通信行程卡下线,其存储的个人信息可以挪作他用吗?
近日,通信行程卡公众号发布公告称12月13日0时起,正式下线“通信行程卡”服务。虽然服务下线,但公众对健康码引发的个人信息保护问题的讨论却方兴未艾,今天就结合《个人信息保护法》和大家聊聊健康码涉及的个人信息保护和通信行程卡数据合规问题。 一、疫情管控政策调整后,健康码涉及的个人信息应如何处理? 在国内的防疫管控政策调整后,通信行程卡是第一个下线服务的健康码类服务。三年防疫,各类健康码收集了非常多的公众个人信息,笔者认为,这些 健康码对个人信息的收集、使用、存储等环节应遵守的主要原则有三个:合理目的、单一用途、安全存储。 1、合理目的。 一般情况下,数据处理者收集、使用个人信息应当取得个人同意,而健康码类服务则比较特殊,根据《个人信息保护法》规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,不需取得个人同意。但正因为法律授权主要为了应对紧急情况,健康码类服务处理个人信息更应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 2、单一用途。 根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》的规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。所以如果要 变更健康码使用目的的,对其已经收集存储的个人信息,应当再次征得的用户同意的方式进行处理或者具备其他合法性基础(比如政府为履行法定职责或者法定义务所必需),再继续保留以用作新目的。 3、安全存储。 健康码类服务收集的个人信息、可能包含生物识别信息、健康数据、行程数据等个人敏感信息,所以收集或掌握个人信息的机构应当对这些个人信息采取严格的管理和技术防护措施,比如对个人敏感信息应当加密传输和存储,防止被窃取、被泄露。 相关的个人信息,在疫情防控目的解除后,应当主动删除或者做匿名化处理。 二、通信行程卡数据合规上有哪些问题? 根据公众号认证信息,通信行程卡的运营者是中国信息通信研究院,对于这样一个有网页端、手机应用端、小程序端的产品,从律师的角度,至少在下列问题上其数据合规还是有一些可改进之处的: 1、小程序端和网页端无法查看《服务协议》和《隐私政策》。 目前只有通信行程卡手机应用端有《服务协议》和《隐私政策》,而多数用户使用的小程序端却无法查看。用户打开小程序就直...
