常态化疫情防控背景下的个人信息保护

来源:法德东恒律师

文章摘要
2022年6月初,北京暴发了新一轮疫情,在这次的疫情中,某病例的流调记录在网络中被频繁提及,该份记录显示其连续两日往返相隔70公里的两地蹦迪,有人开始在流调中仔细寻找着细节,很快,疑似该病例的个人信息

2022年6月初,北京暴发了新一轮疫情,在这次的疫情中,某病例的流调记录在网络中被频繁提及,该份记录显示其连续两日往返相隔70公里的两地蹦迪,有人开始在流调中仔细寻找着细节,很快,疑似该病例的个人信息开始在网上广泛流传,网络暴力也接踵而来,对其生活产生了严重影响。
一、现实中出现的问题
自新冠疫情发生以来,各地政府纷纷启动重大突发公共卫生事件分级响应,因新冠病毒的传播性极强,为有效防止病毒扩散,隔离感染及潜在风险者,公布疑似病例的相关信息及活动轨迹成了政府部门的常态化管理措施。这一措施对于在短时间内遏制疫情的扩散效果显著。然而,在此过程中,各政府部门、企事业单位甚至是个人掌握了大量的个人信息,信息泄露以及过度公布信息的情况时有发生。
首先,每一轮疫情的爆发都会影响该地区乃至全国居民的正常生活,一些人对于新冠患者抱有潜在敌意,信息泄露后患者极易在网络中遭到攻击。例如,2021年9月21日,哈尔滨巴彦县报告新增1例新冠阳性感染者,流调结果显示该患者回国后连续三天光顾剧本杀店,网友开始质疑其故意传播病毒,甚至还有人传播疑似患者姓名、照片等个人信息,对其进行网络暴力。其次,个人信息的泄露也可能导致患者痊愈后就业困难。人力资源和社会保障部、国家卫生健康委员会于2022年8月1日发布“关于坚决打击对新冠肺炎康复者就业歧视的紧急通知”,严禁用人单位、人力资源服务机构以曾经新冠肺炎病毒核酸检测阳性为由,拒绝招(聘)用新冠肺炎康复者,但在实践中,此类人群的就业障碍依旧存在。最后,个人信息被泄露也加剧了被电信诈骗的风险。比如,一些诈骗分子伪装成社区工作人员,声称根据政策对痊愈患者康复后生活情况进行跟查了解,利用钓鱼链接盗刷银行卡。
目前我国已进入常态化疫情防控阶段,但疫情局部爆发的风险仍然存在,在此背景下,如何在维护公共安全与保护个人信息间达到相对平衡,是值得探讨的问题。
二、在常态化疫情防控背景下保护个人信息的挑战
1、法律与行政法规对于个人信息的保护力度不同
随着社会法治程度的不断进步,个人信息的概念逐渐明确,《个人信息保护法》规定以任何方式记录的与已识别或者可识别的自然人有关的各种信息都是个人信息。与之相对应,个人信息权益的范围也随之扩大,从隐私权、名誉权扩张到包含知情、利用、删除等一系列权益。《民法典》规定,处理个人信息应遵循正当、合法、必要原则,并且需征得该自然人同意,除非法律另有规定。
那么,对于受法律保护的个人信息,政府部门以何种依据予以公开?2019年《政府信息公开条例》第15条规定,涉及个人隐私的政府信息,不得公开。但是第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,可以公开。
从公开个人信息的条件来看,《民法典》采取的是绝对且严格的保护原则,除了当事人本人同意和法律另有规定外,个人信息不允许被处理公开,而《政府信息公开条例》是行政法规,不属于法律,行政机关以此为依据公开个人信息,与《民法典》保护个人信息的原则相矛盾。条例最近一次修订是在2019年,短期内再次修订的可能性不高。因此,在实践中,行政机关应当秉承《民法典》从严保护个人信息的精神,对条例的适用进行更加细致地规定。
2、“联防联控”的防疫政策使得个人信息被泄露的风险加剧
由于新冠病毒具有极强的传播性,收集个人疫情信息特别是行踪轨迹信息成为了各地疫情防控措施的重点,而大数据的发展则为此提供了足够的技术支撑。自疫情爆发以来,“健康码”、“行程码”、“同程排查”等应用程序不断出现,各地政府部门利用大数据信息及时对感染人员及潜在风险人员进行隔离,发挥了大数据在决策和精准防控方面的重要作用。
一方面,大数据的支持有效地控制了疫情的大规模爆发,做到了重点防控,另一方面,收集个人信息的难度逐渐降低,储存个人信息的数据终端越来越多,而互联网是一个开放的空间,这些个人信息在流转的过程中被泄露的风险也越来越高。为此,2020年2月4日,中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,明确了疫情期间个人信息保护要点及原则。
三、管理个人信息应当遵循的原则
1、程序正当原则
程序正当是行政机关作出行政行为时应遵循的基本原则。《数据安全法》规定,国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。将该法条置于疫情常态化防控背景下,即政府部门对个人信息的收集、使用、公布都应当符合法定的条件和程序。在疫情防控中,程序正当主要体现在以下方面:一是处理个人信息需要明确的法律法规依据予以支撑。在重大公共卫生事件发生之后,社会秩序由《突发事件应对法》《传染病防治法》等法规进行调整,但是对于在调整过程中处理个人信息的主体、流程、操作规范,尚未进行明确规定。在常态化防疫的背景下,未来修改完善相关法律时,需要对此明晰化;二是保障权利人的知情权。《民法典》明确规定,个人隐私信息公开需要征得权利人的明确同意,而个人行踪轨迹,健康信息属于隐私信息之列,在公开时应依法通知并征求权利人的意见;三是保障权利人的救济权。在疫情防控过程中违反规定处理个人信息的行为人,应承担相应民事责任,若涉及刑事犯罪,还应当追究其刑事责任。
2、目的公益原则
公益是指公众的利益,是社会绝大部人的利益,而生命健康权又是对于个体而言最基本的权利。因此,在公众的生命健康权与其他个人权益相冲突时,对其他权利进行一定程度上的限制是正当的。在疫情防控背景下,如果是为了保障公众的生命健康权,个人的信息权益需要进行部分让步,服从于公共安全。在此过程中,应当更加注意个人信息收集的渠道、使用的方式、公布的范围,使得保护公众利益和保护个人信息处于相对平衡的状态。
3、最小损害原则
疫情爆发初期,一些流调信息被广泛传播,甚至出现患者的工作单位、家庭住址等信息,导致患者及其家人的生活遭到网友的“人肉搜索”。虽然公开行踪轨迹信息能够提醒公众自查,保障公共安全,同时也应当注重对于权利人的人文关怀,将对其损害降到最低。在公布信息时,应当注意以下三个问题:一是公布的个人信息必须与疫情防控具有重大关联性,这是《政府信息公开条例》中公布个人信息的前提条件。像患者姓名、照片等信息,与疫情防控无实质性关联,没有公开的必要;二是加强流调信息保管者的保密教育,在个人信息泄露的案例中,很多是由于政府部门或第三方监管机构人员的私下传播。因此,相关人员应当提高保密意识,在公布信息前进行脱敏处理,避免出现可以识别患者身份的个人信息;三是做好事后补救预案,如果出现个人隐私信息被泄露的情况,应及时撤回相应通知、对权利人进行心理辅导、对过失者进行严格处罚。
四、常态化疫情防控背景下保护个人信息的具体措施
1、个人信息收集、管理主体一元化
我国医疗相关法律明确规定,医疗机构及其医护人员可以收集患者的个人信息用于诊疗。除此之外,《传染病防治法》等紧急事态法律法规也规定,发生公共卫生事件后,除了医疗机构,县级以上人民政府、有关部门和专业机构均有权收集个人疫情。并且,由于新冠病毒的高传染性特点,政府在实践中采取“联防联控、群防群控”的疫情防控政策,这也导致除了上述主体外,村委会、居委会、街道办事处等非国家机关、医疗机构也成了个人信息收集者。多元化的信息收集途径为布局疫情防控网络打下了坚实基础,但同时也带来了问题,信息持有者的分散、交叉管理大大增加了个人信息被泄露的风险。
目前疫情防控措施中个人信息是通过一线主体收集,然后逐级汇总上报,个人信息在多次流转的过程中被泄露的风险也较高。如果采用信息授权访问的方式,可能会减少此类泄露风险。具体操作为全国适用统一的疫情信息录入系统,由国家卫健委联合其他相关部门协同管理,根据各地防控工作的实际需要有选择地授予访问权限。通过此种模式,能够有效降低信息重复收集、层层流转时个人信息被泄露的风险。
2、赋予公民“被遗忘权”
被遗忘权的概念产生于欧洲,欧盟公民享有要求网络服务提供者删除有关自己的不恰当的、不相关的、过时的信息的权利。我国法律体系中没有被遗忘权的概念,但在《网络安全法》中有相似规定,个人发现网络服务提供者违规收集个人信息时可以要求其删除,发现个人信息存在错误时可以要求其修改。中国第一例“被遗忘权案”的判决结果也体现了上述内核,原告认为百度浏览器中搜索到的其就业经历侵害了其姓名权和名誉权,但经过两审最终败诉,法院的核心观点是搜索到的原告个人信息真实且收集过程合法,其权益并未受到损害。
在疫情防控过程中,各类机构、各种应用终端采集到的个人信息一旦被泄露或是非法使用,对公民权益将产生巨大损害。在疫情防控过程中被泄露的个人信息不属于在现有法律框架下可以“被遗忘”的信息,但在实践层面是具有可操作性的。此类个人信息并不涉及到网络运营商的经济利益或是影响其意愿的表达,因此在删除的过程中阻力相对较小,删除后也不会对公共利益产生不利影响。
新冠疫情已存在两年半之久,从最开始的动辄封锁城市到现在的常态化防控,疫情防控政策在法治的轨道上逐步推进,而保护个人信息是与所有社会个体息息相关的问题,更应在遵循法治原则的基础上得到充分落实。

技术驱动法律,专业成就未来