作者 | 沈岿,北京大学法学院教授
来源 |《经济参考报》2020年7月28日第8版
就疫情防控而言,与隐私和个人信息保护最相关的法律、行政法规是《传染病防治法》、《突发事件应对法》以及《突发公共卫生事件应急条例》。其中,关于隐私和个人信息保护的规定是基本缺位的。
从现实可行的角度出发,可以考虑在《传染病防治法》中授权国务院或国务院应急指挥机构决定为疫情防控而收集个人信息的目的、范围以及收集者和使用者;在《突发公共卫生事件应急条例》中明确规定隐私和个人信息保护的原则;在《传染病防治法》或《突发公共卫生事件应急条例》中授权国务院应急指挥机构可以在符合上述原则的前提下,制定疫情防控中隐私和个人信息保护的规则;在已经形成的疫情联防联控体系中,植入隐私和个人信息保护的规范要求。
面对新型冠状病毒疫情,迄今为止,我国采取了“零容忍”的模式,将病毒传播控制在零增长。这种模式的成效是明显的,在一个人口众多且密集、医疗资源相对稀缺的国家,可以及时遏制病毒的传播、蔓延。在抗疫过程中,我们运用各种方法收集确诊者、疑似者、密切接触者乃至几乎每个人的信息,以追踪和定位传染源并加以切断,由此引发许多人对隐私和个人信息保护的担忧。我们需要思考,如何在追求公共利益、商业利益与保护隐私、个人信息之间实现一种合理的法益平衡。
抗疫中出现的隐私和个人信息保护问题
最新通过的《民法典》规定,“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”、“自然人的个人信息受法律保护”。隐私,是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息,是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
目前,抗疫中对海量个人信息、数据的收集和使用,出现了不少隐私和个人信息受到侵害的问题,而且还对公民个人构成潜在的侵害威胁。当前,已经出现的、值得关注的情形包括:
(1)由于信息收集存储单位保管不善,导致大量个人信息被盗取或在有关工作人员私下示警中被泄露;(2)有关单位收集非防控疫情所必需的个人信息(如个人的月收入),以及披露非公众所需知晓的信息(如确诊者、密切接触者的性别、年龄、户籍等);(3)有关单位披露疫情信息时对个人信息没有进行脱敏处理或脱敏处理不充分(如公布确诊者王某某与其家人丈夫蔡某某、女儿蔡某某住在特定小区),从而容易形成对特定自然人的识别;(4)以必须提交健康码或行程查询信息为进入公共场所、公共交通工具或国境为条件,强迫个人同意授权有关单位收集和处理个人信息;(5)有关单位对个人信息包括姓名、性别、民族、出生日期、常住户口、所在地址、健康状况、历史行踪等进行隐秘的、不为当事人所知的记录和分析,以掌握确诊者、疑似者、密切接触者的动向和容易产生传染的风险人群或地区,此可谓“看不见的画像”;(6)有关单位采取强制封门的方式对居家隔离者实施粗暴隔离,侵害对隐私保护具有重要意义的个人住所;(7)有关单位对居家隔离者的住所贴上红色警示条或报警器,其结果是让邻居或他人可轻易知晓居住其中的个人处在被隔离状态;(8)受商业谋利动机或违法犯罪动机驱使,利用已经获取的个人信息对个人进行干扰私人生活安宁的广告骚扰、欺诈骚扰甚至性骚扰。
出现隐私和个人信息保护问题的原因
以上这些情形,有的是目前我国抗疫模式所需的,如强迫同意、看不见的画像,但这里,存在个人信息被收集、使用、处理缺乏明确法律依据和规范的问题,以及个人信息被泄露、个人隐私被侵犯的隐患。而其余情形则肯定不是疫情应对过程所必需,但又确实是在此过程中发生的或更加恶化的(如各种骚扰)。
之所以会如此,与抗疫进行了巨大的社会动员有关。在这个动员过程中,参加联防联控的政府部门、企业、社会组织以及个人不计其数,主要有:(1)疾控机构、卫生、公安、交通、海关、市场监管、工信、网信等政府部门;(2)各式各类依法有权进行疫情信息收集和报告的医疗机构;(3)有能力利用大数据分析预测确诊者、疑似者、密切接触者等重点人群流动情况的技术公司;(4)居民委员会、村民委员会、社区物业服务企业等基层的自治组织或经济组织;(5)负责对来访人员进行健康监测和登记的楼堂馆所等人群经常聚集活动的公共场所经营管理者;(6)根据要求必须做好员工健康监测或者人员健康管理方面防控措施落实的用人单位;(7)各种有助疫情防控的应用程序的开发者,如“密切接触者测量仪”、“疫情期间行程查询”等应用程序都可能附带个人信息收集功能。如此众多的部门参与个人信息收集、处理者以及这些单位的相关工作人员,个人隐私保护的困难是可想而知的。
如何在未来不确定何时结束的一段抗疫期内,既维系当前的抗疫模式(在有必要仍然坚持现有模式的前提下),又兼顾个人隐私和信息的充分保护?若能从以下四个方面着手,可以尽可能减少个人隐私和信息受侵害的现象,取得公共利益、商业利益与个人隐私和信息保护的法益平衡。
及时修改法律为个人信息收集使用
提供合法依据
在我国,虽然《居民身份证法》、《传染病防治法》、《网络安全法》等法律,都有关于对个人信息、隐私保护的规定,但是,它们都是适用特定领域或特定关系的。我国尚缺乏一部对所有领域涉及个人信息收集使用等都能适用的法律。2017年,四十余位全国人大代表提交议案,建议尽快制定《个人信息保护法》,目前,该法仍在酝酿之中。
就疫情防控而言,最相关的法律、行政法规是《传染病防治法》、《突发事件应对法》以及《突发公共卫生事件应急条例》。其中,关于个人信息、隐私保护的规定可以说是基本缺位的。现行《传染病防治法》第12条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”第68条、第69条则对疾控机构和医疗机构“故意”泄露涉及个人隐私的信息、资料的行为规定了法律责任。但是,这些规定仅适用于疾控机构、医疗机构,而不能针对前述巨大社会动员之下参加联防联控、涉及个人信息收集使用的各类主体。而且,这些规定仅提出不得故意泄露的要求,在如何合法、必要、正当地收集、占有、存储、使用、管理、处理个人信息方面,缺乏相应的原则和细则,无法防范个人信息的过度收集、肆意滥用、管理漏洞、不当处理。而《突发事件应对法》、《突发公共卫生事件应急条例》在个人信息、隐私保护方面只字未提。
制定统一的《个人信息保护法》,应该是解决于法无据问题的最终的、根本的路径。然而,在该法一时不能出台的情况下,应当基于依法治理新冠病毒疫情的需要,及时修改《传染病防治法》和《突发公共卫生事件应急条例》。当然,希望这两部立法将疫情防控中个人信息、隐私保护的所有规则都予以明确,显然是不切实际的,也会与未来的《个人信息保护法》存在功能重叠或内容不一致的问题。从现实可行的角度出发,可以考虑如下立法策略:
第一,在《传染病防治法》中授权国务院或国务院应急指挥机构决定为疫情防控而收集个人信息的目的和范围,以及与目的、范围相匹配的、必要的收集者和使用者。如仅限于现行《传染病防治法》规定的传染病病人、病原携带者、疑似传染病病人、密切接触者,还是需要延伸至进入公共场所、公共交通或者返回境内等的人员。再如,收集者和使用者是限于疾控机构和医疗单位,还是包括卫生、公安、交通等部门,甚至扩大至上述各类主体。由于个人隐私属于人格尊严的应有之义,涉及《宪法》和《民法典》上的权利,只有通过法律授权国务院或国务院应急指挥机构决定,方能显示对该权利保护的高度重视。
第二,在《突发公共卫生事件应急条例》中明确规定个人信息、隐私保护的若干原则。具体包括:(1)同意原则,即任何单位和个人未经个人信息主体同意,不得以预防和控制传染病为名收集个人信息,法律、行政法规、国务院决定另有规定的除外;(2)最小范围原则,即国务院或国务院应急指挥机构应当根据预防和控制传染病的确实需要,决定应当收集的个人信息的最小范围,信息收集单位和个人应当严格执行;(3)目的限制原则,即为预防和控制传染病而收集的个人信息,不得用于其他用途,法律、行政法规另有规定的或者个人信息主体知情同意的除外;(4)安全保障原则,即被收集的个人信息仅在传染病防控必需时才可以公开,且公开前应当经过充分的脱敏处理;收集或掌握个人信息的单位和个人都应当对个人信息的安全保护负责,防止被泄露、被窃取;(5)更正和删除原则,即个人对收集的信息有权要求更正错误,并在该信息已经实现疫情防控目的的情况下,有权要求删除个人信息;(6)责任原则,即任何单位和个人违反上述原则,应当承担相应的法律责任。
第三,在《传染病防治法》或《突发公共卫生事件应急条例》中授权国务院应急指挥机构可以在符合上述原则的前提下,制定疫情防控中个人信息和隐私保护的规则。经授权制定的规则,具有法律上的约束力,即违反这些规则,也同样承担相应的法律责任。
参加抗疫的单位应对个人信息保护
实施自我规制
就当前情势看,参加疫情联防联控工作的一线单位或个人,往往都不可避免地涉及个人信息收集、占有、使用、存储、管理或处理中的一环或数环。《传染病防治法》、《突发公共卫生事件应急条例》的修改,主要解决法律依据、法律原则、法律责任问题。然而,具体的收集、使用、安全管理等工作,都必须由前述各类相关主体在一线防控中去完成,相关原则和规则都必须由他们具体落实实施。
因此,必须在已经形成的疫情联防联控体系中,植入个人信息、隐私保护的规范要求,各参与单位或个人应当进行有针对性的自我规制。具体而言主要涉及两个方面:
第一,政府部门、医疗机构、技术公司、公共场所经营管理者、用人单位、居民委员会、村民委员会、社区物业等,但凡依法或者依照联防联控要求参与个人信息收集使用等工作的,都必须建立相应的个人信息、隐私保护制度,并采取与个人信息工作相适应的安全保障措施。这些保护制度和措施都应向社会公示。
第二,相关单位和组织都应对其工作人员展开个人信息、隐私保护的规范教育,不仅促其树立意识,更是指导其如何保护个人信息、隐私,如何防止出现侵犯个人信息、隐私,以及若从事侵害行为或未尽安全保护职责导致个人信息泄露、个人隐私受侵所应承担的法律和纪律后果。
加强对个人信息、隐私保护情况的检查或监督
修改法律、加强自我规制,可使个人信息的收集使用等有法可依、有章可循,但个人信息保护毕竟是在为疫情防控收集使用个人信息的基础上增加的一项工作,是需要投入一定成本的。并且,其与疫情防控目标并不具有直接的正相关性。因此,前述单位和个人缺乏足够的动力和激励去落实个人信息保护的要求,需要通过外部的监督力量予以制衡。
第一,政府部门对参与联防联控的单位与个人,在检查其联控联防工作落实情况的同时,对涉及个人信息相关工作的,也应同时检查个人信息、隐私保护情况。
第二,任何组织和个人发现违法违规收集、使用、管理和处理个人信息的,或者没有依法建立个人信息安全保护制度、采取保护措施的,可以向政府负责个人信息安全保护的网信、公安等部门进行投诉举报,以及时发现和矫正问题。
第三,公安等部门对泄露个人信息、侵犯个人隐私的违法行为,应当予以严厉打击;个人对私主体泄露个人信息、侵犯个人隐私的行为,不仅可以投诉举报,也可以提起民事诉讼,追究私主体的民事责任;个人对公权力主体泄露个人信息、侵犯个人隐私的行为,不仅可以请求其自行改正或请求上级督察纠正,也可以提起行政诉讼即“民告官”诉讼,使其承担行政责任。目前最重要的是,法院应当受理和审理个人起诉公权力主体侵犯个人信息、隐私的行政案件。
第四,由于在疫情防控中,许多参与联防联控的部门收集、掌握了海量的个人信息,这些部门应当在适当的时候,向相应级别的人民代表大会常委会报告个人信息安全保护制度及落实情况,以及对个人信息的处理计划,接受人民代表大会及人民的监督。
-END-
责任编辑 | 郇雯倩
审核人员 | 张文硕
▼