国浩分享 | 疫情防控下的个人信息保护与利用
背景:面对由新型冠状病毒引起的突发疫情,举国上下众志成城,共克时艰。然而,在强烈的疫情防控需求下,一些不当行为对公民的个人信息安全造成了危害。2020年1月27日,江西宜丰县两名干部因泄露湖北返乡人员名单被政务立案;1月30日,湖南一区卫生局副局长泄露患者隐私被立案调查;1月31日,贵州省毕节市大方县委办三名干部因扩散泄露一名疑似新型冠状病毒患者及其家人信息被立案调查。一例例政务失职虽已浮出水面,而水面之下,还有许许多多份名单在各个微信群及其他社交平台中肆意传播,所涉人员包括武汉返乡人员、确诊病人、疑似病人、密切接触者等等,他们的身份证号、家庭住址、手机号等隐私信息在名单中一览无遗。伴随大规模个人信息泄露而来的,是对涉疫人员甚至无关人员的人身攻击和无端歧视,也给电信网络诈骗、盗窃、敲诈勒索等不法活动埋下巨大隐患。对此,我们有必要思考:疫情之下,哪些信息属于应受保护的个人信息?哪些主体有权收集和公开公民个人信息?个人信息让步于公共卫生利益的边界在何处?违法公开和传播公民个人信息应当承担怎样的法律责任?公民个人信息遭受侵犯应如何寻求救济?
一、个人信息的界定
《民法总则》第一百一十一条规定“自然人的个人信息受法律保护”,但对于个人信息的定义及范围未予明确。
《网络安全法》第七十六条规定“本法下列用语的含义:(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
国家质量监督检验检疫总局和国家标准化管理委员会联合发布的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》将个人信息定义为“以电子或以其他方式记录的能够单独与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,包括“姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。在个人信息的基础上,该国家标准新增“个人敏感信息”概念,即“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息”。
现行法律及相关规定对于个人信息的定义体现了共同的判断标准,即通过相关信息能否确定特定自然人的身份。在此次疫情的特殊情境下,武汉返乡人员及其他涉疫人员的个人信息的泄露、非法提供或滥用可能直接导致其遭受某种负面社会评价,甚至受到更为严重的不法行为的侵害。因此,对于前述人员的个人信息,应当上升为GB/T 35273-2017《信息安全技术个人信息安全规范》规定的“个人敏感信息”予以保护,其中,为了防止危害人身和财产安全的行为发生,尤其需要保障个人身份证号码、手机号码和住址等信息的私密性。
二、疫情防控下调查、收集和公开个人信息的合法性基础
(一) 公共利益与个人利益冲突的价值取舍
本次新冠病毒具有“人传人”的特征,传播的途径包括飞沫传播和接触传播。鉴于此,以“人”作为突破口开展防控工作,实有必要。卫生行政部门及相关部门需要尽快通过政府间信息共享和走访排查等途径,寻找确定病毒携带者、疑似携带者及密切接触者等涉疫人员,控制传染源;社会民众则需要通过获知涉疫人员的相关信息,判断自己是否存在感染病毒的可能,了解自我防护过程中的风险。疫情形势复杂严峻,防控任务紧张艰巨,对涉疫人员信息调查和采集可能会触及个人信息权益,由此就产生了疫情防控需要与个人信息保护的冲突,这在本质上属于公共利益与个人利益的冲突。对此,我国《宪法》第五十一条规定“中华人民共和国公民在行使自由和权利的时候,不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”这意味着个人的自由和权利存在着法定的内在制约,在特定时间和特定环境下须让步于公共利益。面对疫情下无数公众的生命健康权益和防控的迫切需求,涉疫人员应当容忍一定程度的个人信息收集与公开。
(二) 调查、收集和公开个人信息的法律依据
面对突发的疫情,调查、收集和公开涉疫人员的信息是一项极为紧急的任务。根据《传染病防治法》第十二条[注1]、第三十三条[注2],卫生行政部门及相关部门、疾病预防控制机构、医疗机构有权在发现传染病疫情后进行信息调查收集。根据《突发事件应对法》第三十八条[注3]、《突发公共卫生事件应急条例》第二十一条[注4]、第三十六条[注5]、第四十条[注6],国务院卫生行政主管部门或者其他有关部门指定的专业机构、单位和个人以及街道、乡镇、居民委员会、村民委员会也有权进行疫情信息的采集。
基于防疫的迫切需要,对于涉疫人员信息的公开如若需提前征求每位人员的同意,将会使防疫工作陷入困境。根据《政府信息公开条例》第十五条规定“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”,出于疫情防控目的必须公开的涉疫人员信息,即使未经当事人同意,也可以依法在合理限度内予以公开。GB/T 35273-2017《信息安全技术个人信息安全规范》第5.4条也明确“与公共安全、公共卫生、重大公共利益直接相关的,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。”此外,浙江高级人民法院于2020年2月10日出台《关于规范涉新冠肺炎疫情相关民事法律纠纷的实施意见(试行)》,规定“社区等基层组织、医疗卫生机构、新闻宣传机构基于疫情防控需要,根据相关规定和防控举措要求,依法采集、公布相关人员等信息,相关人员提起隐私权、名誉权等诉讼的,一般不予支持。”从司法裁判层面支持了新冠肺炎疫情期间相关机构出于防控疫情之目的依法采集、公布相关人员信息的合法性。
三、公民个人信息让步于公共卫生利益的边界
疫情防控中对涉疫人员信息的利用有价值选择上的优先性,也有法律法规赋予的合法性,但并非没有边界。根据《突发事件应对法》第十一条“有关人民政府及其部门采取的应对突发事件的措施,应当与突发事件可能造成的社会危害的性质、程度和范围相适应;有多种措施可供选择的,应当选择有利于最大程度地保护公民、法人和其他组织权益的措施。”对于涉疫人员个人信息的采集和公布应当把控在合理的尺度内,且相关机构和部门应当做好个人信息的保密工作。目前发生的一系列武汉返乡人员信息泄露事件,本质上是个别机构、部门及其工作人员的违法失职行为,应追究相应责任。从日常生活经验可判断,对于确诊病人和疑似病人所在地的公众,只需公布确诊病人和疑似病人的大致居住区域及轨迹即可提供足够的预防提示,与身份紧密相关的信息如年龄、身份证号码和家庭住址,已经超出疫情防控目的的需要,此类信息的传播无疑是对相关人员个人信息和隐私权的不当侵犯。
2020年2月4日,国家网信办出台《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,对如何在疫情防控中兼顾个人信息的保护与利用进行了明确。该通知规定,有权收集使用个人信息的主体范围限于国务院卫生健康部门依《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构和法律、行政法规授权的其他单位和个人,(第1条)[注7],信息收集对象的范围原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群(第2条)[注8],为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外(第3条)。该通知有针对性地回应了近日发生的涉疫人员信息泄露问题,明确了与身份紧密相关的个人敏感信息的公开必须经过被收集者的同意,同时兼顾疫情防控需要设置了“脱敏处理”的同意例外,对此可理解为通过去标识化手段进行匿名处理,这也是目前疫情防控中应用最广泛的措施。
近日,相关部门指导企业开发设计的多款大数据查询工具,为支撑防控工作同时保护涉疫人员个人信息发挥了良好的作用,例如患者同乘查询、周边疫情实时查询、密切接触者自主查询、确诊及疑似人员涉足地点公示等等,均可较为精准地供社会公众自查是否存在感染疫情的可能。
四、违法公开、传播个人信息的法律责任
传染病疫情期间,任何组织和个人需要获取他人个人信息,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。侵犯公民个人信息的,应当根据《民法总则》第一百七十九条承担民事责任。若泄露公民个人信息的行为达到入罪的情节标准,应当根据《刑法》第二百五十三条[注9]承担刑事责任。根据其他法律法规,违法公开、传播个人信息还应承担以下法律责任:
(一) 政府部门及相关机构
根据《传染病防治法》第十二条,疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。根据该法第六十八条, 疾病预防控制机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任。
根据《执业医师法》第三十七条,医师在执业活动中,泄露患者隐私,造成严重后果的,由县级以上人民政府卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动;情节严重的,吊销其执业证书;构成犯罪的,依法追究刑事责任。
根据《侵权责任法》第六十二条,医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。
根据《居民身份证法》第十九条,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。单位有前款行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关对其直接负责的主管人员和其他直接责任人员,处十日以上十五日以下拘留,并处十万元以上五十万元以下罚款,有违法所得的,没收违法所得。有前两款行为,对他人造成损害的,依法承担民事责任。
(二) 未经授权的单位和个人
根据《治安管理处罚法》第四十二条,偷窥、偷拍、窃听、散布他人隐私的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。2020年1月29日,山西晋城市陈某收到身为医护人员的家人发来的一名发热患者个人及病历信息的图片后,随即将图片发至微信群,误导网民以涉疫病例大量转发,被依法处以行政拘留十日。
根据《网络安全法》第六十四条, 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
五、公民个人信息遭受侵犯的救济途径
疫情期间,若公民的个人信息受到有关机构或人员或的侵犯,有以下几种救济方式:
(一) 要求网络服务提供者删除或屏蔽相关信息
若个人信息通过网络平台扩散,被侵权者有权根据《侵权责任法》第三十六条[注10]规定,要求网络服务提供者采取删除、屏蔽、断开链接等必要措施,清除传播中的信息文件,防止个人敏感信息的进一步泄露。
(二) 向人民法院起诉
若能确定违法公开、传播个人敏感信息的行为人,被侵权者可以其为被告向人民法院提起诉讼。需注意的是,若个人敏感信息经网络传播,网络服务提供者未根据被侵权者的要求及时采取删除、屏蔽、断开链接等必要措施,导致损害扩大的,可将网络服务提供者列为共同被告;若个人敏感信息经由微信群传播,微信群主对群内违法公开他人个人敏感信息的行为未尽监管审查义务的,也可列为共同被告。
(三) 向公安机关报案
若他人违法公开、传播个人敏感信息,已经产生对被侵权者正常生活及身心健康造成损害、社会影响恶劣等严重后果,被侵权者可以向公安机关报案。若公安机关不予立案,还可以向人民法院提起自诉。
(四) 向有关政府部门举报
若个人敏感信息经由疾病防控机构、医疗机构或其他机构工作人员传播扩散,被侵权者可根据《传染病防治法》第十二条规定,向有关人民政府卫生行政部门举报,要求依法处理。
在这场与疫情的对抗中,我们既要维护好疫情防控下的公共利益,也要保护好公民的个人信息权益。涉疫人员有义务积极配合相关部门,及时并如实提供自己的个人信息及健康状况;相关部门及其工作人员有责任采取保密措施,保护涉疫人员的个人信息安全;社会公众有义务尊重涉疫人员的隐私,切勿实施侵犯他人个人信息的不法行为。只有如此,才能实现疫情防控工作与个人信息保护的利益平衡。
注释:
[1]《传染病防治法》第十二条 在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。
卫生行政部门以及其他有关部门、疾病预防控制机构和医疗机构因违法实施行政管理或者预防、控制措施,侵犯单位和个人合法权益的,有关单位和个人可以依法申请行政复议或者提起诉讼。
[2] 第三十三条 疾病预防控制机构应当主动收集、分析、调查、核实传染病疫情信息。接到甲类、乙类传染病疫情报告或者发现传染病暴发、流行时,应当立即报告当地卫生行政部门,由当地卫生行政部门立即报告当地人民政府,同时报告上级卫生行政部门和国务院卫生行政部门。
疾病预防控制机构应当设立或者指定专门的部门、人员负责传染病疫情信息管理工作,及时对疫情报告进行核实、分析。
[3]《突发事件应对法》 第三十八条 县级以上人民政府及其有关部门、专业机构应当通过多种途径收集突发事件信息。
县级人民政府应当在居民委员会、村民委员会和有关单位建立专职或者兼职信息报告员制度。
获悉突发事件信息的公民、法人或者其他组织,应当立即向所在地人民政府、有关主管部门或者指定的专业机构报告。
[4]《突发公共卫生事件应急条例》第二十一条 任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。
[5] 第三十六条 国务院卫生行政主管部门或者其他有关部门指定的专业技术机构,有权进入突发事件现场进行调查、采样、技术分析和检验,对地方突发事件的应急处理工作进行技术指导,有关单位和个人应当予以配合;任何单位和个人不得以任何理由予以拒绝。
[6] 第四十条 传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。
[7] 第1条 各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
[8] 第2条 收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。
[9]《刑法》第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
[10] 《侵权责任法》第三十六条 网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。
网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
作者简介
何 桑
国浩福州办公室律师助理
业务领域:合同纠纷、常年法律顾问
相关阅读
关注并进入“国浩律师事务所”公众号,后台回复关键词“战疫”,即可了解更多相关资讯和原创文章。
【 本文为作者原创,如需转载请通过留言方式联系本公众号运营者,谢谢!】