这两天上海市政府在各低风险区发放核酸抗原,让所有居民自查,当居民查完后很多把试盒扔进垃圾筒,结果又各种途径得知有个“??达”小程序,需要将个人姓名及地址等详细个人信息上传并将已测试结束的抗原试剂盒拍照上传,并扫描试剂盒的二维码,确认上传的试剂盒编号,于是很多人又从垃圾桶里把试剂盒找出来上传后得出个阴性结论报告,该报告能否起到核酸报告同样的“通行作用”不得而知,但确实让很多已找不到试剂盒的居民满满的懊恼、、、、
于是一个突然出现的小程序,在各个微信群里在互相推荐、、、但置疑声也同时出现了:
ོV
这是官方的么
ོV
[链接]抗击疫情,新冠抗原试剂盒检测大数据平台“??达”上线了!
ོV
这是官方的么
ོV
我也用了,不过看有一些人反对说涉及很多个人信息
ོV
也不确定这??互联网中心是什么机构还是企业,这个平台如果不属于政府防疫部门委托,他有收集个人信息的权力吗?
一、该公司有无采集人个信息的权利?
那么我得得先看下个人信息处理者在哪种情况下,可以收集个人信息、、、
根据《个人信息保护法》第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
该机构首先不是法定防疫职能机构,也不是基于政府防疫部门的委托开发,所以(三)为履行法定职责或者法定义务所必需;不能适用;
那第(四)项为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
该条的适用前提是:1、突发;2、紧急;3、必需
个人认为上海疫情出现已经十几天,应不属于“突发”,用抗原自测的地区都是低风险区,不性于“紧急”,现在各医院都有核酸检测也有随申码,健康码及行程码等数字方式可以做到对病毒的权威筛查,所以该小程序也不属于“必需”。
所以,该公司收集个人信息,只能适用第(一)项:取得个人的同意;
二、取得个人同意的前提是什么呢:
1、个人须“充分知情”并敏感信息“单独同意”
《个人信息保护法》第十四条 规定基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
2、信息处理者应“明确告知”并清晰地“公开”
《个人信息保护法》第十七条 告知的内容:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
三、那“??达”的隐私条款是否达到了以上要求呢?
首先,该小程序存在有《小程序隐私保护指引》
该《??达小程序隐私保护指引》内容如下:
本指引是??达小程序开发者“????(上海)有限公司”(以下简称“开发者”)为处理你的个人信息而制定。明确了信息处理者名称
开发者处理的信息
· 为了抗原信息检测数据上报和记录查询,开发者将在获取你的明示同意后,收集你的微信昵称、头像。
· 为了识别检测时您所在的区域信息,开发者将在获取你的明示同意后,收集你的位置信息。
· 为了上报信息异常状态下快速联系,开发者将在获取你的明示同意后,收集你的手机号。
· 开发者收集你选中的照片或视频信息,用于识别抗原检测结果。
· 开发者收集你的地址,用于识别检测时所在的区域位置。
· 开发者收集你的身份证号码,用于核验个人身份真实。
以上告知了收集个人信息的范围及目的,缺处理方式(如疫情过后所收集信息的处理方式等),处理的个人信息种类
你的权益
关于你的个人信息,你可以通过以下方式与开发者联系,行使查阅、复制、更正、删除等法定权利。个人的权利
- 手机号: 13XXXXXXXX1
开发者对信息的存储
开发者承诺,除法律法规另有规定外,开发者对你的信息的保存期限应当为实现处理目的所必要的最短时间。一般应当明确存储时间
信息的使用规则
开发者将会在本指引所明示的用途内使用收集的信息
如开发者使用你的信息超出本指引目的或合理范围,开发者必须在变更使用目的或范围前,再次以电话方式告知并征得你的明示同意。
信息对外提供
开发者承诺,不会主动共享或转让你的信息至任何第三方,如存在确需共享或转让时,开发者应当直接征得或确认第三方征得你的单独同意。
开发者承诺,不会对外公开披露你的信息,如必须公开披露时,开发者应当向你告知公开披露的目的、披露信息的类型及可能涉及的信息,并征得你的单独同意。
若你认为开发者未遵守上述约定,或有其他的投诉建议、或未成年人个人信息保护相关问题,可通过以下方式与开发者联系;或者向微信进行投诉。
- 手机号: 13XXXXXXXX1
行使权利的程序或途径过于简单,如没有个个更改信息及撤回同意的的设置
更新日期:2022年3月27日
生效日期:2022年3月27日生效时间在3月27日,但信息收集时间在此之前已发生
除以上标注范围外,该隐私政策还存在如下问题:
1、未明确是否存在有第三方SDK、Cookie 技术或程序的使用说明
2、未告知个人收集到的信息是如何处理的
3、明显收集了个人敏感信息未取得单独同意
《个人信息保护法》第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
“??达”所收集的阴性、阳性信息属医疗健康信息,同时小程序也收集了大量不满14周岁儿童信息
《个人信息保护法》第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
《儿童个人信息网络保护规定》 第九条 网络运营者收集、使用、转移、披露儿童个人信息的, 应当以显著、清晰的方式 告知儿童监护人,并应当征得儿童监护人的同意。
4、未告知对收集个人信息的保护措施。等等。
疫情是无情的,政府也很想有所建树,但是“好事得好好做!”,不管出发点如何,时间如何紧迫,还是应该在法律的框架遵守规则和程序。