国家互联网应急中心:张奕欣 吕欣润 卓子寒
北京德恒律师事务所:王一楠
近期,在全国齐心协力共同抗击新型冠状病毒疫情的工作过程中,排查上报涉疫人员的个人信息有效地帮助了卫生监督机构及时掌握情况,避免疫情进一步升级扩散。然而,与此同时,确诊患者、疑似患者、密切接触者、武汉旅游、居住和接触史的人员,乃至全民的个人信息安全也面临更大挑战。
本文拟从疫情期间已发生的个人信息场景展开,就公共利益与个人信息保护之间的关系、个人信息保护准则、具体法律要求等方面进行初步讨论,最后提出几点工作建议,以期划定合理的个人信息保护与利用的界限。
一、防疫中涉及到的的个人信息场景
随着各地防疫措施的不断加强,目前疫情已得到了有效阻断,在此过程中出现了多起涉及个人信息的场景,引发公众关注和热议。
场景一:信息采集主体广泛
在防疫期间,不仅医疗机构、居民委员会、学校,甚至社区、小区物业、超市商场等都要求登记个人信息。例如,某市上线了商场超市入场人员信息登记系统,要求市民在进入商场超市前通过手机扫一扫场所公示的二维码,将第三方支付App认证过的人员姓名、身份证号、电话号码等个人信息自动保存到系统当中。
场景二:涉及到的涉疫人员广
为了帮助市民及时预防传染,多地政府开始公开确诊病例的活动场所。例如,有的地方政府要求社区公开辖区内“四类”人员(新冠肺炎确诊、疑似、无法明确排除的发热患者、密切接触者)的分布情况,具体到哪座楼栋、几单元,甚至细化到楼层和门牌号,以及属于四类中的哪一类。
场景三:涉及重点人群的敏感信息
多地武汉返乡人员配合政府调查后发现自己的个人信息遭到不同程度的泄露。例如,某大学生在一月初从武汉返回老家后,开始自我隔离,但没想到,半个月后,连同该大学生在内的共一千多个人的个人信息表格转遍了全市人民的微信群,内容包括姓名、身份证、户籍地址、家庭住址、个人电话号码等一应俱全。很多有过相同遭遇的人反映被陌生人通过电话、添加微信好友等方式骚扰、谩骂。其中,身份证、个人电话号码等信息均属于个人敏感信息(《信息安全技术个人信息安全规范》(GBT 35273-2017))。
二、防疫工作中保护个人信息的准则
在防疫工作中,针对以上相关场景如何合理利用个人信息对疫情进行精准防控,明确防疫工作中保护个人信息的准则,是开展“依法防控”的前提。
1、权衡公共利益与个人信息保护的界限
针对上述事件和场景引发关于个人信息保护的讨论和忧虑,很多人认为是小题大做。其理由是涉疫人员很有可能携带病毒,会给周边居民或社会带来严重危害,无论是采集或公开这些“威胁者”信息都是为了阻断病毒传播,维护公共利益。在疫情严峻情况下,个人权利即使在一定程度上受到损害,也应当让位于公共利益,进行适当克减。
如何平衡公共利益与个人权利之间的关系是个永恒的话题。特别在突发性公共卫生事件爆发的时候,这个话题就尤为重要,因为此时公共利益的地位显而易见,而个人权利往往更加容易被人忽视。2003年SARS流行期间,就存在擅自扩大强制隔离对象范围的情况,而且采取强制措施的流程也缺乏规范,对被强制隔离者存在不公平待遇。当时,还存在新闻采访中过度曝光患者的姓名、相貌、职业、电话等个人信息的情况,引发很多骚扰事件,给患者带来巨大痛苦。
在个人信息保护方面,著名民法学家、中国人民大学常务副校长王利明教授说过“公共利益是一个宽泛的概念,我们认为,为了公共利益搜集、共享个人信息的具体情形,法律规定要写清楚,才能更为严格的保护个人信息。”实际上,个人权利与公共利益存在一个内在统一关系。例如,大范围的个人信息泄露可能引发公众的恐慌和政府信任的减损,导致的直接后果就是涉疫人员出于本能反应隐瞒籍贯、行程或者发热、咳嗽等症状,以期得到更加人道的对待,反而会影响防疫工作,进而产生对公共安全的严重威胁。
2、监督各部门按法定职责依法防控
在2020年2月5日召开的中央全面依法治国委员会第三次会议上,习近平总书记强调,疫情防控越是到最吃劲的时候,越要坚持依法防控,在法治轨道上统筹推进各项防控工作,保障疫情防控工作顺利开展。
法律本身实质上就是公共利益与个人权利博弈的结果。根据《中华人民共和国网络安全法》(“网络安全法”)等规定,个人信息的收集需要事先取得被收集者同意。不过,《中华人民共和国传染病防治法》(“传染病防治法”)和《突发公共卫生事件应急条例》的相关条款赋予了有关部门和机构出于疾病防控目的特殊权利,即无需经过事前同意而收集与疫情有关的个人信息的权利,这实际上就是为了维护公共利益而对行使个人信息权利进行的限制。
不过,当个人权利让位给公共利益,公权力被赋予强大力量去干预个人权利时,个人权利更容易受到忽视,甚至侵害。例如,在武汉返乡人员个人信息泄露事件中,很多当事人事发后向派出所、卫健委和社区等部门反映和举报,但鲜有积极反馈,甚至当事人被认为“过于敏感”。这时候就更为需要完善法律来有效地平衡各种利益之间的矛盾,保护个人权利免受侵害。当个人权利得到合理尊重和合法维护时,每个公民才能更加自觉主动地参与到全民抗疫的公共卫生事业中来,疫情防控工作顺利开展也就有了更强大的群众基础和保障。
3、披露个人信息涉及到的具体法律要求
中央网络安全和信息化委员会办公室于2020年2月4日发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(“通知”),提醒各级政府在防疫工作中要高度重视个人信息保护。这个《通知》及时为“依法防控”工作中如何做好个人信息保护提出指导性意见,包括:信息收集主体依法授权、收集过程中坚持最小范围原则、收集信息用途不得滥用、信息保存要防止泄露等。下文将针对其中涉及的要点进行讨论:
a. 收集主体依法授权
《通知》第1条规定,“除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。”
如前文所述,《传染病防治法》和《突发公共卫生事件应急条例》授予特定政府机关(特别是疾病预防控制机构)收集个人信息的权利。然而,街道和居民委员会是否也在授权范围内呢?根据《传染病防治法》第七条规定,“城市社区和农村基层医疗机构在疾病预防控制机构的指导下,承担城市社区、农村基层相应的传染病防治工作。”此外,根据《突发公共卫生事件应急条例》第四十条规定,“传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作。”由此可见,街道和居民委员会等类似基层组织也在授权范围内。
除上述机构外,其他商业机构、行业协会、公益组织等未经同意收集个人信息缺乏有效的法律依据。
b. 最小范围原则
《通知》第2条规定,“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。”
“最小范围原则”在《网络安全法》第41条有体现,即收集和使用个人信息时,“应当遵循合法、正当、必要的原则”,并且“不得收集与其提供的服务无关的个人信息”。国家标准《个人信息安全规范》(GB/T 35273-2017)以及该规范的最新征求意见稿的第5.2条对该原则做进一步解释:“收集的个人信息类型应与实现产品或服务的业务功能有直接关联”。
由此可见,在现在的防疫形势下,“确诊者、疑似者、密切接触者”符合“直接关联”标准,属于信息收集的对象,但仅仅拥有武汉或者湖北户籍显然与该原则冲突。
c. 禁止信息滥用
《通知》第3条规定,“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。”
可见,即使收集主体依法授权,且收集过程中做到了“最小范围原则”,在信息使用阶段也不得滥用。基于疫情防控目的收集的个人信息,如果拟用于其他目的,比如商业画像、人口统计、大数据营销等,应当取得被收集人同意。
至于个人信息的公开和分享,《网络安全法》第42条与《通知》第3条规定基本一致,即“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
d. 安全保护义务
《通知》第4条规定,“收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。”
《网络安全法》第42条规定的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”与《网络安全法》上述条款不同的是,《通知》第4条更强调“严格的管理。”我们认为现在收集个人信息的很多主体是疾病预防控制机构,直至街道或居民委员会,这些主体可能不具备一般网络运营者的技术防护能力,因此“严格的管理”就显得更加重要。
需要注意的是,《网络安全法》第42条还提出了在泄露事件后的“补救”、“告知”、“报告”义务,即“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
三、如何做好个人信息保护的几点建议
为提高各级部门在防疫工作中的个人信息保护水平,本文提出如下几点建议:
1. 安全控制:传输相关个人信息文件时,应确认接收方是否是有权获取数据的机构或个人,需采取加密传输的措施,比如使用端到端数据加密传输产品,设置文件过期时间、打开次数限制,或者进行权限控制等。
2. 公私分离:鼓励工作人员通过专用的办公软件和设备对个人信息数据进行传输和处理,尽量避免信息发布渠道与工作人员的社交圈发生交叉,实行“谁传输谁负责”的责任工作制,降低个人信息泄露风险。
3. 安全存储:数据保存最好做到制度化,做好网络技术和物理环境上的保护措施。设立专职个人信息保护责任人,纸质版文档应指定专人保管,对使用个人信息的人员应做好记录并实时更新。
4. 宣传教育:上文的信息泄露事件暴露出很多工作人员的个人信息保护意识淡薄,对个人信息泄露造成的危害认识不清。建议各级部门开展宣传教育工作,普及信息网络安全和法律知识,提高风险和责任意识。
四、结语
现在抗疫工作已经进入攻坚战阶段,一手要做好疫情防控,一边要保障复工复产。如果个人信息保护工作不到位,各地返乡人员(特别是来自疫源地),可能会担心自己的信息泄露,拒绝乃至躲避申报正常防疫所需的信息,导致防疫工作出现漏洞,严重影响疫情的防控。因此,在此次疫情防控工作中参与个人信息收集、使用、保存等部门、机构或个人应该严格遵守法律法规的规定,坚持“依法防控”,这是疫情下个人信息保护的底线,也是取得抗疫“战役”最后胜利的重要保证。
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。