论疫情防控中个人信息保护
——以CoviD-19突发公共卫生事件应急为视角
2020-12-13肖卫华
肖卫华,戴 蕾
(南华大学 经济管理与法学学院,湖南 衡阳 421000)
一 问题的提出
为了应急处理CoviD-19引起的特别重大突发公共卫生事件①,有效预防、及时控制和消除其所引起的危害,保障人民的合法权益和维护社会秩序,各级人民政府、医疗卫生机构等采取联防联控、群防群控的措施,对确诊者、疑似者、密切接触者等重点人群的个人信息,对流动人口、居家人口的个人信息,对复工复产企业员工的个人信息,积极利用包括个人信息在内的大数据分析,进行采集收集,报告发布疫情。为此,中央网络安全和信息化委员会办公室于2020年2月4日发出《关于做好个人信息保护利用大数据支撑联防联控工作的通知》。个人信息是指以电子或其他的方式记录的能识别自然人身份的各种信息,其包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、行踪信息等②。我国《民法总则》第111条和《民法典》(草案)第四编人格权编第六章隐私权和个人信息保护也规定了个人信息保护的具体私法规范。但是,在CoviD-19突发公共卫生事件应急处理措施中,对于个人信息的保护仍然存在欠缺。根据《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》《国家突发公共卫生事件应急预案》有关规定,在开展防治突发事件相关科学研究、传染源隔离、医疗救护、监测检验、卫生防护过程中,国家有关机关和社会组织有权对相关人员的身份信息、健康状况、流行病史和活动轨迹等个人信息进行收集和处理。但是,由于没有一个完整、系统、条理清晰的个人信息保护法律体系,相关法律法规条文规定的内容过于抽象,导致其在突发事件应急处理中的操作性差,以及部分单位和工作人员对个人信息保护和管理的法律意识不强、重视程度不够,造成一些个人信息泄露、行程曝光,而发生手机短信轰炸、电话辱骂、歧视、攻击当事人的偶发事件。对此,本文结合疫情防控中个人信息保护在法律上作些探讨和研究,以推动我国个人信息保护的统一立法。
二 疫情防控中个人信息的收集
疫情防控的前提条件是有效掌握疫情信息,只有获取足够的信息,才能针对疫情防控作出精准的决策和实施正确的措施。考虑到CoviD-19疫情之严重性、危害性、区域性,其应属于特别重大突发公共卫生事件。针对疫情信息的收集以及处理使用,《突发事件应对法》《传染病防治法》等法律法规对其进行了相应的规定。
对个人信息进行收集的时候,首先应当明确个人信息和个人数据之间的不同。个人信息一般是能够反映个人情况的特定相关信息。《个人资料保护纲领》是保护个人信息最早的国际规范,该规范中对个人信息的概念进行了明确,认为个人信息和其他信息的区别就在于个人信息能够识别主体作为唯一主体[1]。王利明教授所认为的个人信息是指与特定个人相关联,反映个体特征的具有可识别性的复合系统,包括个人身份、工作、家庭、财产、健康等各方面的信息[2]。个人信息与个人数据之间的关系随着计算机技术的发展呈现“模糊发展”的趋势,在法国、德国、英国、芬兰等国家,对于个人信息方面的保护均用“数据”代替“信息”。但个人数据与个人信息是两个不同的概念。个人信息的外延相对个人数据就明显大得多,数据仅仅是信息表达的方式之一,信息并不仅仅是通过电子数据这一种途径进行传播。同时个人数据依赖于计算机存在,其具有虚拟性,而个人信息具有客观性,其是自然人身上客观存在的能使他人被识别的信息。计算机技术的发达增加了个人信息在网上的曝光率,与个人信息相关的数据权益更容易被他人所侵犯。网络数据是信息的载体之一,网络数据要通过对信息的整合和处理才能精确出来,同时要想确保信息的安全,数据以及所寄生系统的安全性就是其要考虑的重要因素。所以就网络数据与个人信息之间来说,两者又是互相联系的。但为了给个人信息以更好的保护,所以有必要将两者区别开来,区别于网络安全和信息安全,不能简单地用保护网络数据的一套来保护个人信息。
其次,个人信息的收集应当先征得信息所有者的同意,但是对于该原则性的处理方法是否应当存在例外?《民法总则》第111条与《网络安全法》第41条规定信息控制者在收集和使用个人信息时,应当征得被收集者的同意。由此可以看出,个人信息收集遵循的最基本原则是双方合意,即首先适用《合同法》中的规定,个人信息的收集在非经他人同意的情况下,不得非法收集。在新冠肺炎流行的过程中,部分新闻媒体在未经他人同意的情况下对武汉人员信息进行直接披露,在微信群或者朋友圈中对武汉人或感染人群进行信息共享的行为,这对他人个人信息权益造成了严重损害。网络时代中的数据共享的出现对个人信息中的合意原则提出了更严峻的挑战。对于信息收集者而言,数据共享实际上是信息收集者将其所收集的信息进行再次流转,可以是针对特定人也可以针对不特定的人[3]。然而就是数据共享中再次分享的过程,让其他信息收集者在没有得到他人同意的情况下,也可以非法利用他人信息。个人信息权是自然人依法对其本人资料信息所享有的支配并排除他人侵害的人格权[4]。个人信息为信息主体所享有,具有专属性和强烈的私人性特征[5]。为了保护个人信息,首先应当在收集环节严格遵守双方合意原则,以信息所属人同意为前提条件。但根据《传染病防治法》中对卫生行政部门、疾控中心、医疗机构收集个人信息的特别规定,可知考虑到疫情防控的必要性,上述主体可以在没有经过他人同意的前提下对他人信息进行收集,这显然与《民法总则》中规定的知情同意权存在冲突。但《民法总则》中所规范的是平等主体之间的民事法律关系,私人利益是其保护的重点。而《传染病防治法》《突发公共卫生事件应急条例》等卫生法律法规的基本目标是为了对疫情进行预防和控制,应对突发公共卫生事件,保护公共健康利益,规制卫生行政部门、疾控中心和医疗机构对确诊者、疑似者、密切接触者等重点人群的个人信息采集收集行为。《传染病防治法》相对《民法总则》来说,在疫情防控中收集个人信息系公法规范,尽管个人信息具有强烈的私人性特征,但是在公共利益与私人利益存在冲突的情况下,个人权益应当让渡于公共利益。紧急情况下需要利用个人信息时,卫生行政部门、疾控中心可以依照法律规定或授权对个人信息进行收集,并不需要征得信息主体同意,而且应当告知信息主体必须如实提供个人信息,如果虚报、隐瞒个人信息导致疫情扩散、传播,则应承担法律责任,严重的还要承担刑事责任。
最后,疫情期间个人信息收集的主体及其责任。《传染病防治法》第12条为其提供了法律依据。该法条规定单位和个人必须接受疾控机构、医疗机构有关传染病的调查、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。在此过程中,疾控机构、医疗机构不得对其中涉及个人隐私的有关信息、资料进行泄露。如果卫生行政部门以及其他有关部门、疾控机构和医疗机构所实施的措施违法,单位和个人合法权益造成损害的,受损的单位和个人可以依法申请行政复议或提起诉讼。可见在疫情防控中,除企业组织、员工个人可依照合意原则对个人信息进行收集之外,疾控中心、医疗机构和卫生健康行政管理部门以及其他有关部门可以对个人信息进行收集。疫情防控应当严格遵守习近平总书记的重要讲话精神,进行依法防控。这些主体作为把握疫情全局的主体,其对疫情的收集应当更为严肃认真,严格依照法律的规定进行收集。在突发公共卫生事件的特殊时期,个人信息收集应坚持“合法、正当、必要”的原则,在收集他人信息的同时,应当同时保证他人的知情权,对收集的信息进行适当的公布,但也应当遵循最小比例原则,对于其中的敏感信息③不得随意公布。对于收集的信息予以公布,应当坚持“谁收集,谁公布”,同时为了保证收集信息的安全,应当明确“谁收集,谁负责”,为个人信息的收集提供更好的程序保障。
三 疫情防控中个人信息的处理
个人信息的处理包括个人信息的使用、加工、公布、传输等。“理性人”理念为现行的个人信息保护法律规范提供了指引,其强调个人信息主体的自主支配和自我责任[6]。但是在疫情期间,考虑到疫情的突发性和紧迫性,所以为了更及时地保护公共利益,需要对特殊时期的个人信息处理作出特别规定。因此,在这主要针对国家机关、疾病控制中心、医疗机构等其他主体在特殊时期应当如何对收集到的个人信息进行处理利用。
首先,国家机关对个人信息的处理。疫情防控期间,国家机关中发挥关键作用的主要是各级卫生行政部门和各级人民政府。在CoviD-19疫情中,国家机关实施了一系列公共卫生应急措施,其中包括运用大数据分析、住户排查、流动人口登记,收集确诊、疑似、发热患者、密切接触者、流动人口的个人信息。在此过程中,由于国家机关身份的特殊性,所以其更应当谨慎处理个人信息。《传染病防治法》中规定卫生行政部门可以出于传染病防控的需要,采取包括个人信息在内的传染病信息收集和处理。《传染病防治法》《突发事件应对法》《突发公共卫生事件应急条例》等法律法规中对各级政府机关在疾病防控中的职责进行了规定,在遵从统一领导原则下同时奉行属地原则要求。正如上面所论述的,各级卫生行政部门和各级人民政府只能出于维护公共利益的目的对个人信息进行利用。由于个人信息内容的多样化,上述主体在使用个人信息时,应当对个人信息进行加工处理,将其中的敏感信息分离出来,不得超出与其所实施疫情防控措施相对应的范围,实现敏感信息保护和一般信息使用之间的平衡[7]。作为国家机关,保障人民合法权益是其首要目的,在使用个人信息的过程中,考虑到公共利益概念的模糊性,而且为了稳定疫情期间的人心,所以有必要由专门的职能部门对信息使用状况进行及时公布,以保障信息所属者及其他相关人员的知情权,确保疫情防控工作的顺利进行。
其次,疾病控制机构、医疗机构对个人信息的处理利用。在CoviD-19重大突发卫生事件中,疾病控制机构和医疗机构这两个主体发挥了重要的作用。其中疾病控制中心是由政府举办的实施疾病预防控制与公共卫生技术管理和服务的公益事业单位,其使命主要是通过对疾病的预防控制,保障人民健康和维护社会稳定。医疗机构因其分类不同,其所具有的性质也不同,但是都或多或少具有盈利性。《传染病防治法》第17条、第18条规定各级疾病预防控制机构有权对传染病发生、流行以及影响其发生、流行的因素,进行监测。该法同样也规定医疗机构可以在各级卫生行政部门或疾病预防控制机构的指导下实施疾病预防控制措施。两者在实施疾病预防控制措施的过程中,必然会涉及到对例如病患的姓名、家庭详细住址、行程轨迹、接触人员、等个人信息的使用。两者在使用他人个人信息时,应当严格保证信息的安全,不得私自对与疫情相关的个人信息进行公布和分享。在疫情防控的过程中所获悉的与疾病控制密切相关的信息,应当遵循疫情报告属地管理原则,及时上报各级卫生行政部门和各级政府机关。
最后,不管是企业组织、员工个人、医疗机构还是国家机关,在对他人信息进行处理使用的时候,都需严格遵守最小比例原则,将使用范围控制在使用目的所必需的范围内。同时注意对他人个人信息的保护,采取恰当的保护措施。对于没有实施安全到位的措施致使信息泄露的,应当承担相应的民事责任甚至刑事责任。对他人信息利用完之后,应当在他人同意的前提下进行封存或者进行销毁,以保障当事人的个人信息权。
四 个人信息保护立法的建议
对于任何国家、政府、部门、各行各业来说,个人信息都必须十分重视,其更是一个国家所不容忽视的国家安全战略。在发生突发事件这样的特殊时期,更应当确保个人信息收集的真实和完整。针对CoviD-19疫情爆发流行引发的特别重大突发公共卫生事件应急措施中对个人信息收集处理所存在的问题,个人信息保护制度仍需要完善。
首先,网络数据规制不能代替个人信息的保护。个人信息经过计算机处理在电脑上呈现出来就成为了电子数据,信息通过数据形式生成、传播和储存,目前我国对于网络数据的安全,主要是通过《网络安全法》来进行规制。但是正如上面所论述的个人数据与个人信息之间是不同的,数据缺乏特定性和独立性,其交易受制于信息的内容,其价值的实现也依赖于数据安全[8]。而个人信息尽管具有较强的人身依附性,但是其仍然能够独立于主体之外,被他人进行利用,从而具有财产性。从《网络安全法》第1条可知该法的制定目的更多偏向于对网络安全、数据安全的保护,其忽略了从个人信息独有的特征出发进行考虑,更多的坚持网络安全与信息化发展并重。目前非法买卖个人信息系已成为新兴产业,对于个人信息的侵害并不仅仅只限于网络这一种途径,然而对其他途径造成的个人信息损害并未有具体规定,这为我们以后的个人信息保护留下了隐患。尽管在很多国家和地区都趋向于将“信息”和“数据”两个概念等同来加以使用,但我们应该要注意两者的不同,给个人信息更全面、统一的保护,网络数据的规制并不能代替个人信息保护的立法。
其次,公开透明原则与比例原则的协调。个人信息与政府信息存在显著不同,政府信息的公开是政府机关的职责所在,但是个人信息却因为其关系到个人隐私问题,所以一旦个人信息被滥用,将会给他人的经济、精神和财产等方面带来损失,所以其不能随便进行公开。但正如学者姜盼盼所说的,个人信息兼具个人利益和公共利益双重属性[9],在涉及到公共事件处理的同时,需要对个人信息进行公布。公开透明的程序才能更好地保障公民的知情权,加强信息主体对自己信息的控制权,即决定启动或停止个人和组织收集自己的信息[10]。个人信息保护制度要求或提倡个人信息收集的公开透明,以保证个人信息不会被秘密收集,同时为了保证信息不被过度收集、过度处理与过度储存,收集利用主体应当坚持比例原则,正如2020年2月4日中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作》通知,即要求疫情期间收集他人信息应当坚持最少收集原则,只能对疫情防控所必需的信息进行收集,而且个人信息的储存期限不能超过必要时限。
再次,坚持个人信息安全管理原则。对个人信息进行完收集和利用的同时,应当加强对个人信息的安全管理,在利用个人信息的时候,考虑到信息统计的必要性,应当加强对个人信息的保护。《传染病防治法》《突发事件应对法》《突发公共卫生事件条例》中对国家机关、疾控中心、医疗机构等征集和利用他人个人信息的责任进行了简要规定,尽管这些主体在收集和利用个人信息时并不要求严格征得他人同意但也要求对收集的信息进行安全管理。其他主体在处理使用他人个人信息应当征得他人的同意,对此双方可以按照双方契约中所规定的那样对个人信息进行安全管理。明确了何人在何种情况下可以使用个人信息,同时应明确个人信息如何进行安全管理。信息的安全管理首先应当伴随着信息控制者的责任制度,对个人信息主体对所受损失应如何救济进行规定,建立以赔偿责任为核心的信息控制者责任[11]。
最后,《个人信息保护法》的制定应当以私权为中心并且兼顾公共利益。我国《宪法》第40条对公民信息权作了根本性的规定,另外对于个人信息的保护其他法律也进行了重要的规定,这些规定构成了我国个人信息保护体系。但是纵观目前我国对于个人信息的保护,其被零散地规定在各个法律法规中,缺乏系统性,这在一定程度上削弱了对个人信息的法律保护力度。全球将近90多个国家和地区对个人信息的保护制定了相关法律和规定,同时伴随着计算机技术的不断发展,相应的法律法规也在不断完善。德国是最早通过隐私保护法的国家,其对泄露个人信息的行为惩罚格外严厉,特别是数据保护专员制度对个人信息保护起到了非常大的作用[12]。美国在个人信息方面的保护,尽管没有设立专门的个人信息保护法,但在该国的《隐私法》中对个人信息保护都做了详细的规定,对政府部门收集、使用和披露个人信息的方式以及信息主体的权利义务都做了详细规定。较之于国外完善的个人信息保护制度,我国在这方面的制度尚存在不足,个人信息的保护缺乏专门的法律,对平常的保护和特殊时期的保护仅仅进行了抽象的规定,这显然保护力度不够,仍需要制定专门的《个人信息保护法》进行规制。个人信息权具有私人属性,信息使用主体对信息的收集权力是来源于个人对其权利的让渡,所以尽管个人信息具有双重属性,但制定个人信息保护法的首要目的应是保护自然人的个人信息权,其应当坚持以私权为中心,同时兼顾其公益性。
五 结 语
CoviD-19疫情爆发流行引发的特别重大突发公共卫生事件应急措施中对个人信息收集利用发挥了非常重要作用,但也存在着一定的对个人信息保护不力,侵害个人信息利益的问题。个人信息和网络数据是两个不同的概念,但也有相通之处,只有认识到两者的不同,正确认识个人信息的属性,才能更好地保护个人信息。计算机技术的大数据分析,使个人信息被侵害的可能性增大,其随时有可能受到来自各方的侵害,正所谓有侵害才有需要保护的余地,为了确保各个主体对个人信息收集使用的合法性,将个人信息的保护限定在法律层面,完善个人信息法律保护制度,促使《个人信息保护法》早日出台。
注释:
①《国家突发公共卫生事件应急预案》1.3中对突发公共卫生事件进行分级,其根据突发公共卫生事件性质、危害程度、涉及范围,突发公共卫生事件划分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)和一般(Ⅳ级)四级。
②《中华人民共和国网络安全法》第76条(五)以及《中华人民共和国民法典》(草案)第1034条。
③我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》中将个人信息分为敏感信息和一般信息,其规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。