随着新冠疫情爆发,各级政府及相关部门和组织根据本地疫情形势,出台了一系列联防联控措施。“防疫点”、“劝返点”、“登记处”,各种醒目的红色大标牌成为这个春节假期最特别的存在。车辆上路要登记,进出小区要登记,超市采购要登记,去趟药房、医院更要详细登记。艰难时刻,绝大多数民众都能够理解并充分配合各地政府的防疫工作,也希望通过个人信息的公开化加速武汉返乡人员的人口筛查,继而减少病毒的传播。但是,问题也随之而来,个人信息如此详实地被记录有无必要?收集信息的个人和组织是否有法律授权?大数据时代下个人信息是否会被肆意利用、甚至非法出售?特殊时期的公民个人隐私权益和国家公共安全利益如何更好地平衡?以上担忧随着各地泄露公民个人信息事件的频繁曝出(如利用微信、微博或其他互联网交互平台上公开、转发湖北武汉返乡人员的姓名、电话、身份证号和行程等信息,进而发生被泄露信息人员遭到电话辱骂、威胁等情况,侵犯了公民隐私权),成为防疫期间对国家治理能力新的考验。
笔者认为,对于如何合法合理地利用、保护个人信息,需要厘清以下基本问题:其一,什么是公民个人信息?其二,防疫期间收集公民个人信息的法理依据何在?其三,公民个人信息的收集范围和收集主体,法律法规作何规定?其四,防疫期间个人信息应该如何使用?其五,疫情结束之后如何处理被收集的个人信息?其六,对于个人信息的不当使用应该怎样追责?
一、什么是公民个人信息
《网络安全法》第七十六条第五项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定:刑法第二百五十三条之一规定:“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
从以上法规来看,公民个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人个人身份或特定自然人活动的各种信息,其具有“身份识别性”和“活动识别性”。
二、防疫期间收集公民个人信息的法理依据何在
该问题关涉公民个人信息的价值位阶。张新宝教授认为,公民个人信息价值体现在三个方面:第一,人格尊严和自由价值。在现代信息技术之下,几乎所有的个人行为都会留有信息痕迹,这些信息痕迹关涉个人生活的方方面面,实现了对个人从摇篮到坟墓的全程记录;现代化信息技术也可以实现对个人碎片化信息的整合,随着信息质和量的累积,碎片化的个人信息逐渐形成个人的“人格剖面图”。第二,商业价值。互联网的推广普及改变了商业营销模式,经营者透过数字媒体能够拓展获取消费者信息的渠道和范围,从而更加精确地了解消费者需求和偏好,享受营销回应比率提升带来的经济回报。第三,公共管理价值。信息技术与统计学、数据分析技术的结合,政府可以低成本地收集和存储更多的个人信息,为确定社情民意提供更广泛的分析样本;通过对个人信息的处理和利用,政府也可以实现科学和理性决策,更好地推进公共管理和公共服务。
我国《宪法》第三十三条规定:“国家尊重和保障人权。”;第三十八条规定:“中华人民共和国公民的人格尊严不受侵犯。”公民个人信息权益作为传统隐私权的延伸,对其进行保障,是贯彻和执行宪法的应有之义。因此,在一般情况下,国家应对公民个人信息施以绝对保护,充分体现信息主体的人格尊严和自由价值。但是,在疫情突发的特殊情况下,公民个人信息的价值位阶应因时调整,公共管理价值应处在优先位次。这种价值选择在立法中也得到充分体现。例如,《传染病防治法》第十二条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”《突发公共卫生事件应急条例》第三十九、四十条均规定了突发事件中相关公民的配合义务,这其中应当包括配合相关部门和组织如实填报个人信息。此外,《个人信息安全规范》规定,与公共安全、公共卫生、重大公共利益直接相关的情形,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。
在信息社会,“公共秩序、公共安全和公共福利的推进,都离不开以个人信息为基本单位的数据库的支撑”,新冠病毒爆发在春运之际,人口流动快、流动范围广,加大了各地政府对突发传染病的应急治理难度,因此,采取一种地毯式的个人信息登记、收集、利用的举措,成为各地政府应对疫情不得已而为之,但确实有效的普遍做法。
三、公民个人信息收集范围和收集主体
(一)公民个人信息收集范围
中央网络安全和信息化委员会办公室发布《通知》第二条要求,收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。从上述要求来看可以分为收集对象范围和收集对象基本信息范围。
1.收集对象范围
《通知》要求原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,但以笔者亲身经历,北京对疫情时期进京人员要求全部收集,不区分是否为普通人群或确诊者、疑似者、密切接触者等重点人群。
2.收集对象基本信息范围
根据《个人信息安全规范》5.2收集个人信息最小化要求,收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现。在疫情防控中,收集信息的最小化是能够判定个人基本信息,满足疫情防控的基本需求,具体来说收集内容应该仅限:姓名、电话、身体状况、14天内活动轨迹及接触史。
(二)公民个人信息收集主体
疫情期间,收集公民个人信息的主要是各级政府部门及其他单位和组织,根据相关法律法规,可以分为以下几个主体:
1.县级以上人民政府及其有关部门
《传染病防治法》第二十条规定:“县级以上地方人民政府应当制定传染病预防、控制预案,报上一级人民政府备案。传染病预防、控制预案应当包括以下主要内容:……(二)传染病的监测、信息收集、分析、报告、通报制度……。”《突发事件应对法》第三十七条规定:“县级以上地方各级人民政府应当建立或者确定本地区统一的突发事件信息系统,汇集、储存、分析、传输有关突发事件的信息,并与上级人民政府及其有关部门、下级人民政府及其有关部门、专业机构和监测网点的突发事件信息系统实现互联互通,加强跨部门、跨地区的信息交流与情报合作。”;第三十八条规定:“县级以上人民政府及其有关部门、专业机构应当通过多种途径收集突发事件信息。” 上述法律明确了县级以上人民政府及其有关部门有权制定疫情防控信息收集制度、建立疫情信息收集系统和收集信息。
2.各级疾病预防控制机构、医疗机构
《传染病防治法》第十八条规定:“各级疾病预防控制机构在传染病预防控制中履行下列职责:……(二)收集、分析和报告传染病监测信息,预测传染病的发生、流行趋势……。”《传染病防治法》第十二条:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。” 各级疾病防控机构能够进行信息收集,医疗机构在救治过程中根据职责收集个人信息。
3.街道、乡镇以及居民委员会、村民委员会
《突发公共卫生事件应急条例》第四十条规定:“传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。” 街道、乡镇以及居民委员会、村民委员会是最接近一线群众的基层组织,在疫情防控期间协助有关部门收集疫情信息。
疫情期间,除上述法律授权的组织外,其他任何单位和个人不得以任何理由在未经被收集者本人同意的情况下,收集个人信息。
四、防疫期间个人信息应该如何使用
2月1日,内蒙古鄂尔多斯的王某擅自将涉疫情排查人员名单转发至3个微信群,致使公民个人信息泄露,被处以行政拘留十日;2月5日,天津警方发布通报称,天津市一女子泄露涉及疫情的公民个人隐私,造成不良社会影响,被公安机关依法行政拘留七日等等案件在各地层出不穷。对于公民个人信息应坚持比例原则、最小范围原则,利用与保护并重。
《通知》要求:“为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。”信息的使用不得超出与疫情防控的目的具有直接或合理关联的范围;信息的使用要权衡公共利益与个人利益之间的比例;信息的收集要做到最少够用。疫情期间使用公民个人信息应当坚守合法、正当、必要的底线,保证公民个人信息的安全。
五、疫情结束之后如何处理被收集的个人信息
根据《网络安全法》规定,公民个人信息收集主体应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。《通知》同样要求收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。
对于公民个人信息的收集主体而言,当疫情结束之后,即疫情得到彻底控制之日。收集公民个人信息的目的已经达到,持续掌握不再具有正当性,收集主体有义务采取措施对所收集的信息进行销毁,对于具有医学科研价值的个人信息或病例档案,应当遵守《传染病防治法》、《医疗机构病例管理规定》等相关法规。
六、如何落实个人信息保护主体责任
工业和信息化部近日印发《关于支撑开展疫情联防联控工作切实加强个人信息保护的通知》,明确指出要切实落实个人信息保护主体责任,做到“谁收集、谁负责”“谁使用、谁负责”。具体来说,根据信息控制主体的不同、泄露程度不同,在不同层面承担相应责任,包括民事责任、行政责任或刑事责任。
根据《传染病防治法》规定:“疾病预防控制机构违反本法规定,故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的。由县级以上人民政府卫生行政部门责令限期改正,通报批评,给予警告;对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任。”
根据《网络安全法》规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。违反规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。”
根据《刑法》第二百五十三条之一侵犯公民个人信息罪规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2020年伊始,中华民族陷入巨大的苦难之中,这是一场猝不及防的战役,需要各地政府和人民的紧密配合和良性互动。遗憾的是,由于应急治理能力和治理体系的不够健全,导致在特殊防疫语境下,地方行政权力扩张,公民个人权利收缩。媒体频繁曝出的防疫个人信息泄露事件,恰恰说明了部分信息控制者在履行监管职能上的失职,也反应了传统治理思维的强大惯性。如何挣脱传统治理思维的禁锢,疏通治理体系的脉络,提升治理能力的效能,更好地平衡公民个人权利和公共利益,是这次疫情结束之后,我们需要深思的问题。
疫情防控期间公民个人信息的利用和保护
作者:刘书硕来源:北京市尚权律师事务所

随着新冠疫情爆发,各级政府及相关部门和组织根据本地疫情形势,出台了一系列联防联控措施。“防疫点”、“劝返点”、“登记处”,各种醒目的红色大标牌成为这个春节假期最特别的存在。