公开涉疫个人信息防止泄露
● 收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视
● 为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。因联防联控工作需要,且经过脱敏处理的除外
● 疫情期间发布个人信息时,要尽量避免涉及个人。疫情结束后,应对相关个人信息进行封存
2月9日起,全国许多地区陆续复工复产。为做好疫情联防联控工作,基层单位广泛落实人员申报登记制度。与此同时,个人信息泄露现象在各地频现。如何在疫情防控与个人信息保护之间求得平衡,成为目前亟须解决的问题。
中共中央网络安全和信息化委员会办公室2月9日发文强调,收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止个人信息被窃取、被泄露。
在疫情暴发的特殊时期,政府应依法公开哪些信息?如何在公布涉疫个人信息与保护公众健康权、知情权之间做好“平衡术”?
响应呼声公开信息确保合法性必要性
1月30日,深圳市在广东省率先公布新冠肺炎病例患者逗留过的小区和场所,南山区的德意名居在列,但具体的门牌号码等信息都被隐去了。
深圳市卫健委说,此举不仅是根据国家卫健委疾病预防控制局“以社区防控为主”、加强“群防群控”的通知精神,更是响应市民对公布确诊患者发病期间活动轨迹的强烈呼声。
深圳的做法被很多城市效仿。
1月31日,中山市、珠海市、梅州市陆续公布确诊病例患者发病期间的活动场所。2月6日,北京市也发布了新发病例患者活动过的场所和所在的小区。
天津市疾控中心传染病预防控制室主任张颖2月2日在新闻发布会上,对某百货大楼的5例确诊病例进行了分析,梳理了他们在流行病学上的关联性,以及天津市如何追溯、构建5例确诊病例之间的关系。
受访专家认为,除了国家卫健委要求公布的确诊、重症、疑似以及确诊病例发病时间、收治信息等基本情况外,各地对疫情信息公开的做法和程度有所差别。这与当地疫情发展情况相关,也与各地政府的依法行政理念、治理能力相关。
中国政法大学传播法研究中心副主任朱巍认为,在疫情防控的过程中,要保证公开个人信息的合法性、必要性与正当性。
针对疫情期间的个人信息保护问题,中央数次发出相关通知。
1月30日,交通运输部发布紧急通知,明确要求依法严格保护个人隐私和个人信息安全,除因疫情防控需要,向卫生健康等部门提供乘客信息外,不得向其他机构、组织或者个人泄露有关信息、不得擅自在互联网散播。
2月4日,中共中央网络安全和信息化委员会办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。
2月9日,中共中央网络安全和信息化委员会办公室再次发布通知强调,限定依法授权单位有权收集、使用个人信息;收集的个人信息不得用作他途;未经本人同意,不得公开;谁掌握信息谁负责,严防信息泄露等。
信息公开把好尺度侵犯隐私违反法律
随着新冠肺炎疫情防控升级,各地纷纷采取硬核举措。排查上报湖北返乡人员和确诊患者信息,能够帮助相关部门及时掌握情况,迅速切断传播途径。
然而,一份份包括个人信息的文件在微信、微博等社交平台上被疯狂转发,内容包括相关人员的姓名、照片、工作单位、就读学校、家庭住址、手机号码、身份证号码及车票、航班信息等。信息泄露给返乡人员及确诊患者的生活带来极大的困扰,不少人甚至接到骚扰电话和谩骂短信。
“疫情防控期间,为了公共利益,可以收集患者、疑似患者的个人信息,但在公开时必须掌握一个‘度’,个人的电话号码、身份证号码、家庭住址等信息是不必要公开传播的。这类个人信息是隐私,公民享有隐私权。”朱巍说。
最近,一些地方对泄露信息的人进行了处罚。
2月1日,内蒙古鄂尔多斯的王某擅自将涉疫情排查人员名单转发至3个微信群,致使公民个人信息泄露,被处以行政拘留十日;2月5日,天津警方发布通报称,天津市一女子泄露涉及疫情的公民个人隐私,造成不良社会影响,被公安机关依法行政拘留七日;2月6日,广州市公安局发布通报称,2月4日上午,郑某将多名曾乘坐某邮轮的游客名单(含个人信息)发送给朋友叶某,后叶某又将上述游客的个人信息转发至其所在小区的业主微信群内,海珠警方根据治安管理处罚法之规定,依法对违法人员郑某、叶某分别处以罚款500元……
中共中央网络安全和信息化委员会办公室发布通知,任何组织和个人发现违规违法收集、使用、公开个人信息的行为,可以及时向网信、公安部门举报。网信部门要依据网络安全法和相关规定,及时处置违规违法收集、使用、公开个人信息的行为,以及造成个人信息大量泄露的事件;涉及犯罪的公安机关要依法严厉打击。
在朱巍看来,疫情期间,个人权利在一定程度上要让位于公共利益。“医务人员或公职人员在接触患者、疑似患者时,可以在遵循法律、保证真实的情况下进行部分信息公开,目的是防控疫情。但泄露、偷拍并散播个人信息并造成不良影响属于侵犯公民个人信息的行为,情节严重的可能构成侵犯公民个人信息罪。”
参照规范收集信息坚持最小范围原则
国是千万家,有国才有家。为了公共利益而让渡个人权利,体现了人们的爱国精神;政府保护公民个人信息,则彰显了法治原则与人文关怀。
中共中央网络安全和信息化委员会办公室发布通知,要求收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
“发布确诊病患确诊前的行动轨迹应该尽可能详细,有助于密切接触者自我观察、及时就医,有的地方还发布了确诊病例的感染路径分析,便于公众加强自我防护。”中国社会科学院法学研究所副研究员吕艳滨认为,类似的这种信息公开只要没有指名道姓、不能识别特定的人,就没有侵犯公民的隐私权,而且尽到了善意提醒的作用,有助于寻找密切接触者和提示有关人员自我观察。
在朱巍看来,目前,基于大数据技术,公民可以查询实时防疫地图,这种直接或间接不可能识别公民个人身份的公开是没有问题的。这种程度的信息公开已经能够达到抗击疫情的必要性要求,没有必要再变成可识别的公民个人身份信息。
朱巍认为,在疫情防治的特殊阶段,政府有关部门、医疗机构需要相关人员的个人信息,但信息公开要有底线。
根据中共中央网络安全和信息化委员会办公室发布的通知,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
对此,朱巍认为,为了保障个人信息安全,应当在收集和保管时采取严格的保护措施,防止信息被泄露。同时,疫情期间发布个人信息时,要尽量避免涉及个人;疫情结束后,应对相关个人信息进行封存。
朱巍还提到,被侵犯个人隐私的当事人也有权利维护自己的权利。传播的信息若不属实,可要求传播者进行更改;电话号码公开后被骚扰,可要求公布者进行修改。
对于患者利用网络求助时主动公开身份证号码、手机号码等行为,朱巍认为,选择公开隐私也属于公民行使民事权利的一种方式,但不意味着他人可以违法使用这些信息。
专门立法亟待提速遏制个人信息滥用
记者注意到,我国多部法律法规涉及个人信息保护。
民法总则第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
刑法第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
网络安全法第四十四条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
传染病防治法第六十九条规定,医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,由县级以上人民政府卫生行政部门责令改正,通报批评,给予警告;造成传染病传播、流行或者其他严重后果的,对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任。
除此以外,《互联网信息服务管理办法》《电信和互联网用户个人信息保护规定》和《中华人民共和国电信条例》等都涉及对公民个人信息的保护。
不过,在朱巍看来,目前,还没有一部专门针对公民个人信息保护的基本法,因此,有必要完善个人信息保护的法律法规。
刘德良也认为,关于个人信息保护的相关法律法规,从现实角度看,缺乏可操作性,且会妨碍个人信息正常的利用。例如,疫情期间,存在隐瞒接触史及相关信息的人员,依照保护个人信息的原则,若不公开其相关信息,可能导致他人及公共利益受到侵害。
刘德良说,大数据时代,人们的信息都被N次收集利用。例如,手机App、银行等都在收集个人信息。公民不愿自己的个人信息被泄露,主要是担心遭遇骚扰电话等问题。在理性的社会环境下,个人信息泄露并不必然会产生负面影响,单纯的公开信息并不会产生危害。公众对于电话号码等信息并没有保密的必要性需求,被公开后也不必然出现被骚扰的情况。公布信息本身是中性的,公开的信息不会导致个人权益受到损害,反而会在一定程度上减少获取信息的成本。“担心出现的问题是信息滥用,而不是信息泄露。”
“防止个人权益受到侵害,要从信息不被滥用入手。”刘德良说,“我国目前在立法层面没有区分合法利用和违法滥用。大家普遍认为,个人信息控制论是一旦超出个人允许的使用范围即为滥用。其实,超出社会公众对于某一类个人信息正常的、合理的、符合期待或评价上的范围,应为滥用,也就是说,会对个人其他的利益造成损害的行为。因此,应当通过立法遏制个人信息的滥用。”(记者 赵丽见习记者 邹星宇)