重大公共卫生突发事件下个人信息保护法律问题研究
一、相关问题提出
2020年初,新冠疫情在武汉爆发并在全国范围内迅速蔓延。2020年1月20日,经过国务院批准同意,国家卫健委决定将新型冠状病毒感染的肺炎纳入法定传染病乙类管理,随后全国各省市结合实际情况启动了重大公共卫生事件一级响应,举国上下众志成城,共同抗击疫情。在全国人民的共同努力之下,2020年4月24日,随着武汉重症病例的清零,全国范围内的疫情基本上得到了控制。在此次抗击疫情中,大数据、云计算、人工智能发挥了重要作用。疫情防控的前提条件是有效掌握疫情信息,只有获取足够的信息,才能针对疫情防控作出精准的决策和实施正确的措施。[1]各级部门在充分依托大数据、云计算、人工智能等数字技术,收集了大量公民的个人数据的基础之上,通过对这些数据进一步分析,提高了抗击疫情的精准性。利用大数据收集公民个人信息,有效追踪疫情的,助力疫情抗击的同时。我们也不能忽视一个现实问题,个人信息在收集、汇总、分析、披露的同时,也极容易出现个人信息的丢失、泄露、滥用等情况,这严重威胁到了公民个人信息安全。
2020年1月下旬,武汉疫情十分严峻,加之春运,有超过500多万人离开武汉回到各自家乡,全国各地也纷纷开展了对武汉回乡人员的个人信息登记。这对于各地有针对性的采取疫情防控措施十分必要。然而这也导致了超过七千多名武汉回乡人员的个人信息也在互联网上泄露了。这些信息精准到了姓名、身份证号码、联系电话、户籍地等。这也导致了很多信息泄露人员遭到了不同程度的辱骂、威胁。[2]2020年1月25日,贵州省遵义市汇川区委第三巡查组副组长帅某在社交网络软件上见到一份名为《公安传来第一批近期武汉等疫区来人名单》的电子表格文件,便用“贵州省遵义”关键词筛选出遵义三城区名单197人,形成新的电子表格文件,将新文件传到两个微信群中。后该名单又被群内人员转发扩散,并造成了不良影响。[3]
基于这种情况,为了在疫情防控的同时防止个人信息被泄露。中央网络安全和信息化委员会办公室于2020年2月4日发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,要求各地方、各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。但是这个通知规定的比较原则,对于个人信息的保护可操作性不强。因此,在重大公共卫生突发事件下,如何保护个人信息值得我们去研究。
二、重大公共卫生突发事件下个人信息保护的相关理论研究
(一)个人信息的概念
对于个人信息概念的理解,学术界主要有“关联性定义”、“隐私性定义”、“识别性定义”三种观点。所谓“关联性定义”主要强调的是信息和个人之间必须存在着关联性,只有与个人之间有关联的信息才能够被认定为是法律上的个人信息。“隐私性定义”主要是强调信息具有一定的隐私性,具有隐私性的信息才是法律上的个人信息。而“识别性定义”则强调个人信息的可识别性,个人信息是指与特定个人相关的可识别性系统,包括个人身份、工作、家庭、财产等。[4]“关联性定义”强调凡是与个人有关的信息都被定义为法律上的个人信息,范围过于宽泛,而“隐私性定义”则仅仅将涉及到个人隐私的信息认定为是法律上的个人信息,范围又十分的狭小,在实践当中不利于个人信息的保护。
笔者个人比较赞同“识别性定义”,将能够具体指向特定某个人的信息定义为法律上的个人信息,在立法上也支持了这一观点。2020年5月28日颁布的《民法典》第一千零三十四条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
(二)重大公共卫生突发事件下相关部门收集利用个人信息的法律基础
笔者通过北大法宝搜集整理涉及到疫情下收集个人信息的相关法律、法规及规范性文件主要包括:《突发公共卫生事件应急条例》、《中华人民共和国传染病防治法》、《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》以及中央网络安全和信息化委员会下发的《关于做好个人信息保护利用发数据支撑联防联控工作的通知》(以下简称《通知》)。上述法律法规的相关条文对于疫情下收集个人信息的主体及收集个人信息的范围记进行了规定,为重大公共卫生突发事件下相关部门收集利用个人信息的法律基础。
首先,法律赋予了相关机关收集和利用个人信息的权利。《通知》第1条规定:除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。《突发公共卫生事件应急条例》规定:传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。由此可件,在疫情之下收集个人信息的主体包括国务院卫生健康部门授权的相关单位已经街道、乡镇、居民委员会、村名委员会。
其次,法律规定了收集个人信息的范围。《通知》第2条规定收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
(三)重大公共卫生突发事件下个人信息保护的必要性
首先,重大公共卫生突发事件下保护公民的个人信息有利于保护公民的个人隐私,防止个人信息被滥用。相关部门为了加强疫情防控而收集到的个人信息主要包括了个人的姓名、身份证号码、住宿信息、个人联系方式、火车票航班信息、通讯记录、住所地、户籍地。这些信息在收集保管的各个环节当中一旦出现了泄露,传播到互联网上,极容易被不法分子所利用进行电信诈骗等违法犯罪活动,从而危及到公民个人的人身财产安全。且这些信息例如身份证号、个人的通讯记录、住宿信息、火车票航班信息也具有高度的敏感性,如果保管不善,极容易侵犯到公民的公民个人隐私。因此,在追求旨在维护公众的生命健康的同时,还应遵循法定程序,以最大程度地保护个人的隐私权益,注意信息的保护、信息发布的渠道、信息发布的内容。[5]
其次,重大公共卫生突发事件下保护公民的个人信息有利于保护公民的人格尊严。在疫情防控期间尤其是疫情非常严峻时期,社会公众存在着恐惧心理,很多人把这种恐惧心态发泄到了患者的身上。许多患者的个人信息遭到泄露之后,受到了骚扰、辱骂、威胁等,严重侵犯了公民个人的人格尊严。例如:武汉返乡人员的个人信息、联系方式遭到泄露后,很多人表示都接到了不少非法骚扰甚至是侮辱的电话。又如:陕西宝鸡首例治愈出院的新冠肺炎患者在网上写下了其与肺炎病毒抗争的日记,受到众多网友的夸赞与鼓励,但也不乏一些人对其恶语相向甚至谩骂,指责其是病毒传播的罪魁祸首;且该患者表示,自己一家人的所有信息全部泄露,已经给自己的生活造成极大不便。[6]因此,加强疫情防控下的个人信息安全保护,有利于保护公民的人格尊严。
三、重大公共卫生突发事件下个人信息保护的现状分析
(一)立法现状——个人信息保护相关法律零散且不够完备
笔者通过北大法宝整理和收集了涉及到公民个人信息保护的相关法律、法律、司法解释已经各种规范性文件,具体见表一。听过上述表格分析,我们不难得出以下几点结论:
第一,涉及到保护公民个人信息的法律法规比较多,既有公法上的保护。例如《刑法》253条之一规定了侵犯公民个人信息罪。又如《网络安全法》第64条规定了网络运营者、网络产品或者服务的提供者,非法收集个人信息的应当承担相应的行政处罚。也有私法方面保护,私法上的保护主要体现在信息收集主体出现泄漏非法利用个人信息的,信息主体可以请求承担民事责任;第二,个人信息保护的法律法规比较零散,无专门的《个人信息保护法》,在实践中个人信息的类型多种多样,而当前的几部法律仅仅规定了某一特定领域的个人信息宝保护,无法形成完整的个人信息保护法律体系;第三,事前的保护力度不强。对个人信息的保护更多强调了信息的采集者、保管者的职业操守。
表一:个人信息保护相关法律法规梳理
序号 | 名称 | 年份 | 颁布机关 |
1 | 《中华人民共和国传染病防治法》 | 2013 | 全国人大常委会 |
2 | 《电信和互联网用户个人信息保护规定》 | 2013 | 工业和信息化部 |
3 | 《消费者权益保护法》 | 2013 | 全国人大常委会 |
4 | 《网络安全法》 | 2016 | 全国人大常委 |
5 | 《刑法》 | 2017 | 全国人民代表大会 |
6 | 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 | 2017 | 最高人民法院、最高人民检察院 |
7 | 《民法典) | 2020 | 全国人民代表大会 |
8 | 《中央网络安全和信息化委员会办公室关于做好个人信息保护利用大数据支撑联防联控工作的通知》 | 2020 | 中央网络安全和信息化委员会办公室 |
(二)社会公众的信息安全防护意识不强
随着互联网、大数据、人工智能、云计算的迅速发展,为人民的生活带来了便利。例如人们在上网、社交、购物、旅行过程中会产生大量的数据。相关网络运营商或者服务提供者通过收集和分析这些数据,能够为公民提供个性化的服务,公民也很愿意通过提供自己的相关信息来享受便捷的生活。但这也会使得社会公众对于个人信息泄露、被不当利用缺乏风险意识,导致公民的信息安全防护意识不强,这一点可以通过以下新冠疫情下个人信息泄露的几则新闻中看出。例如:在武汉返乡者个人信息泄露这一事件中,正是由于各地基层防疫人员在信息的收集、利用、分析、披露这些环节中对于公民个人信息安全缺少足够的重视,将个人信息转发到微信群中时并没有意识到其行为已经严重侵犯到了他人的信息安全,这才导致了超过七千名武汉返乡人员的个人信息遭到泄露。
(三)目前个人信息保护的方式
1、个人信息匿名处理
所谓个人信息匿名化,是指将个人信息进行处理之后无法识别到特定人且无法复原。《网络安全法》第四十二条第一款规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。匿名化的信息必须符合以下三点:第一,个人信息进行了匿名化的处理。匿名化处理的方式一般为通过相关技术手段删除或替代全部直接识别与部分准识别符。[7]第二,经过匿名化处理的信息无法识别到特定人。识别性是个人信息的最重要的标准,是区别个人信息与其他信息的首要标准。第三,经过匿名化处理的信息应经不能够再复原了。值得注意得是,无法复原中的“无法”应按可识别性程度解释,理解为可识别性程度极低,而实际上无法做到100%不可识别。[8]目前,各地区关于疫情中通报中所涉及到人信息的,通常对个人的姓名、身份证号码进行了匿名化处理,而保存了性别、年龄、个人行踪等一些无法具体识别到特定人的信息。这样既可以确保公众对疫情的知情权,又保护了患者的个人信息安全。
2、知情同意原则
所谓知情同意原则是指,相关主体在收集使用公民个人信息时,要征得信息主体的同意。《网络安全法》第41条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。这一条文体现了知情同意原则。然而在当前抗击疫情的大背景下,如果严格适用授权同意原则也会在一定程度上影响疫情防控工作,降低工作效率,耽误防控的最佳时机。但与此同时,如果以疫情防控为由,一概豁免取得被采集者的授权同意,也必将致公民个人信息与危险境地。[9]这就需要将个人利益与社会公共安全利益进行平衡。对此,在中央网络安全和信息化委员会办公室下发的《通知》中第1条规定:除法律法规授权的部门外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。言外之意是经过法律、法规授权的部门可以在未经过信息被收集着同意的情况下收集使用个人信息。而对于其他部门只有经过公民个人同意授权的情况下,才可以收集使用个人信息。
四、重大公共卫生突发事件下个人信息保护制度完善
(一)明确重大公共卫生突发事件下个人信息保护的基本原则
1、合法性原则
合法性原则,主要指的是只有经过法律法规授权的机关才有权利依据法定程序,并采取法定方式收集和使用公民个人信息。其他任何单位和个人均不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。这里法律主要包括:《网络安全法》、《传染病防治法》、《突发公共卫生事件应急条例》等法律法规。例如:《突发事件应急条例》第四十条规定:传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。
2、最小范围原则
最小范围原则是指,法律、法规授权的机构在收集联防联控所必需的个人信息时,原则上应当只收集重点人群的个人信息。如果信息收集、使用者在采取某项措施时可以使用、也可不使用个人信息的,尽量不要使用他人信息。[10]例如,疫情防控部门可以收集患者的姓名、身份证号码、联系方式、乘车路线、住宿信息、行踪等,以便于更加精准地进行疫情防控。但是不得收集其民族、宗教信仰等与疫情防控无关的个人信息。
3、安全管理原则
安全管理原则是指,个人信息的收集和保管主体负有安全管理收集到的个人信息的职责,应当采取必要的措施防止个人信息泄露和被不当利用。个人信息一旦被泄露或者被不当利用,不仅仅会威胁公民个人的信息安全,还会影响到社会公众乃至整个国家的信息安全。因此,相关机构在收集新冠肺炎确诊患者、疑似者等主体的个人信息后,应当根据其重要程度建立有差别化的安全程序,以保障个人信息的安全。[11]
(二)完善相关立法——制定专门的《个人信息保护法》
由于当前我国关于个人信息保护方面的相关法律法规比较零散,且每部法律仅仅侧重于某一个领域内的个人信息保护此并且当前这几部法律当中对个人信息保护的相关规定过于笼统,无法切实有效的保障公民的个人信息安全。统一个人信息保护法制体系并出台专门性立法是促进个人数据利用法治化的制度前提。[12]
我们当前亟需建立一套完善且统一的个人信息保护法律体系,制定一部专门的《个人信息保护法》。为此,全国人大常委会也将制定个人信息保护法作为了2020年度立法工作计划。通过专门的《个人信息保护法》对于个人信息的概念、外延、内涵以法律的形式进行明确规定,规定个人信息保护的方式,对个人信息匿名化处理的具体标准、对个人信息遭受不法侵害后的救济途径、事后的惩罚机制进行明确规定。同时也应当做好与现行几部法律特别是《刑法》当中的规定的侵犯个人信息安全罪的衔接适用。
(三)提高社会公众对于个人信息安全保护的法律意识
首先,公民自身要充分认识到个人信息安全的重要性。一旦发现互联网上泄露了其个人信息或者个人信息被人非法利用。要学会用法律武器来维护自身的合法权益,及时向网络运营商、信息发布者及时删除,向网络监督部门、公安部门进行举报,产生损失的情况下可以向人民法院提起诉讼。其次,信息的收集使用主体要提高法律意识,充分认识到个人信息安全的重要性。疫情防控部门为了疫情防控需要,收集个人信息的,应当做到收集途径的正规化、保存过程的安全化、信息披露的合法化。
原文链接:http://cqfy.chinacourt.gov.cn/article/detail/2020/12/id/5686409.shtml