“您好!请出示一下行程码或健康码。”
新冠疫情发生后,这句话在各种场合都能够经常听到。行程码和健康码是通过收集自然人的行踪信息而形成的,而在发现新冠患者后,根据其行踪信息还可以准确排查密切接触者。大数据应用是新冠疫情防控中的有力措施之一,但在具体执行时,却出现了一些公布患者个人信息不适当的现象。我们经常可以在微信群里看到转发的新冠密接和确诊患者个人信息,比如新冠密接和确诊患者的完整姓名、身份证号、电话号码、准确的家庭住址、工作单位等,甚至有关部门的工作报告中也会公布新新冠密接和确诊患者的上述信息。
这种行为是否属于侵害个人信息权益的行为呢?
不少人对此抱有质疑,并打趣:“如今比感染新冠更可怕的是个人信息被披露的‘社会性死亡’。”在应对突发公共卫生事件时,如何避免 “社死”的尴尬,我们来根据刚于2021年11月1日正式实施的《个人信息保护法》一探究竟。其实在《个人信息保护法》实施之前,我国《刑法》《民法典》《治安管理处罚法》《政府信息公开条例》等法律法规都有对个人信息权益进行保护,而《个人信息保护法》以总共七十四条法条,更加全面地保障个人信息权益。
一、疫情通报中常被公布的信息,是否属于《个人信息保护法》保护范围?
《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
如果仅凭上述定义来识别有关信息是否属于个人信息其实有一定困难,而简便、高效的方法则是,直接参考国家标准中的具体举例。《个人信息安全规范》(GB/T 35273—2020)对个人信息进行了详细的分类,并就每一类给出了典型的例子:
通过查阅上表我们就特别清楚了,个人姓名、性别、住址、个人电话号码属于个人基本资料,身份证属于个人身份信息,行踪轨迹属于个人位置信息,患病情况属于个人健康生理信息,也就是说它们都属于《个人信息保护法》所保护的个人信息。
二、疫情防控下合法处理新患者个人信息的依据是什么?
《个人信息保护法》未生效前,依据《网络安全法》《民法典》的相关规定,处理个人信息的合法路径为取得自然人“同意”,此时还并未详细规定例外情形的处理路径。《个人信息保护法》在此基础上,对例外情形作出了明确规定。
第十三条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
新冠疫情反反复复,各地一直不断有新增病例。根据《突发公共卫生事件应急条例》第二条规定:“本条例所称突发公共卫生事件(以下简称突发事件),是指突然发生,造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。”
显然,新冠疫情是属于突发公共卫生事件的。在此情况下,依据《个人信息保护法》第十三条第四项的规定,为防范新冠疫情,有关部门可以不经个人同意,处理其个人信息。
已经讲到为防范新冠疫情,可以不经个人同意,处理其个人信息。那么是否意味着可以没有限度地处理个人信息?答案是否定的。根据《个人信息保护法》第五条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则。”第六条规定:“ 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”收集、公开新冠患者的行踪信息,显然是符合规定的,这能有效排除密切接触者。如下图公开的个人信息,这些信息并不能轻易识别出是具体哪一个自然人的信息,但依靠这些信息已经能够有效排查密切接触者,防范疫情进一步扩散,这就符合“必要”限度,并且这对患者造成的不利影响也小。而在实践中,往往能看到新冠密接和确诊患者的姓名、电话号码、身份证号等信息被公开,这些信息对防范新冠疫情有用吗?新冠病毒难道能通过电话传播吗?答案明显是否定的,这已经超出了“必要”的限度范围,严重侵害了新冠密接和确诊患者的个人信息权益,将给其生活造成不利影响。
《个人信息保护法》第三十三条规定:“国家机关处理个人信息的活动,适用本法。”第三十四条规定:“ 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”这意味着,国家有关部门即使是在履行防疫职责时,依然需要遵守个人信息处理规则,合理地处理个人信息,不然将依法承担法律责任。《关于做好个人信息保护利用大数据支撑联防联控工作的通知》也明确指出,“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。”这里还需要提醒大众的是,根据《个人信息保护法》第十三条第六项规定,任何单位或者自然人可以不经他人同意,转发已经合法公开的患者个人信息,如转发至微信群,告知身边的朋友防范疫情;但是如果信息的源头是通过不合法的方式或者超出“必要”限度的方式公开,你再去转发,可能也会涉及侵犯他人个人信息权益。
《个人信息保护法》第四十七条规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”个人发现个人信息处理者违法处理自己个人信息的,即如上文提到的情况下,可以行使删除权,要求有关单位乃至转发者删除相关个人信息。或者处理目的已实现、期限已届满的情形下,如出于防控疫情的情况下公开的个人信息,在已经排查完全部密切接触者,疫情已得到有效控制后,个人也可以要求有关单位删除其公开的相关个人信息。《个人信息保护法》还明确规定个人行使权利的途径,第五十条:“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。”如果觉得诉讼成本太高,依据第六十五条,任何组织、个人还可以直接向网信、公安等部门投诉、举报。
【结语】运用大数据能够有效防控新冠疫情,但是相关部门应在合理的范围内收集、使用、公开个人信息,不能突破法律的底线,同时还应当采取必要的保护措施,降低侵犯个人信息的风险。
正如《个人信息保护法》第一条所规定,既要促进个人信息合理利用,也要规范个人信息处理活动。
请做好疫情防控和个人信息权益保护的有机结合!
朱杰 律师
合伙人
业务领域:互联网电子商务、数据合规、网络安全、IPFS架构、重大争议解决等
龙朝阳 实习律师
业务领域:数据合规、网络安全、民间借贷、区块链法律事务