数字化疫情防控与个人信息保护的平衡



新型冠状病毒感染的疫情爆发以来,本着“早发现、早隔离”的防治原则,各地政府迅速采取大数据信息技术对疫情进行防控,数字化疫情防控的方式为准确、及时、全面地统计疫情期间重点人群的个人信息提供了有力的帮助。但是,在科学“战”疫取得初步成效和得到有效控制的同时,公民个人信息保护的防线却在动摇。在个人信息收集和处理过程中,陆续出现了部分地区密切接触人员的手机号、户籍地址、身份证号码等个人信息以各种途径被泄露、传播和非法利用的恶劣事件。诚然,疫情防控需要个人信息的收集、利用甚至部分公开,但是如何把握公开与保护之间的尺度,在疫情防控与个人信息保护之间寻找恰如其分的平衡成为社会普遍关注的焦点和亟需解决的难题。


一、数字化疫情防控下个人信息的界定

(一)何谓个人信息?

我国现行立法对个人信息的定义采取的是概括和列举相结合的模式。《民法总则》第111条对个人信息的法律保护进行了原则性规定,《网络安全法》第76第(5)款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典•人格权编(草案)》(第三次审议稿)第813条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”

(二)疫情防控中个人信息的区分

根据与私人生活密切关联的程度不同,可以将个人信息区分为一般个人信息和敏感个人信息。一般个人信息是指与信息主体的私人生活不那么紧密关联的信息类型,范围比较广泛;敏感个人信息是相对于一般个人信息而言的,与信息主体的私人生活关联程度较高的信息。根据个人信息是否在公共领域公开,可以将个人信息区分为公开的个人信息和隐秘的个人信息。公开的个人信息是指依照法律规定或者信息主体的意愿已经在公共领域进行合法披露,并为社会公众所知悉的个人信息;隐秘的个人信息是指信息主体不愿在公共领域予以公开的个人信息。区分不同的信息类型对于确定法律对其予以保护的程度具有重要意义。

就本次疫情而言,疫情患者和密切接触人群的姓名、身份证件号码、通讯地址、联系方式皆属于公民的个人信息,是人格权和隐私权的具体体现,也是民法刑法等法律保护的范畴。但是对于出于疫情防控目的,政府公开发布的患者和密切接触者的列车信息、所负责辖区的患者数量以及患者就诊前途径区域,由于这些信息已经进行脱敏,不能单独或与其他信息结合以识别特定自然人的身份,因此此类信息不属于个人信息。但是对于某些信息是否属于个人信息则不能一概而论,例如疫情期间初入小区时测试的体温信息,被采集者仅被采集了体温信息,而没有被采集其他任何信息,因此此时的体温信息不属于个人信息;但是公安机关或政府行政部门基于疫情防控需要,要求被采集者填报的体温信息则属于个人信息,此时的个人信息已经与特定自然人信息相结合,能够识别到特定自然人。

(三)数字化时代个人信息的属性

个人信息具有人格利益属性毋庸置疑,个人信息是个人的人格表现和人格发展的工具。尽管随着社会信息化进程的发展,个人信息逐渐显示出其商业价值,但是个人信息保护的首要基础仍在于其蕴含的人格利益属性。但是随着信息社会发展,个人信息的商业价值日益凸显,因此个人信息所蕴含的经济利益属性也不容忽视,尤其是大数据和信息技术的高速发展,使得个人信息成为极具商业价值的数据资源。在数字化疫情防控中,个人信息体现出最大价值的属性即为公共利益属性,在公共利益与私人利益存在冲突的情况下个人权益应当让渡于公共利益。为适应疫情防控和共卫生安全的需要,个人信息的公共利益属性价值发挥到最大化,但同时法律更应该强化对个人信息在采集以及之后处理环节的严格保护,以平衡公共利益与个人利益之间的冲突。


二、数字化疫情防控下个人信息的收集

个人信息的收集行为,简而言之即信息处理者获取个人信息的行为,其重点即在“获得”。在大数据时代,个人信息的收集行为可以通过日益多样的手段实现。疫情防控的背景下,由于互联网、大数据和人工智能技术的发展,个人信息的收集也更加便利,以至于很多被收集者甚至都没有意识到自己的信息已经被收集。疫情防控背景下个人信息收集目的在于掌握流动人员的信息,全面把握疫情发展的情况,对疫情的进一步扩展作出有效且及时的应对。然而,一方面由于收集个人信息的部门、机构数量较多且权责混乱,导致个人信息被重复收集、多方管理的乱象频发;另一方面信息收集单位本身缺乏数据管理的技术的经验,自身工作量增加的同时也难以确保被收集者的个人信息安全。

(一)个人信息收集主体

就个人信息的收集而言,需要首先明确哪些主体可以不经授权收集个人信息。《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。本条规定对于网络运营者并没有设置同意例外条款。《个人信息安全规范》中征得授权同意例外规定与公共安全、公共卫生、重大公共利益相关的情形下,个人信息收集者无需征得个人信息收集主体的同意即可收集个人信息。但是哪些主体无需授权同意即可收集个人信息呢?

1.  医疗机构

根据《中华人民共和国传染病防治法(2013年修正)》第12条规定,在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。在此过程中,疾控机构、医疗机构不得对其中涉及个人隐私的有关信息、资料进行泄露。如果卫生行政部门以及其他有关部门、疾控机构和医疗机构所实施的措施违法,致使单位和个人合法权益造成损害的,受损的单位和个人可以依法申请行政复议或提起诉讼。由此可见,基于疫情防控需要,一切单位和个人如实提供与疫情相关的信息是为其法定义务。也即疾病预防控制机构和医疗机构在基于疫情防控需要收集个人信息时,不需要征得被收集者的授权同意。

2.  政府行政部门

根据《突发公共卫生事件应急条例》第10条、第11条规定,国务院卫生行政主管部门有权制定全国突发事件应急预案,而省、自治区、直辖市政府有权制定本行政区域内的突发事件应急预案。并且在应急预案中应包含突发事件信息的收集、分析、报告、通报制度。都21条规定,任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。因此,政府行政机关基于疫情防控需要,依照《中华人民共和国传染病防治法》和《突发公共卫生事件应急条例》等相关法律规定可以不经被收集者同意收集个人信息。

3.  企事业单位

对于企业而言,是否能够未经被收集者同意收集个人信息需要分情况探讨,且关键是看其是否得到国务院卫生健康部门的授权。根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条规定,除国务院卫生健康部门依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防控为由,未经被收集者同意收集使用个人信息。因此,对于已经取得卫生健康部门授权或者需要配合疾病预防控制机构、医疗机构收集个人信息的企事业单位,不需要征得被收集者同意;但是对于未经授权的企事业单位,则还是应当遵循个人信息收集的授权同意原则。

(二)个人信息收集主体责任

如前所述,基于疫情防控需要需要利用个人信息时,政府行政部门、医疗机构可以依照法律规定或授权对个人信息进行收集,不需要征得信息主体同意。但是个人信息的收集应坚持“合法、正当、必要”原则,对收集的信息进行适当公布,对于其中的敏感个人信息不得随意公布。因此信息收集主体收集个人信息时,必须有明确的目的,收集利用的信息必须与此目的相关。特别对行政部门而言必须以社会公共管理与服务为目的,或者有明确的属于其职权范围内的法律授权。为了保证被收集主体个人信息安全,应当坚持“谁收集、谁公布”;“谁收集,谁负责”,对个人信息的收集提供正当的程序保障。


三、数字化疫情防控下个人信息的处理

个人信息处理行为是实现个人信息价值的源泉,相较于个人信息的收集行为对信息主体的合法权益有着更广泛和重要的影响。个人信息处理行为的合理及合法与否,将直接牵涉到个人信息价值的实现和信息主体合法权益的保护。但是考虑到疫情的突发性和紧迫性,为了更及时地保护公共利益,需要重新对特殊时期的个人信息处理进行思考。

(一)个人信息处理主体

首先,对于医疗机构而言,其在收集个人信息后,难以避免会涉及到对于个人信息主体的姓名、家庭住址、行踪轨迹等个人信息的适用。医疗机构应当保证在使用此类个人信息过程中,不得私自对外公布个人敏感信息。对于在疫情防控中获悉的与疫情相关的信息,应当遵循报告属地管理的原则,及时上报各级政府卫生行政部门。

对于政府行政部门而言,更应当谨慎处理个人信息,在使用个人信息时,应当将一般个人信息与敏感个人信息相分离,实现疫情期间信息公开与个人信息保护之间的平衡。除此之外,为了政府形象的维护与疫情防控工作的稳步开展,对于政府行政部门的收集的个人信息应当定期对其收集使用情况进行公示,以保障信息主体的知情权。

对于被授权收集个人信息的企事业单位而言,在对个人信息进行处理利用时,必须严格遵守比例原则,将使用范围控制在使用目的所必需的范围之内。个人信息收集利用完之后,应当在征得信息主体同意的前提下将信息进行封存或者销毁,避免信息泄露。对于没有采取安全保障措施致使个人信息泄露的,应当承担相应的民事甚至刑事责任。

(二)个人信息处理的优化

首先应当加强分析技术手段防止个人数据泄露。对于个人信息的收集、存储、使用、传输、共享等处理行为的全过程进行监测,及时发现信息泄露情况并进行有效阻断。其次,对于个人敏感信息应当采用技术手段进行脱敏处理,消除被处理个人信息的敏感性。最后对于得到授权使用或者处理个人信息的相关工作人员,应当进行技术培训,在通过网络传输和信息共享时使用VPN等加密通讯措施保障个人信息的安全性。


四、数字化疫情防控下个人信息的保护原则

个人信息保护的基本原则是个人信息保护的前提与基础,贯穿个人信息保护始终,疫情防控期间更应当以个人信息保护基本原则指导疫情防控工作的展开。目前我国对于个人信息的保护没有统一法典,在一定程度上削弱了对个人信息的法律保护力度。全球将近90多个国家和地区对个人信息的保护制定了相关法律和规定,同时伴随着计算机技术的不断发展,相应的法律法规也在不断完善。

(一)个人信息保护原则之国别/地区考察

美国在个人信息保护领域,主要采取分散立法的模式。1973年美国发布《个人信息系统:记录、计算机与公民权利》的报告并提出“公平信息实践法则(FIPPs)”,该法则中包含以下五项原则以保护个人信息:公开原则;知情原则;同意原则;参与原则;安全原则。这些原则也成为1974年美国《隐私法》的基础。

欧盟于1995年制定的《关于个人数据处理与自由流动指令》中规定了以下十项个人信息保护的基本原则:正当处理原则;目的明确和限制原则;适当原则;准确原则;保存时限原则;知情同意原则;特殊数据处理原则;安全原则;例外和限制原则;救济原则。2016年审议通过《一般数据保护条例》中的保护原则包括以下十项:数据主体明确授权原则;合法性、合理性和透明性原则;目的限制原则;数据最小化原则;准确性原则;限期储存原则;数据的完整性与保密性原则;数据安全与保护原则;特殊数据处理原则;救济原则。

经济合作与发展组织(OECD)于1980年公布的《关于隐私保护和个人数据跨疆界流动的指导原则》中规定个人数据处理适用的8项原则:收集限定性原则;数据质量原则;目的说明原则;使用限制原则;安全保护原则;公开原则;个人参与原则;可责性原则。

我国香港特别行政区在1995年制定了《个人资料(私隐)条例》,该条例第4条以及附表1规定了个人信息保护的6项基本原则:收集资料目的与方式原则;个人资料准确及保留原则;个人资料使用原则;个人资料保安原则;个人资料公开原则(资料提供原则);个人资料查阅及更正原则。

(二)我国疫情防控中的个人信息保护原则

面对此次疫情,为保证公众的生命健康,个人公民必须作出部分权利让渡,但是对于公共利益与公共安全的保护也不应当以过度侵犯个人信息为代价,否则破坏现有的社会秩序。因此应当在疫情防控的背景下重构个人信息保护原则,以实现疫情防控信息公开需要与个人信息保护的平衡。

首先,对于个人信息的收集和使用应当坚持最小比例原则。个人信息涉及到个人隐私,一旦个人信息被泄露或滥用,不仅会对信息主体带来经济财产方面的损失,更会对信息主体的人格尊严造成侵犯。《关于做好个人信息保护利用大数据支撑联防联控工作》通知中也要求疫情期间收集他人信息应当坚持最少收集原则,而且个人信息的存储期限不能超过必要时限。因此,在涉及疫情期间公共事件的处理时,应当保证个人信息不被重复收集或者过度收集,收集利用主体必须坚持最小比例原则,在符合收集使用目的的范围内利用个人信息。

其次,个人信息的保护应坚持合法、正当、透明原则。疫情防控期间,任何收集、处理个人信息的行为,都应当始终遵守《网络安全法》、《传染病防治法》、《突发公共卫生事件应急条例》等各项法律法规,时刻注意该行为是否具备合法性基础。个人信息的收集主体和处理主体也必须具备正当性,避免个人信息的不当泄露。同时只有公开透明的程序才能更好的保障公民的知情权,因此在疫情防控过程中,应当通过新闻媒体等方式及时公布个人信息收集方式及使用目的。

再次,对于个人信息的收集和处理的全过程必须始终坚持安全保护原则。随着数字技术的发展,个人信息的介质逐渐脱离纸质化转为依托电子化,因此个人信息的安全保障措施也应当逐渐转变为制度性措施,通过制度性规定并借助技术手段保护个人信息。我国也应当及时制定统一的个人信息保护专门性法典,在以个人利益保护为中心的同时兼顾公共利益。

最后,个人信息的保护应当明确可责性原则。当个人信息收集者与处理者的行为违反个人信息保护的基本原则或者违反其应尽义务时,个人信息主体应当可获救济,信息收集者与处理者应当承当法律责任接受法律制裁。疫情防控期间个人信息受到侵犯的案件频发,群众不仅对于疫情发展存在恐慌情绪,对于个人信息及隐私的泄露也高度敏感。各级地方应加大行政执法力度,对于侵犯个人信息的组织机构或个人及时进行纠正或作出相应的处罚,以恢复群众对于司法及行政的信任。同时对于已经收集的个人信息,应当在征得信息主体同意的前提下进行封存或者销毁,避免被人非法盗用或滥用,造成次生伤害。


责任编辑:郑通