【数据法学】赵宏:数据抗疫中的患者信息披露与隐私保护
B D A I L C
欢 迎 关 注
吉田博
数据抗疫中的患者信息披露与隐私保护
文 / 中国政法大学法学院教授 赵宏
一
新冠病毒蔓延数月,抗疫形势依旧严峻。相比十七年的SARS,对个人数据进行广泛收集、整理和排查成为此次政府抗疫工作的重要一环。这些举措符合数据时代对公共治理的全新要求,也在很大程度上提升了抗疫工作的针对性和实效性。
在前期因为信息公开延宕而广受公众批评后,现阶段的各级政府都在相当程度上提升了对信息公开的重视,尤其是对于收集整理的疫情数据,都会通过相关渠道及时向公众发布,提示其提前预防、避免感染。
在这些政府向公众发布的疫情信息中,最初包含了确诊和疑似患者的数量、年龄、性别,后期更增加了其居住小区以及行踪轨迹。在武汉等疫情特别严重的地区,政府对信息公开的程度已经细致到由街道部署,社区进行,排查和公布“四类”人员(确诊、疑似、无法明确排除的发热患者、密切接触者)的分布情况,具体到楼栋和单元。
渐趋详尽和透明的疫情数据,在很大程度上缓解了普通公众的无端恐慌。但伴随疫情信息,尤其是患者信息被日渐详尽地披露,患者本身的隐私保护问题也开始引发关注。毕竟在疫情发展之初,因为对病毒的恐慌而引发的非理性“恐鄂”,已经使很多个体饱受污名化对待和无差别歧视。而在此过程中,文山州爆出5名医务人员利用工作便利,偷拍、散布新冠病毒患者的病程信息,具体包含姓名、家庭详细住址、工作单位、行程轨迹、接触人员、诊疗信息等信息,并通过微信转发,而被公安机关予以行政处罚的新闻。
上述涉及不同侧面的新闻都促使我们进一步思考疫情防控下患者的信息披露和隐私保护问题。
事实上,信息公开或披露和隐私保护在一般情况下就存在矛盾:公众基于知情权而要求政府普遍向其公开信息,但根据《政府信息公开条例》,“政府信息”并非只是涉及公共事务和国家政务方面的信息,而是包含政府收集、制作和掌握的所有信息,这其中当然囊括他人的数据信息。在信息公开和隐私保护之间,由此就会产生张力。
在疫情防控的背景下,普通公众要求政府公布包括患者信息在内的疫情信息,除满足其知情权外,还尤其出于生命健康权的要求。由此,信息披露和隐私保护在疫情防控这一背景下又需有特别的法益权衡与考量。
对于政府而言,上述问题又意味着,其在疫情防控中已开始广泛使用数据收集、整理和公布的举措,但这些数据处理行为从法律而言又应遵循何种规则,保持何种限度,才能使基于正当目的所进行的数据处理和信息披露不至蜕变为对公民隐私权的过度干预。
此外,在探讨抗疫中的信息披露和隐私保护问题时,还会具体涉及谁有权收集和公布患者信息的问题。毕竟在信息披露和隐私保护问题上,国家公权机关和私人主体所适用的规则并不相同,而文山州案件所曝光的医务任务偷拍患者信息并私下散布,究竟是否属于违法也要放在这个背景下去判断。
二
信息披露和隐私保护的问题在数据时代下,又常常被放在信息权的大框架进行探讨,学理和实践中也更倾向于使用“信息权”(数据权)来替代传统的隐私权。
在现代社会下,作为整体的个人信息权事实上有两部分组成:其一是不受阻隔地获取公共信息的权利,又曰知情权,这种权利主要通过政府的信息公开制度获得实现;其二是信息自决权,即公民可自我决定在何时以及在何种范围内对外公开个人生活事实。这种权利最初源于隐私权,但在数据时代下,其保护对象已不再限于个人隐私,而覆盖所有直接或间接能够对个体予以识别的数据,这也是所谓的个人信息“起步于隐私,但又不止于隐私”的意涵。
尽管传统的隐私权和现在更为通用的信息权(或数据权)的保护目标,都在于对抗他人个人信息的无度搜集、非法使用和不当储存,但二者在内容、范围和强度上还是有诸多差异。隐私权主要侧重于对私生活安宁和私生活秘密的保护,而信息权则不仅包含消极意义上的个人独处和生活秘密,还包括积极意义上个人对自身数据的控制,其保护对象覆盖所有直接或间接可以用以个人识别的数据信息。
除了保护范围明显比隐私权更宽泛外,法律实践和理论更偏向于使用信息权保护的原因还在于,信息权可以在个人数据保护和享有数据红利之间进行有效平衡。因为在传统隐私权的框架下,举凡是个人不想对外透露的信息,都会被纳入隐私范围进行绝对保护。但在数据时代下,这样的做法又不可避免地会造成个人信息的独揽和公共治理的无力。国家为避免丧失数据红利,就会审慎处理隐私的范围,隐私权保护也因此很容易就会陷入“全有或全无”的保护困局。
但信息权与隐私权不同,从这一权利从宪法理论中被确认和识别时始,其有限性而非无限性就已被强调,“即使是自身信息,个人也并不具有绝对或无限的控制。个人是在社会共同体之下发展其个性,个人信息也是社会现实的反映,而并非纯粹与个人相关……为了迫切的公共利益,个人在原则上必须接受对其信息自决权利的某种限制”。从这个意义上说,与传统隐私权的绝对保护不同,信息权的保护是相对的,“个人自治”并非其终极目标,公共利益、社会秩序等价值也同样要被纳入权利保护需考虑的范畴。
德国和欧盟的信息保护立法和实践中都相继明示,基于人口普查、实现国家防卫、经济、社会、交通警察任务的数据收集,为了法律争点判断进行的事实调查,对于公民健康危险的防卫、对抗暴动或是暴力行为、预防犯罪目的而进行的数据收集,在刑事诉讼程序中的事实调查,国家基于平等税捐等公益目的而进行的数据收集,都可以对个人的信息权进行干预。
此外,传统隐私权从其属性而言更多的是一种私权,即其目的主要是为了防堵他人对于个人的私生活秘密和私生活安宁的侵扰。但信息权却具有基本权利的属性,这也使其一方面可以对抗来自私主体的第三人对个人信息的不当干预,也能够抵御国家对个人信息的无限度搜集和不当使用。国家和政府所拥有的信息处理技术,已使其能够轻易就将个人信息予以迅速整合,并由此完整描摹出个人的私生活图像。也正是在这个意义上,将上述问题放在个人信息权的框架下讨论会更加妥当。
其实也正是受现代信息权理论的影响,现今即便隐私权概念在很多场域还被沿用,但其范围、属性也有了相应调整。在谈及“隐私权”时,下述认知相应也已获得一般认可:其一、现代意义上的隐私尤其是数据隐私已经不限于个人不愿意对外披露的信息,而是个人可被探知和记录的所有信息;其二、数据隐私在数据时代下并不享有绝对保护,基于公益目的个人的数据隐私也应有多退让;其三、隐私权不仅可以用以对抗作为私人主体的第三人对个人的数据隐私的泄漏与操控,同样可以用以防御国家对个人信息的无限度收集和不当使用。这些认知前提也成为我们接下来进一步讨论疫情防控背景下信息披露和隐私保护的基本背景。
三
个人信息权虽保障在数据时代下,个体免受个人数据被无限收集、储存、使用和传递,但如上文所揭示的,这一权利在确立之初,就已正面数据时代下个人自决与公共利益之间的矛盾,并认可为了迫切的公共利益,个人在原则上必须接受对其信息权的某种限制,这种限制也当然会触及其隐私信息。
在此次疫情防控中,广泛及时的信息收集和排查就对疫情控制发挥了重要效用,而国家机关进行此类活动虽然对包括确诊患者在内的个人信息权予以了干预,但其目的正当性却无可厚非。但与基本权限制的一般原理一样,即便允许国家机关为公益目的限制公民的信息权,如果不对限制行为本身进行限制,个人在数据时代下就会彻底被透明化和客体化。
对个人信息和隐私的保护首先规定在《传染病防治法》第十二条,“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”。但此条表述过于简单,且其保护对象仅限于传统的隐私信息,尚不足以为公权机关基于疫情防控需要,而对个人信息权进行正当适宜的限制提供明确指针。因此,对限制个人信息权的界限探求还应回到信息保护的一般原理中。
根据个人信息保护的一般原理,公权机关可基于防控疫情等“重大且明显的公益需要”而对个人信息进行搜集使用,但却需要符合以下要求:
其一,合目的性原则。国家“强迫(个人)提供涉及人身之资料,是以立法者于特定范围内且详尽确定使用目的,并且该资料对该目的而言是适合且必须为前提的”。合目的性又包括目的的明确和受目的约束。首先、公权机关必须明确规定搜集、使用个人信息的目的,原则上禁止为供未来不特定目的而搜集和使用个人信息。其次,公权机关对信息的后续使用亦受上述目的的限制,而不得将所搜集的信息在法定目的之外使用。
此次疫情爆发以来,各级政府就已经开始通过登记在册、上门观察、追踪到人等全覆盖式大排查来摸清人口底数、追踪人员流动轨迹等。相应地,各个单位各级组织也都在频繁地进行信息筛查。这些信息收集行为是以疫情防控为目的,但为确保信息收集工作的合法合规,公权机关应尽可能明细地告知公民信息筛查的目的,也应确保此后使用这些信息时受此目的的限制。
其二,比例原则。比例原则一直以来都是衡量国家限制公民权利是否正当的核心法则,而其所强调的“手段的适度”和“限制的妥当”,也同样能够用以对公权机关对信息权和隐私权予以限制是否正当适宜的衡量。
比例原则要求公权机关在搜集和使用个人信息时注意行为手段与目的的关联性,且确保信息搜集和使用都必须控制在对保护公益有所必要的限度内。抗疫初期,很多地方政府为求地方自保,而无限度详尽曝光武汉返乡人员的个人信息,甚至是悬赏追查武汉返乡人员信息,这种做法虽然有防御疫情的正当目的,但手段已远远逾越了必要限度,应被认为是对个人信息权和隐私权的严重侵犯。
其三,安全原则。公权机关基于疫情防控需要搜集和使用个人信息,同样需确保这些信息在储存、使用和传递等全部环节的安全性。在疫情发展之初,福建省莆田市各微信群曾大肆传阅莆田市武汉返乡人员的详细个人信息。事后传言上述信息是因为行政机关在搜集后因为管理疏忽而造成泄漏。如果传言属实,行政机关在信息管理的失职也当然构成对个人信息权的侵犯。
个人信息权包含了个人在数据收集、处理和利用这些动态过程下所享有的完整权能,这其中尤其还包含个人信息的更正权和删除权。而莆田市信息泄漏的问题也提示我们,国家机关在当下为疫情防控的公益需要可进行数据收集,但其不仅应确保其现阶段数据使用的安全,还应考虑到疫情结束后的数据更正和删除问题。
在分析了公权机关收集使用个人信息的一般规则后,再回到疫情防控中对患者信息的披露问题。如前文所述,在近期的防控部署中,公开确诊患者的年龄性别、居住地址、甚至是行动轨迹也成为很多城市的通行做法。此种做法是否构成了对个人信息权和隐私权的不当干预,对患者信息的披露应保持在何种范围和限度内才是适当的,需要更为细致的判断。
如文章所申明的,个人的基本权利并非绝对,为重大且迫切的公益需要,任何人的权利都应该有所退让,即便信息权和隐私权也并无例外。而且在权利侵害的严重性与公益保护的必要性这一损益平衡的天平上,处于天平一端的公益越重要,保护的迫切性越强,处于天平另一端的权利也自然会受到更大程度的限缩。
伴随疫情发展,公权机关所披露的患者信息从患者数量再到居住小区和行动轨迹,在很大程度上是因为,伴随科学研究新冠病毒病理特征的逐步破解,新冠病毒已经证实会通过身体接触以及空气飞沫等方式进行传播。因此,在患者被确诊收治后,调查和追踪其具体的居住地址和行动轨迹,能够较早地判定可能与其密切接触的人群,并提前对这些人群实施通知、隔离与救治。而政府进行信息披露同样是为了履行对公众生命健康权的保护义务。从这个意义上说,公布确诊患者的行踪信息和住址信息不应认为是对其信息权的不当干预,而是行政机关在患者隐私和公众健康权之间予以法益权衡的必然结果。
但住址信息应具体到何种程度,指明楼栋和单元是否属于过度,却不能依赖于一般大众的情感认知或是患者自身的心理感受,而是同样要参酌有关病毒传播的专业知识和专家经验。换言之,这一问题的判断依据在于病毒传播在科学上的危险性而非一般大众的恐慌感。
武汉等疫情严重的地区之所以公布到楼栋单元的细致程度,除因为传染情况最为严重,防控压力最大,就在于已有的病毒研究已证实:新冠病毒主要通过身体接触和空气飞沫传播。而公寓电梯或是步行楼梯,又往往时空气流通较差的地方,而电梯按钮、楼梯扶手等设置也都是已经证实较易传播病毒的媒介。因此,一栋居民楼内某单元如有住户被确诊罹患新冠病毒肺炎,与其同住一个单元的其他住户感染的风险性也相对较高。因此,公布患者住址具体至楼栋和单元更有利于易感人群的提前知情和预防,更有利于公权机关提前介入,并有效进行预防诊治。从长远来看,这种提早介入还可能带来有效分配医疗资源,避免医疗资源被挤兑的积极结果。此外,新冠病毒是否会通过粪口以及气溶胶传播还未科学充分证实,如果上述传播途径获得科学证实,那么对患者住址信息的披露具体至单元可能就更有科学依据。
但目前从各地做法来看,对患者住址信息披露的详尽程度并不一致。很多非疫区因为疫情传播并不严重,对患者住址信息的公布通常仅至小区。而各地卫生行政部门对密切接触者范围的划定,也不都是完全以楼栋单元为依据,很多时候还要权衡与确诊患者是否有正面接触以及接触的时间。这种差异处理在病毒病理特征、传播途径尚未被彻底破解之前,应被理解为各地行政机关在进行信息披露时的不同裁量。而这种行政裁量只要未逾越比例原则的界限,原则上应对其予以尊重。
同属行政机关裁量范畴的还包括除确诊患者信息外的其他疑似人员的信息披露。在湖北以外的其他地方,政府在披露患者信息时一般都仅限于已确诊患者的居住小区和行踪轨迹,但武汉在进行信息披露时还扩进了疑似患者、无法明确排除的发热患者、密切接触者的居住地址,具体程度同样至居住单元。这样的处理放在法益权衡的天平下也能获得理解,行政机关做此裁量选择的依据也在于深处疫区的人群传染风险远远高于其他省市,而处于疫区的公众的生命健康权在此也应给予特别的权重,这也要求包括疑似患者、无法明确排除的发热患者、密切接触者在信息权和隐私权上也要有相应的退让。
此外,为疫情统计、病毒研究以及提示公众的需要,而在抹去患者具有可直接识别性的个人信息(例如身份证号码、个人图像、姓名等)的基础上,客观公布确诊患者的年龄性别信息,也应认为并未构成对个人信息权的不当干预。
但无论是披露患者住址还是性别年龄,对个人信息权的披露最终还是有基本限度:这一限度就是政府所披露的绝不能是极具个体识别性的身份信息,不能使他人在此信息披露基础上迅速数据整合,而完整描摹出患者的个人图像,换言之,对患者个人信息的披露,绝不能使他人通过信息技术处理手段,迅速地锁定每个具体的患者。因为信息权和隐私权所保障的核心,正是个人的整体个性轮廓不被彻底暴露在他人的窥视和国家的监控之下。
四
以上是对国家公权机关收集和使用个人信息时的原则和限度的分析。但如果收集、使用个人信息的主体是作为私主体的第三人,其规则又有不同。
在公法中,国家机关可基于重大且明显的公益保护需求而收集、使用个人的信息数据,而无需征得个人同意;但在私法中,个人收集、使用他人信息和数据是以知情同意为原则的。同意在此成为数据使用合法性的必要前提。这种同意要求不仅及于对数据的采集、也及于对数据的传播、加工或其他处理行为。
当然,为避免“同意”要件给海量的数据处理所带来的巨大成本,私法就将同意具体划分为积极同意和消极同样两种样态,前者是个人数据处理必须事先征得数据主体的同意;而消极同意意味着数据主体有权反对个人数据梳理,但不反对就视为同意。这两种方式的选用则主要依赖于所涉及的数据类型。
鉴于此,作为私主体的组织或个人,如果未获同意,就擅自以文字、视频等方式暴露患者、疑似患者甚至是密切接触者的个人信息,都应当被认为是对个人隐私权的侵犯。而在疫情暴发之初,那些对小区内的湖北住户,甚至是医护人员进行信息曝光,或仅因某人在朋友圈中发送曾往返武汉的消息,就对其进行人肉搜索并予以污名歧视的做法显然是对他人信息和隐私的不当干预。
在私主体中格外需要提及的还有医务人员。基于医务人员和患者之间特殊的人身信赖关系,医务人员不得随意披露患者病例信息,这一点也早已成为医务人员的职业守则。患者的个人信息和病理隐私在医患关系中应该是被予以特别保护的法益,这种法益也使医务人员负有加重的保密义务。这一义务同样规定在2009年颁行的《侵权责任法》第六十二条,“医疗机构及其医务人员应当对患者的隐私保密。泄漏患者隐私或者未经患者同义公开其病历资料,造成患者损害的,应当承担侵权责任”。
在文山州案件中,医务人员即使是出于提示公众提前预防的目的,但详尽披露患者身份证号码、姓名、家庭住址等信息也已经违反了职业伦理,侵犯了患者的隐私权。其实,提示亲友或其他公众预防完全可通过其他方式进行,例如只是概观说明就职医院已收治新冠病毒确诊患者。至于确诊患者的其他信息,原则上应由卫生行政部门在进行数据收集、整理后再向公众披露。
五
疫情发展至今,已成为法治水平和公共治理的压力测试。因为互联网、大数据、人工智能等科技的发展,相比17年前的SARS,此次的抗疫行动开始更自觉的使用数据和信息处理技术。包括信息公开在内的数据抗疫在很大程度上缓解了公众的恐慌,也明显有助于国家机关及时识别疫情、科学合理地安排卫生管控措施,以及进行包括医疗资源在内的物资的调配保障。但伴随其优势渐显,数据抗疫同样引发个人信息和隐私保护的冲突问题。
事实上,在数据时代下,因为信息搜集、储存、整合、传播及处理方式的彻底革新,人们已无法再遁于“隐私”之下获得完整隐秘的个人空间。通过获取、汇集和整合人们在日常生活中所留下的种种生活痕迹,数据技术完全能够在短期内描摹出与个人的实际人格相似的“数字人格”(computer persona),从而使私人图像一览无余地暴露于他人的窥视之下。
数字人格的形成提示我们在信息时代下个人生活被广泛干预的风险,也警醒我们注重对个人信息的保护。但反过来,如果过度强调个人对自我信息的独揽,就会彻底削弱公共治理能力,勿宁为一种反智之举。由此,如何在公共治理中合理使用个人数据,同时又能避免对个人信息权的过度干预,就成为数据时代下的重要议题。
伴随数据抗疫的不断展开,公共治理需要与个人信息保护之间的矛盾同样开始呈现。但正如基本权利原理所揭示的那样,即使是处于应急状态下,公民的权利会因防控疫情的需要而受到克减和限缩,但这种克减和限缩也还是应该谨守法治的底线,尤其是不能使限权最终沦为对权利的彻底排除和掏空。国家机关为抗疫目的可对公众的个人信息进行广泛收集、整理、披露和使用,但其同样要遵守合目的性、比例原则、安全原则等核心基准。这些原理确保了数据抗疫工作的有序进行,也确保了个人附着于数据和信息之上的“第二人格”不被排除,确保个人在数据抗疫下不被透明化和客体化。
转载自规制与公法
原载于澎湃新闻网2020年2月20日
仅作学习交流之用
吉田博
往期荐读
编辑:韩雨硕
欢迎点击“阅读原文”