近日,厦门市民因购买药物,收到交警“大数据比对”短信要求注销驾照一事,引起广泛争议与公众焦虑。这一事件暴露出当前政务数据共享及使用过程中存在的一些问题,如相关数据流动是否合法、敏感信息跨部门流动的界限等,均需要从法理与实践层面予以探讨。
用户网购药品的记录,属于医疗健康信息,是《个人信息保护法》规定的敏感个人信息。这类信息的流转,通常存在三种可能路径:一是通过政府数据共享平台实现跨部门数据交换;二是相关政府部门依职权调取;三是通过大数据中心进行批量比对筛查。
从合法性角度审视,现行《数据安全法》第38条规定,国家机关为履行法定职责需要收集、使用数据,应当在法定职责范围内依照法律、行政法规规定的条件和程序进行。《个人信息保护法》第34条规定:国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。虽然《道路交通安全法》确实规定了患有妨碍安全驾驶疾病的人员不得驾驶机动车,交警部门据此负有管理职责。但法律授权的是对“患有相关疾病”的管理,而非对“购买相关药品”行为的管理。购买药品不等于患有疾病,还存在多种可能,将购药记录直接等同于患病事实,实质上是扩大了法定职责的范围,存在超越权限的嫌疑。
短信中提到的“大数据比对分析”,实质是行政机关利用算法进行的自动化筛查后,根据筛查结果直接做出的自动化行政决策。这种技术治理手段看似高效,但存在一个根本缺陷:它将本该由行政机关承担的审慎调查义务,转化为由公民自证的负担。
行政决定应当遵循正当程序原则。正当程序要求行政机关在作出决定前,应当进行调查核实,并给予当事人陈述申辩的机会。而“批量发送短信要求自证清白”的模式,是先推定有风险,再要求百姓跑腿开证明。这种做法不仅增加了行政相对人的负担,更可能因算法的“脏数据”问题(如数据错误、关联错误)造成误伤。
法律对医疗健康信息等敏感隐私数据的处理设定了最高级别的保护门槛,国家机关之间共享此类信息,应当遵循“最小必要”和“目的限定”原则。所谓目的限定,即数据收集时的目的(医疗诊疗或药品销售)与后续使用目的(交通监管)应当具有直接的关联性,且不能过度扩张。医疗机构收集数据的初衷是“治病救人”,医保或药店收集数据是“交易记录”,而交警使用数据是“行政监管”,如果后续使用违反了最初收集个人信息的初衷,应当取得当事人的重新授权。同时,根据《个人信息保护法》第24条的规定,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。此条规定虽然主要是规范平台企业的行为,但有关国家机关在对个人信息进行处理时也应当参照适用。
常态化的跨部门数据共享不能成为“数据裸奔”的借口。即便是为了公共安全,也应当设置严格的安全边界,共享应当有明确的法律法规授权,不可仅依据部门规范性文件。同时,应当建立数据分级分类制度,对个人敏感信息的共享实行更严格的审批程序,保障当事人的知情权和同意权,不能搞“暗箱操作”。
针对此类治理难题,建议从以下方面完善制度设计:
首先,在前端告知与源头治理方面,交警部门可与医疗机构建立协作机制,将安全驾驶的健康标准同步至医院,由主治医生在诊断出相关疾病时履行告知义务,提醒患者主动向车管部门申报。这样既尊重了医患关系的保密性,又实现了风险预防。
其次,探索“隐私计算”、匿名化等技术手段。在确需进行数据比对时,可采用联邦学习、多方安全计算等技术,实现“数据可用不可见”,在不暴露原始个人数据的前提下完成风险筛查,从技术层面守住隐私保护的底线。
再次,建立“数据隔离墙”与人工复核机制。对于筛查出的疑似风险人员,交警部门应当依照法定手续进行数据还原并进行人工核实,如调取病历资料、询问核实情况,确认对应人员确实存在妨碍安全驾驶的疾病后,再发送正式通知,并告知当事人享有的陈述申辩权和救济渠道,避免“一键群发”式执法。
最后,需完善数据删除与救济机制。对于因误判被错误列入风险名单的公民,应当建立快速的数据删除和申诉处理通道,对于不准确的信息或过时的购药记录及时删除或匿名化处理,避免历史数据对当事人造成永久性影响。
数字治理的时代,行政机关更要守住依法行政的底线。数据共享应当有边界,执法应当有温度,公共安全与个人隐私之间需要精细的平衡,切忌过度依赖算法给公众增加不必要的负担。
来源自:海上法学院
微信扫一扫打赏
支付宝扫一扫打赏
