例指出,一般只能相信已经被判令删除的个人信息主体已经删除,要真的做到落地监督执行,可能只能依托于直接监管机构,比如网信办、工信部、市场监管总局等,或者有权的公益组织进行监督,例如消协或者检察院。

个人在正常情况下可能无法知道自己信息有没有被删除,除非出现大规模数据泄露事件。熊定中指出,这些数据如果没删除,任何的处理行为都在进一步加剧侵害,而且如果一旦泄露,那就是重大的数据安全事故。

程啸则强调,个人信息处理者负有“证明自己履行了删除义务的证明责任”。如果今后发现其并未删除,无论是否泄露或者是否利用,都构成非法处理个人信息,应当承担法律责任,如《个人信息保护法》第六十六条规定的处罚。

《个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,将被责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

情节严重的,将被没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、直至吊销相关业务许可或者吊销营业执照。对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。