浅析抗“疫”期间公民个人信息的保护
2020-04-24庄伟
庄伟
关键词公民 个人信息 疫情期间 刑法保护
2020年春节期间,猝不及防的病毒,迅速扩散的疫情,让我们不得不打响一场阻击疫情蔓延的人民战争。2月9日开始,全国各省市地区的单位及企业已经开始陆续复工复产,为防止疫情在复工复产过程中蔓延传播,各个单位和企业开始广泛落实人员申报登记制度,出入小区、超市购物都需要填写个人信息,这样能够帮助卫生监督机构及时掌握情况,迅速切断传播。但同时,个人信息泄露现象在各地频现,例如:病毒感染者的个人信息被网民深度挖掘公开、武汉返乡个人信息被不当泄露、小区住户职业(医护人员)信息泄露被拒绝回小区等等不和谐事件。因此在疫情期间公民的个人信息也需穿上“防护服”,严厉打击侵犯公民个人信息罪等一系列违法犯罪行为。
一、公民个人信息的概念及认定
公民个人信息是一种为公民本人所专属的信息。从直观表现来看,在不同的层面上个人信息的体现方式不同。一是主体性。主体享有公民个人信息的所有权、控制权和支配权,主体不能是组织或者法人,只有自然人才可以。二是可识别性。公民个人信息内容上会有很多的形式,利用不同形式的信息可以识别出公民的具体情况。具体到相应的法律规定,根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定可知,公民个人信息即能够识别特定自然人身份或者反映其活动情况的各种信息,包括姓名、身份证号、联系方式、家庭住址、行踪轨迹等。
具体到本次疫情防控,街道、社区、学校、单位等向公民获取的疫情期间的行程信息、人员接触信息、健康状况等信息以及公民在部分城市自主申報平台填写的信息,笔者认为,这些登记填报的身份信息具备公民个人信息的属性,也应该属于公民个人信息的范畴。
二、侵犯公民个人信息的现状
1月29日15时许,网民“cora”在微信群中传播“35名密切接触者名单”文件,严重损害涉疫情人员的合法权益。经查,网民姚某红擅自将微信内部工作群中严禁转发的“35名密切接触者名单”转发至其小区业主微信群中,引发网民大量转发。1月31日,根据《中华人民共和国治安管理处罚法》规定,临汾市公安局直属分局依法对姚某红作出行政拘留5日的处罚决定。
2月3日下午3时,文山州人民医院文某(编外职工)、谢某(编外护士)、关某(编外护士)利用工作便利,私自用手机拍摄医院电脑记录的新型冠状病毒感染肺炎患者的姓名、家庭详细住址、工作单位、行程轨迹、接触人员、诊疗信息等基本情况并公开散布,文山市人民医院刘某(财务人员)、余某(编外财务人员)通过微信转发传播,造成相关小区住户人员高度恐慌,严重影响患者的家庭安全,其行为触犯《治安管理处罚法》第四十二条的规定,文山市公安局依法决定对文某、余某、刘某、谢某作出行政拘留10日并处罚款500元的处罚决定,对关某作出罚款500元的处罚决定。鉴于当前疫情防控工作的严峻性,文山市公安局暂缓执行对文某、余某、刘某、谢某的行政拘留决定。
疫情防控期间,在复工复产的大环境下,公民的个人信息登记、使用频率也随之迅速增长,在一些不法分子眼中,这些信息蕴含着动人的经济利益,因此铤而走险对公民个人信息进行窃取或者非法盗用。一方面会使受害者的生活产生不必要的影响影响,例如信息泄露经常接到某某推销电话或短信。另一方面会导致公民的人身安全受到严重威胁,例如疑似病例因信息泄露而导致遭到歧视甚至是打骂。综合来看,当前侵犯公民个人信息的行为主要体现在两个方面。一是非法收集公民个人信息。疫情期间公民使用个人信息的频率极高且保护较为薄弱,所以很容易在不注意的情况下产生泄露,例如某些不是法律规定收集或者政府部门授权的主体收集的个人信息。二是从网络途径上产生了泄露。在收集信息后的不规范使用或保存导致了公民个人信息的泄露。
三、公民个人信息的收集主体和使用限制
(一)收集主体
现实生活中,掌握个人信息的主体有很多,本文主要探讨基于疫情防控目的有权依法主动获取公民个人信息的组织机构。一是应当遵循合法正当原则,意思是在有法律法规和政府部门规定等合法基础前提下,通过正当的收集手段收集信息。通常而言,“合法”地收集个人信息的基础包括:一是依据法律规定,对个人信息进行收集;二是基于一定的合同关系收集个人信息。《传染病防治法》规定,一切单位和个人,必须接受疾病预防控制机构等机构有关传染病的调查等预防和控制措施,如实提供有关情况。《突发公共卫生事件应急条例》规定,传染病爆发时,街道、乡村需协助有关部门做好疫情信息的收集和报告、人员的分散隔离等工作。除法律法规和政府要求外,收集个人信息的合法基础也包括合同关系。企业与员工之间的劳动关系、企业与顾客之间的服务关系都是属于收集个人信息的合法基础。对于大多数企业而言,员工是生产经营的主体,如果有员工患有新型冠状病毒肺炎,或者已经是疑似患者或其密切接触者,可能会威胁企业其他员工的健康安全,进而对企业的生产经营产生重大影响。对于企业直接接触的顾客也是同样,对其健康状况的了解,也是保障业务持续的重要因素之一。因而,出于企业自身的利益,在疫情期间收集了解员工和直接接触的顾客的过往旅行史、密切接触史和健康信息是有合法基础的。
由此可知,疾病预防控制机构、医疗机构、被指定的专业技术机构、街道、乡道以及居民委员会、村民委员会等组织机构以及公民所就职的企业在疫情防控期间有权向公民收集个人疫情信息,公民应积极履行配合义务。
(二)使用限制
为履行防控疫情的法定义务,抑或出于保证员工健康安全,并不意味着可以无限制地索取个人信息。在使用公民个人信息时必须要遵守“必要最小”原则,即,收集信息的范围应仅限于实现收集的目的的必要范围内,并且个人信息的保存期限也不得超过必要使用的期间。有多部法律都对公民个人信息的披露作出明确限制,《网络安全法》要求,在没有经过公民本人允许的情况下,网络运营者不能他人提供其收集的个人信息。同时《传染病防治法》也要求不得泄露涉及公民隐私的有关信息和资料。为了控制疫情蔓延,也为了防止因疫情而导致公民个人信息泄漏,交通运输部特别下发了《关于统筹做好疫情防控和交通运输保障工作的紧急通知》并强调:除非疫情防控需要的特殊情况下,才可以向有关部门提供乘客信息,除此之外不得泄露乘客有关信息、也不得在未经有关部门授权的情况下发布并散播信息。2月9日,中共中央网络安全和信息化委员会办公室再次强调,一是要严格依照有关法律法规规定,限制公民个人信息的收集和使用主体范围;二是收集的个人信息只能作为疫情防控需要的情况下使用,不能挪作他用;三是在没有公民本人的授权许可下,不能公开其收集的个人信息,并负责管理和保存信息,防止泄漏。
因此,对于个人信息的收集者而言,在完成收集个人信息之后,其有义务采取必要的措施保护个人信息安全。一是在使用目的方面,基于履行法定义务、医疗、防控目的的个人信息的收集和使用,应当限于该目的使用个人信息,而不得为其他目的使用,比如为推销药品、卫生用品而构筑潜在用户信息库等商业目的进行使用。二是在使用方式方面,个人信息的处理、利用和披露不能超过法定或信息主体同意的范围,且不得与其他渠道的个人信息进行混用。三是在保存期限方面,基于疫情原因收集的个人信息,收集者应当在疫情结束后及时删除,法律法规有特殊要求的除外。
四、法律如何保护公民个人信息
现阶段专门的公民个人信息保护法还没有颁布实施,我国关于保护公民个人信息的法律条款有许多,《民法总则》《网络安全法》《传染病防治法》等都有相关的保护规定。具体如下:
《民法总则》規定,任何组织和个人不得非法收集、使用他人个人信息,不得非法提供或者公开他人个人信息。《网络安全法》规定也有类似的规定,即不得窃取或者非法获取个人信息,不得非法出售或提供个人信息。《传染病防治法》规定,医疗机构故意泄漏涉及个人隐私的有关信息的,由有关部门责令改正、通报批评,或者给予警告、撤职、开除等处分,如果构成犯罪,则追究其刑事责任。
其中,我们要重点关注的是《刑法》对于公民个人信息是如何保护的,《刑法》第253条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
根据《中华人民共和国刑法修正案(九)》的规定可知,一是此罪的犯罪主体有所扩大。扩大为所有主体,这样可以更有效地公民保护个人信息的权益。二是客观行为的范围也有所扩充,将“非法提供”修改为“提供”,即只要是出售或者违反规定提供,情节严重的都要追究,这就体现的是立法者的意图是对于公民个人信息的一种绝对保护。至于何为修正案(九)中所述的情节严重呢?两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条中也有明确具体的解释,在此不再赘述。
综上,如何才能做好公民个人信息的妥当收集和规范利用呢?第一,从意识上,当公民个人隐私权的保护和公共利益发生冲突时,公民应当主动遵守公权利的相关规定,服从有关法律的规定,服从地方政府的安排,不能以私权利的保护对抗公共利益。第二,从规范上,即使处在防控疫情的特殊时期,个人信息的利用仍不能突破防控疫情所需的必要限度。收集主体和共享单位应当保证数据共享过程的安全,且在数据公开钱应该征求公民的同意,同时应该尽可能地对个人信息(尤其是个人敏感信息)进行脱敏或匿名处理。在防控工作需要内部掌握特定对象的真实敏感信息时,必须在内部资料上载明保密要求,禁止私自扩散,特别禁止线上超范围传播,防控任务完成后除法定专门机构外应对个人信息采取消除措施。第三,从政策上,建议出台相应的政策或者地方政府出台相应的规定,规定疫情防控期间公民个人信息收集之后如何进行保存和处理,建议可以采用政府统一采购技术服务的形式,由专门的保密系统进行回收,具体个人信息只有政府有关部门才能看到,比如杭州绿码的形式,既方便管理,又利于信息的保护。以及泄露个人信息的处罚等进行明确并做好宣传。
笔者认为,疫情之下,我们既要利用好网络和大数据打赢疫情阻击战,也要重视个人信息保护的防线牢固,只有严格把控公布渠道与主体,并且对私自泄露个人隐私及信息的实施者,依据危害情况予以追究责任,才能在疫情期间切实维护好法治与公众领域的平衡,并且维护法律实施的尊严,不让法律法规对个人权益的保护成为一纸空文。