全国范围的新冠肺炎疫情抗击工作开展以来,围绕“早发现、早隔离”的防治原则,人们利用包括大数据技术在内的多种手段,进行重点人群的监测预警、统计分析,以准确、及时、全面的信息为武器对抗疫情。相关的应用包括实时监测车辆、人口动态信息,或利用大数据开展人员流动监测,为研判疫情态势提供技术支持;包括面向公众的“同程排查”服务,用户输入行程日期、车次和地区,即可查询已被披露的新冠肺炎确诊患者同行的火车、飞机和地铁等等。北京、天津、江苏等地方主管部门公布“病例发病期间活动过的小区或场所”,帮助市民及时了解疾病线索,便于社区有针对性地开展疫情防控工作。
除此以外,社会上也出现过一些明显违法或失范的信息利用活动,比如在微信群中公开、转发有武汉接触史人员的姓名、身份证号、行程、位置等个人信息。在种种信息利用活动面前,我们不禁要问:虽然数字时代的个人信息保护已成为广泛共识和基本准则,但面对公共卫生突发事件,如何权衡公共需要与个人权利,以划定合理的信息保护与利用的界限?
一、我国公共卫生突发事件下的信息利用和保护规则
信息的收集、利用对于传染病疫情防控的重要意义不言而喻,当前我国已基本建立起疫情下的个人信息收集与利用规则框架,通过《突发事件应对法》《传染病防治法》《突发公共卫生事件应急条例》,结合《网络安全法》的相关规定,从应急保障、信息公开、信息保护等角度,分别对政府部门、企业组织以及个人在传染病疫情防控场景下的责任义务进行了规定,为疫情下相关信息的合理利用提供了基本准则。
(一)政府部门按照法定职责收集、公布事件相关信息,对疫情开展监测
政府及有关部门、专业机构应当“通过多种途径收集突发事件信息”(《突发事件应对法》第三十八条)。政府应当主动公开“突发公共事件的应急预案、预警信息及应对情况”(《政府信息公开条例》第二十条)。卫生行政主管部门负责向社会发布突发公共卫生事件的信息(《突发公共卫生事件应急条例》第二十五条)。除了收集和发布疫情事件信息以外,卫生行政部门和相关政府部门还应当开展监测预警。有关部门、医疗卫生机构应当对传染病做到“早发现、早报告、早隔离”(《突发公共卫生事件应急条例》第四十二条)。各级人民政府应当开展“流动人口管理”,落实预防、控制措施,非事件发生地区也要开展“重点人群、重点场所和重点环节的监测和预防控制工作,防患于未然”(《国家突发公共卫生事件应急预案》,20xx年实施)。
在传染病疫情防控中,“突发事件信息”、“预警信息”均可以理解为包括传染病人、疑似传染病人、密切接触者等重点人群的健康状况、行踪、位置、工作单位等个人信息。开展“流动人口管理”、“重点人群、重点场所和重点环节的监测和预防控制工作”也将不可避免地涉及大量个人信息收集、分析和利用活动。法律法规赋予政府及有关部门在疫情防控中对个人信息广泛的收集利用权力。底线是不得“故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料”(《传染病防治法》第六十八条)。“医疗卫生人员未经当事人同意,不得将传染病病人及其家属的姓名、住址和个人病史以任何形式向社会公开”(《突发公共卫生事件与传染病疫情监测信息报告管理办法》,卫疾控发[2006]332号,第十四条)。
(二)企业、组织和个人承担信息报告义务,并可利用所掌握的数据支持疫情防控
获悉突发事件信息的公民、法人或者其他组织,应当“立即向所在地人民政府、有关主管部门或者指定的专业机构报告”(《突发事件应对法》第三十八条)。“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告”(《传染病防治法》第三十一条)。
《网络安全法》等法律法规对于网络运营者的个人信息保护义务进行了明确界定,包括信息收集的最小化和必要原则,用户知情权,用户同意权,以及对于与第三方(非主管部门)共享的限制等核心规则。
结合前述突发事件管理和传染病防治的有关规定,可以将企业、组织等主体在疫情中处理个人信息及相应的数据保护义务分为三种情况:一是直接发现和疫情相关的信息应当主动向主管部门报告,不受个人信息保护规则的限制。二是按照主管部门要求,或受其委托对用户数据开展分析、利用、研究,辅助疫情防控工作的,应当按照要求或委托的内容进行数据处理,不能超过主管部门的相关职责权限,同时不受常态下个人信息保护规则的限制。三是自主对用户数据进行分析、利用,用于开发疫情防控相关产品和服务的,应当履行常态下的个人信息保护义务。
传染病疫情信息保护情况疫情暴发至今两月有余,为控制疫情,截断传染源,各级政府部门、区县街道办等陆续收集制作关于武汉返乡人员信息统计表,返乡人员的家庭住址、身份证号、手机号及短期内的生活轨迹全部被公布。同时,大量确诊病人、疑似病人的个人信息也以各种形式在社交媒体上传播。对此律师提醒,为了应对突发事件、控制疫情,采取必要的应急措施具有法律依据,但有关部门、单位也应对收集的个人信息予以保护,防止个人隐私泄露。
《中华人民共和国传染病防治法》第12条第一款规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”。《中华人民共和国突发事件应对法》第18条、第19条规定在检测和预警阶段需要“国务院建立全国统一的突发事件信息系统。”“县级以上人民政府及其有关部门、专业机构应当通过多种途径收集突发事件信息。”《突发公共卫生事件应急条例》第21条规定“任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报”。
疫情期间,各级人民政府、各级卫生行政主管部门以及社区、村委会、街道办事处等机构采集居民个人信息具有法律依据。同时, 对于采集信息的内容,法律也有明确规定,即“与疫情相关的”“有关传染病的”。在此次疫情中,对于普通人的信息采集应当仅限于联系方式、14天内旅行史、14天内接触史、当前疾病症状等疫情防控的必要信息,而关于居民身份证号码、工作单位等隐私信息不宜进行公开。
《传染病防治法》第38条第三款规定:“传染病暴发、流行时,国务院卫生行政部门负责向社会公布传染病疫情信息,并可以授权省、自治区、直辖市人民政府卫生行政部门向社会公布本行政区域的传染病疫情信息”。《突发事件应对法》第53条规定:“履行统一领导职责或者组织处置突发事件的人民政府,应当按照有关规定统一、准确、及时发布有关突发事件事态发展和应急处置工作的信息”。
依据法律规定,国务院、各级人民政府及省一级政府卫生行政部门有权向社会公布疫情防控信息,其他任何组织、个人包括社区、村委会以及行政机关工作人员等均无权公布居民的个人信息。
出于疫情防控的需要,采用手机扫码的方式进行居民个人信息统计现已成为普遍现象,但这也极有可能造成个人信息的泄露,甚至面临一些网络犯罪分子“觊觎”的风险。故在疫情防控结束后,各部门应将收集到的个人信息进行安全处置;对纸制数据须用粉碎机进行粉碎处理;电脑、存储介质中的电子化个人信息,应采用格式化、清零、覆盖、消磁等完全破坏方式处理。从而有效保护个人隐私、避免信息泄露。
传染病疫情信息保护情况一场突如其来的新型冠状病毒肺炎疫情影响到全国几乎所有人的生活,人们正常的出行、购物、娱乐、交流甚至拜年的方式都完全发生了改变。防控疫情,需要所有人参与其中,同舟共济、众志成城、共克时艰。
为防控疫情、实时监控、掌握情况,针对武汉返乡人员的信息登记、活动监控也迅速在全国各地展开,绝大部分武汉返乡人员都能积极配合防疫工作,主动申报,自行隔离。但随之出现大量武汉返乡人员名单、家庭住址、身份证号、手机号及行踪轨迹等开始在微信群中疯传,对个人信息的保护问题也应引起我们关注。
一、以上无序共享的信息应属个人敏感信息
《信息安全技术个人信息安全规范》3.2对个人敏感信息作出了定义,即一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。考虑到目前疫情的发展情况及大量报道中提到的“在外地的湖北人:我们现在是老鼠过街,人人喊打”这一社会现实,应当意识到“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等”,在当前这一特殊时期,应当将这些信息升格至个人敏感信息而不单单是个人信息。
二、对以上无序共享的个人敏感信息进行保护的法律依据
个人敏感信息传播的前提是收集,此后再由收集者向外传播,因此对个人敏感信息进行法律保护,应从个人敏感信息收集的合法化及个人敏感信息公开、传播的合法化两方面进行考虑。
1.个人敏感信息收集的合法化
《民法总则》第一百一十一条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。从上述法律规定可以看出,任何组织和个人均不得非法公开他人的信息。
《信息安全技术个人信息安全规范》5.5
收集个人敏感信息时的明示同意对个人信息控制者的要求包括:
a) 收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
b) 通过主动提供或自动采集方式收集个人敏感信息前,应:1) 向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;2) 产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
c) 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
据报道,泄露的信息源头和地方上登记武汉返乡人员的途径直接相关,目前主要有三种途径:地方教育部门16到19年高中毕业录取在武汉的大学生名单;公安部门掌握的公共交通大数据(铁路、航空乘客的实名信息);政府安排村委会、街道办事处、社区的基层工作人员开展的住户信息排查上报。
此外,考虑到个人手机使用基本已经实现了全覆盖及实名制推广,中国三大手机运营商掌握的手机数据也可以掌握中国人口的流向、分布等个人信息。
同时,患者前往医疗机构就医时,也会根据医疗机构要求提供个人信息。
以上几种途径虽系信息收集的主要途径和方式,但仍不排除其他途径收集信息的可能,但无论通过何种方式收集个人敏感信息,都应确保个人敏感信息收集的合法化,工作人员在收集个人敏感信息时应当严格按照《信息安全技术个人信息安全规范》中列明的要求规范操作。
2.个人敏感信息公开、传播的合法化
网上传播的个人敏感信息,收集方法或大都合法,但在获取信息后,任何组织和个人都应同样依据《民法总则》第一百一十一条,遵循“不得非法收集、使用、加工、传输他人个人信息”、“不得公开他人个人信息”的法律规定。
除上述规定外,还有诸多现行法律法规也对个人敏感信息的公开和传播设置了法律“防火墙”。特别是结合此次疫情,《传染病防治法》针对疾病预防控制机构、医疗机构等也有具体的规定:
该法第十二条规定:在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施,侵犯单位和个人合法权益的,有关单位和个人可以依法申请行政复议或者提起诉讼。
第六十八条规定:疾病预防控制机构违反本法规定,有下列情形之一的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任:(一)未依法履行传染病监测职责的;(二)未依法履行传染病疫情报告、通报职责,或者隐瞒、谎报、缓报传染病疫情的;(三)未主动收集传染病疫情信息,或者对传染病疫情信息和疫情报告未及时进行分析、调查、核实的;(四)发现传染病疫情时,未依据职责及时采取本法规定的措施的;(五)故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。
第六十九条规定:医疗机构违反本法规定,有下列情形之一的,由县级以上人民政府卫生行政部门责令改正,通报批评,给予警告;造成传染病传播、流行或者其他严重后果的,对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任:(一)未按照规定承担本单位的传染病预防、控制工作、医院感染控制任务和责任区域内的传染病预防工作的;
(二)未按照规定报告传染病疫情,或者隐瞒、谎报、缓报传染病疫情的;
(三)发现传染病疫情时,未按照规定对传染病病人、疑似传染病病人提供医疗救护、现场救援、接诊、转诊的,或者拒绝接受转诊的;
(四)未按照规定对本单位内被传染病病原体污染的场所、物品以及医疗废物实施消毒或者无害化处置的;
(五)未按照规定对医疗器械进行消毒,或者对按照规定一次使用的医疗器具未予销毁,再次使用的;
(六)在医疗救治过程中未按照规定保管医学记录资料的;
(七)故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。
疫情虽猛,也确实需要每个人都对防控工作积极主动配合,作出自己的贡献和牺牲,但应该搞清楚来龙去脉,被起底扒皮的应该是新型冠状病毒,而决不是“湖北人”“武汉人”或者其他人。在战疫情的过程中,还是希望大家能够树立法治观念,坚持依法守法,从我做起拒绝传播个人敏感信息,保障每一个公民的合法权益。
查看全文
false