沈巋:​怎樣實現抗疫與保護個人信息的平衡

沈巋:​怎樣實現抗疫與保護個人信息的平衡
作者 | 沈巋,北京大學法學院教授

來源 |《經濟參考報》2020年7月28日第8版

就疫情防控而言,與隱私和個人信息保護最相關的法律、行政法規是《傳染病防治法》、《突發事件應對法》以及《突發公共衞生事件應急條例》。其中,關於隱私和個人信息保護的規定是基本缺位的。

從現實可行的角度出發,可以考慮在《傳染病防治法》中授權國務院或國務院應急指揮機構決定為疫情防控而收集個人信息的目的、範圍以及收集者和使用者;在《突發公共衞生事件應急條例》中明確規定隱私和個人信息保護的原則;在《傳染病防治法》或《突發公共衞生事件應急條例》中授權國務院應急指揮機構可以在符合上述原則的前提下,制定疫情防控中隱私和個人信息保護的規則;在已經形成的疫情聯防聯控體系中,植入隱私和個人信息保護的規範要求。

面對新型冠狀病毒疫情,迄今為止,我國採取了“零容忍”的模式,將病毒傳播控制在零增長。這種模式的成效是明顯的,在一個人口眾多且密集、醫療資源相對稀缺的國家,可以及時遏制病毒的傳播、蔓延。在抗疫過程中,我們運用各種方法收集確診者、疑似者、密切接觸者乃至幾乎每個人的信息,以追蹤和定位傳染源並加以切斷,由此引發許多人對隱私和個人信息保護的擔憂。我們需要思考,如何在追求公共利益、商業利益與保護隱私、個人信息之間實現一種合理的法益平衡。

抗疫中出現的隱私和個人信息保護問題

最新通過的《民法典》規定,“自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權”、“自然人的個人信息受法律保護”。隱私,是自然人的私人生活安寧和不願為他人知曉的私密空間、私密活動、私密信息。個人信息,是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

目前,抗疫中對海量個人信息、數據的收集和使用,出現了不少隱私和個人信息受到侵害的問題,而且還對公民個人構成潛在的侵害威脅。當前,已經出現的、值得關注的情形包括:

(1)由於信息收集存儲單位保管不善,導致大量個人信息被盜取或在有關工作人員私下示警中被泄露;(2)有關單位收集非防控疫情所必需的個人信息(如個人的月收入),以及披露非公眾所需知曉的信息(如確診者、密切接觸者的性別、年齡、户籍等);(3)有關單位披露疫情信息時對個人信息沒有進行脱敏處理或脱敏處理不充分(如公佈確診者王某某與其家人丈夫蔡某某、女兒蔡某某住在特定小區),從而容易形成對特定自然人的識別;(4)以必須提交健康碼或行程查詢信息為進入公共場所、公共交通工具或國境為條件,強迫個人同意授權有關單位收集和處理個人信息;(5)有關單位對個人信息包括姓名、性別、民族、出生日期、常住户口、所在地址、健康狀況、歷史行蹤等進行隱秘的、不為當事人所知的記錄和分析,以掌握確診者、疑似者、密切接觸者的動向和容易產生傳染的風險人羣或地區,此可謂“看不見的畫像”;(6)有關單位採取強制封門的方式對居家隔離者實施粗暴隔離,侵害對隱私保護具有重要意義的個人住所;(7)有關單位對居家隔離者的住所貼上紅色警示條或報警器,其結果是讓鄰居或他人可輕易知曉居住其中的個人處在被隔離狀態;(8)受商業謀利動機或違法犯罪動機驅使,利用已經獲取的個人信息對個人進行干擾私人生活安寧的廣告騷擾、欺詐騷擾甚至性騷擾。

出現隱私和個人信息保護問題的原因

以上這些情形,有的是目前我國抗疫模式所需的,如強迫同意、看不見的畫像,但這裏,存在個人信息被收集、使用、處理缺乏明確法律依據和規範的問題,以及個人信息被泄露、個人隱私被侵犯的隱患。而其餘情形則肯定不是疫情應對過程所必需,但又確實是在此過程中發生的或更加惡化的(如各種騷擾)。

之所以會如此,與抗疫進行了巨大的社會動員有關。在這個動員過程中,參加聯防聯控的政府部門、企業、社會組織以及個人不計其數,主要有:(1)疾控機構、衞生、公安、交通、海關、市場監管、工信、網信等政府部門;(2)各式各類依法有權進行疫情信息收集和報告的醫療機構;(3)有能力利用大數據分析預測確診者、疑似者、密切接觸者等重點人羣流動情況的技術公司;(4)居民委員會、村民委員會、社區物業服務企業等基層的自治組織或經濟組織;(5)負責對來訪人員進行健康監測和登記的樓堂館所等人羣經常聚集活動的公共場所經營管理者;(6)根據要求必須做好員工健康監測或者人員健康管理方面防控措施落實的用人單位;(7)各種有助疫情防控的應用程序的開發者,如“密切接觸者測量儀”、“疫情期間行程查詢”等應用程序都可能附帶個人信息收集功能。如此眾多的部門參與個人信息收集、處理者以及這些單位的相關工作人員,個人隱私保護的困難是可想而知的。

如何在未來不確定何時結束的一段抗疫期內,既維繫當前的抗疫模式(在有必要仍然堅持現有模式的前提下),又兼顧個人隱私和信息的充分保護?若能從以下四個方面着手,可以儘可能減少個人隱私和信息受侵害的現象,取得公共利益、商業利益與個人隱私和信息保護的法益平衡。

及時修改法律為個人信息收集使用

提供合法依據

在我國,雖然《居民身份證法》、《傳染病防治法》、《網絡安全法》等法律,都有關於對個人信息、隱私保護的規定,但是,它們都是適用特定領域或特定關係的。我國尚缺乏一部對所有領域涉及個人信息收集使用等都能適用的法律。2017年,四十餘位全國人大代表提交議案,建議儘快制定《個人信息保護法》,目前,該法仍在醖釀之中。

就疫情防控而言,最相關的法律、行政法規是《傳染病防治法》、《突發事件應對法》以及《突發公共衞生事件應急條例》。其中,關於個人信息、隱私保護的規定可以説是基本缺位的。現行《傳染病防治法》第12條規定:“在中華人民共和國領域內的一切單位和個人,必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、採集樣本、隔離治療等預防、控制措施,如實提供有關情況。疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。”第68條、第69條則對疾控機構和醫療機構“故意”泄露涉及個人隱私的信息、資料的行為規定了法律責任。但是,這些規定僅適用於疾控機構、醫療機構,而不能針對前述巨大社會動員之下參加聯防聯控、涉及個人信息收集使用的各類主體。而且,這些規定僅提出不得故意泄露的要求,在如何合法、必要、正當地收集、佔有、存儲、使用、管理、處理個人信息方面,缺乏相應的原則和細則,無法防範個人信息的過度收集、肆意濫用、管理漏洞、不當處理。而《突發事件應對法》、《突發公共衞生事件應急條例》在個人信息、隱私保護方面隻字未提。

制定統一的《個人信息保護法》,應該是解決於法無據問題的最終的、根本的路徑。然而,在該法一時不能出台的情況下,應當基於依法治理新冠病毒疫情的需要,及時修改《傳染病防治法》和《突發公共衞生事件應急條例》。當然,希望這兩部立法將疫情防控中個人信息、隱私保護的所有規則都予以明確,顯然是不切實際的,也會與未來的《個人信息保護法》存在功能重疊或內容不一致的問題。從現實可行的角度出發,可以考慮如下立法策略:

第一,在《傳染病防治法》中授權國務院或國務院應急指揮機構決定為疫情防控而收集個人信息的目的和範圍,以及與目的、範圍相匹配的、必要的收集者和使用者。如僅限於現行《傳染病防治法》規定的傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者,還是需要延伸至進入公共場所、公共交通或者返回境內等的人員。再如,收集者和使用者是限於疾控機構和醫療單位,還是包括衞生、公安、交通等部門,甚至擴大至上述各類主體。由於個人隱私屬於人格尊嚴的應有之義,涉及《憲法》和《民法典》上的權利,只有通過法律授權國務院或國務院應急指揮機構決定,方能顯示對該權利保護的高度重視。

第二,在《突發公共衞生事件應急條例》中明確規定個人信息、隱私保護的若干原則。具體包括:(1)同意原則,即任何單位和個人未經個人信息主體同意,不得以預防和控制傳染病為名收集個人信息,法律、行政法規、國務院決定另有規定的除外;(2)最小範圍原則,即國務院或國務院應急指揮機構應當根據預防和控制傳染病的確實需要,決定應當收集的個人信息的最小範圍,信息收集單位和個人應當嚴格執行;(3)目的限制原則,即為預防和控制傳染病而收集的個人信息,不得用於其他用途,法律、行政法規另有規定的或者個人信息主體知情同意的除外;(4)安全保障原則,即被收集的個人信息僅在傳染病防控必需時才可以公開,且公開前應當經過充分的脱敏處理;收集或掌握個人信息的單位和個人都應當對個人信息的安全保護負責,防止被泄露、被竊取;(5)更正和刪除原則,即個人對收集的信息有權要求更正錯誤,並在該信息已經實現疫情防控目的的情況下,有權要求刪除個人信息;(6)責任原則,即任何單位和個人違反上述原則,應當承擔相應的法律責任。

第三,在《傳染病防治法》或《突發公共衞生事件應急條例》中授權國務院應急指揮機構可以在符合上述原則的前提下,制定疫情防控中個人信息和隱私保護的規則。經授權制定的規則,具有法律上的約束力,即違反這些規則,也同樣承擔相應的法律責任。

參加抗疫的單位應對個人信息保護

實施自我規制

就當前情勢看,參加疫情聯防聯控工作的一線單位或個人,往往都不可避免地涉及個人信息收集、佔有、使用、存儲、管理或處理中的一環或數環。《傳染病防治法》、《突發公共衞生事件應急條例》的修改,主要解決法律依據、法律原則、法律責任問題。然而,具體的收集、使用、安全管理等工作,都必須由前述各類相關主體在一線防控中去完成,相關原則和規則都必須由他們具體落實實施。

因此,必須在已經形成的疫情聯防聯控體系中,植入個人信息、隱私保護的規範要求,各參與單位或個人應當進行有針對性的自我規制。具體而言主要涉及兩個方面:

第一,政府部門、醫療機構、技術公司、公共場所經營管理者、用人單位、居民委員會、村民委員會、社區物業等,但凡依法或者依照聯防聯控要求參與個人信息收集使用等工作的,都必須建立相應的個人信息、隱私保護制度,並採取與個人信息工作相適應的安全保障措施。這些保護制度和措施都應向社會公示。

第二,相關單位和組織都應對其工作人員展開個人信息、隱私保護的規範教育,不僅促其樹立意識,更是指導其如何保護個人信息、隱私,如何防止出現侵犯個人信息、隱私,以及若從事侵害行為或未盡安全保護職責導致個人信息泄露、個人隱私受侵所應承擔的法律和紀律後果。

加強對個人信息、隱私保護情況的檢查或監督

修改法律、加強自我規制,可使個人信息的收集使用等有法可依、有章可循,但個人信息保護畢竟是在為疫情防控收集使用個人信息的基礎上增加的一項工作,是需要投入一定成本的。並且,其與疫情防控目標並不具有直接的正相關性。因此,前述單位和個人缺乏足夠的動力和激勵去落實個人信息保護的要求,需要通過外部的監督力量予以制衡。

第一,政府部門對參與聯防聯控的單位與個人,在檢查其聯控聯防工作落實情況的同時,對涉及個人信息相關工作的,也應同時檢查個人信息、隱私保護情況。

第二,任何組織和個人發現違法違規收集、使用、管理和處理個人信息的,或者沒有依法建立個人信息安全保護制度、採取保護措施的,可以向政府負責個人信息安全保護的網信、公安等部門進行投訴舉報,以及時發現和矯正問題。

第三,公安等部門對泄露個人信息、侵犯個人隱私的違法行為,應當予以嚴厲打擊;個人對私主體泄露個人信息、侵犯個人隱私的行為,不僅可以投訴舉報,也可以提起民事訴訟,追究私主體的民事責任;個人對公權力主體泄露個人信息、侵犯個人隱私的行為,不僅可以請求其自行改正或請求上級督察糾正,也可以提起行政訴訟即“民告官”訴訟,使其承擔行政責任。目前最重要的是,法院應當受理和審理個人起訴公權力主體侵犯個人信息、隱私的行政案件。

第四,由於在疫情防控中,許多參與聯防聯控的部門收集、掌握了海量的個人信息,這些部門應當在適當的時候,向相應級別的人民代表大會常委會報告個人信息安全保護制度及落實情況,以及對個人信息的處理計劃,接受人民代表大會及人民的監督。

-END-

責任編輯 | 郇雯倩

審核人員 | 張文碩

版權聲明:本文源自 網絡, 於,由 楠木軒 整理發佈,共 4942 字。

轉載請註明: 沈巋:​怎樣實現抗疫與保護個人信息的平衡 - 楠木軒