疫情当前,如何依法收集和使用公民个人信息

来源:永嘉信律师事务所

文章摘要
在新型冠状病毒疫情防控过程中,各地政府抗疫部门都选择了第一时间通过各种渠道通报所掌握的相关疫情信息,尤其是公布一些确诊患者信息以及其近期活动过的小区或场所,以此来警戒广大市民加强防范以及自我排查。

在新型冠状病毒疫情防控过程中,各地政府抗疫部门都选择了第一时间通过各种渠道通报所掌握的相关疫情信息,尤其是公布一些确诊患者信息以及其近期活动过的小区或场所,以此来警戒广大市民加强防范以及自我排查。
相关信息的搜集与发布确实对各地疫情的防控起到了积极作用,但信息公开的同时我们也注意到,不断出现的患者信息泄露、患者和家庭的污名化,甚至有些患者还被“人肉搜索”,例如2020年2月7日云南公安厅通过官方微博通报“2月6日文山州人民医院3名医务人员、文山市人民医院2名财务人员因偷拍、散布新型冠状病毒感染患者病程信息,造成相关小区住户人员高度恐慌,严重影响患者的家庭安全,造成恶劣影响,被文山市公安局依法作出行政处罚。”
以上情况的发生引发我们诸多思考,个人信息在疫情期间是否能够随意收集和公开?应该由谁来收集以及采用何种形式去公开?应怎样避免因不当使用个人信息,侵犯患者隐私承担法律责任?本文将从个人信息保护的角度详细解读在疫情期间应如何正确公开疫情信息以及保护患者的个人隐私。
一、什么是个人信息
由于我国目前《个人信息保护法》尚处于制定中,所以对于个人信息的界定以及保护主要来源于《民法总则》《刑法》《侵权责任法》《网络安全法》等相关法律规定。但实际上在众多相关法律中,明确界定什么是个人信息的只在《网络安全法》中有所体现。根据《网络安全法》第76条规定“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。因此对于疫情期间我们所收集的各类信息是否属于个人信息,其认定的本质核心就是该信息是否可以直接或间接的识别个人身份。尤其是某些信息表面上单独不能构成识别个人身份的信息,但其与其他信息结合后自然可以作为识别个人身份的信息,那么就应当将其认定为个人信息。例如公布“在某小区居住,在某单位工作的一男性为确诊患者”,此类信息单独拆分后似乎很难作为识别个人的信息,但信息相互结合后能够恢复识别的或有识别出个人的可能性,律师认为如在达到识别的可能性的场景下,应将其认定为个人信息。
另外,在非法律层面上, 2017年全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》规定,个人信息包括姓名、出生日期、身份证号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
因此律师认为,近期各相关部门、单位以及个人通过各种渠道所公布的感染患者的身份信息、病程信息、活动轨迹等均属于个人信息的范畴。
二、疫情期间个人信息收集的正当性分析
根据我国《传染病防治法》以及《信息安全技术个人信息安全规范》的规定,在涉及重大公共安全、公共卫生、重大公共利益的个人信息收集,一切单位和个人均负有配合收集机关的义务。因此律师认为在本次抗击新冠病毒疫情的特殊期间,相关主体可以收集相关个人信息,并且无需征得信息主体的同意。
既然在抗击疫情的特殊时期基于疫情防控目的可以收集相关人员的个人信息,那么究竟是谁有权或者说应该由谁来负责收集信息?目前我们可以看到的是政府相关部门、基层单位、社会机构包括媒体都在收集相关人员信息,那么此类收集是否有法可依?
(一) 法律法规中明确有权收集相关信息的主体
根据《传染病防治法》第7条“各级疾病预防控制机构承担传染病监测、预防、流行病学调查、疫情报告以及其他预防、控制工作。医疗机构承担与医疗救治有关的传染病防治工作。城市社区和农村基层医疗机构在疾病预防控制机构的指导下,承担城市社区、农村基层相关的传染病防治工作”以及《突发事件应对法》第9条“国务院和县级以上地方各级人民政府是突发事件应对工作的行政领导机关”
中央网络安全和信息化委员会办公室2020年2月4日发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条:“各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。”
根据以上规定可知,在疫情期间能够有权收集相关人员信息的主体应该是各级政府相关疫情控制职能部门,也包括各基层社区、居委会以及各级相关医疗机构。
(二) 其他单位和个人承担信息收集及报送义务
《传染病防治法》第三十一条规定:“任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。”在《突发公共卫生事件应急条例》中同样规定:“任何单位和个人对突发事件,不得隐瞒、缓报、谎报授意他人隐瞒、缓报、谎报。”因此,在此次疫情期间,其他单位尤其是企业应当在企业管理的范围内履行主体责任,及时登记和排查员工、访客、客户、供应商等相关信息,一旦发现感染情况立即向疾控中心或者医疗机构报告相关情况。当然作为个人如果掌握疫情信息也负有向相关机关报送的义务。
因此律师认为,除了法律法规中有权收集相关信规定的机构外,其他单位以及个人也应当承担相关的疫情信息收集及报送的义务。
(三)为疫情防控目的收集及报送行为是否需要授权
2020年2月4日,中央网络安全和信息化委员会办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,其中规定:“除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。为疫情防控、疾病防治收集的个人信息,不得用于其他用途。”
基于疫情防控的背景,出于维护社会公共利益,法律授权有权机构可以收集、处理、公布疫情信息,已经是对个人信息保护的一种折中和调和。正因为是折中与调和,更需要严格把握个人信息收集、处理的限度。因此在疫情特殊时期,相关企业出于疫情防控工作的需要收集相关个人信息,如超市登记顾客的身份信息、各大航空公司登记旅客详细出行信息、企业配合疾控机构进行与疫情相关的个人信息的收集、排查和报送,这均是企业为履行法定报告义务而进行的收集及处理个人信息行为,不需要特别授权。但律师认为有权机构之外的其他单位在收集个人信息时应遵守相关个人信息保护的规定,应采用告知和同意的模式,即收集前明确告知信息主体本次收集的目的和用途,并取得信息主体同意后方可收集,并严禁随意泄露和使用收集的个人信息,以避免承担法律责任。无论是政府职能部门还是医疗机构,或是其他企事业单位或是有关个人,非法收集或泄露个人信息的,轻则承担民事侵权责任,重则应承担刑事责任。
三、疫情期间如何防范个人信息滥用的风险
政府各相关职能部门、医疗机构以及其他单位和个人基于疫情防控需要收集的个人信息,原则上应用于疫情防控的目的范围内,不能用于其他目的。为了避免因个人信息的收集或公开承担法律责任,根据《个人信息安全规范》《关于做好个人信息保护利用大数据支撑联防联控工作的通知》及其他相关法律法规的规定,律师认为相关单位或个人应该注意以下几点:
第一,应当确定收集信息的范围及使用主体范围,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,使用主体应当为确实必要的人员,仅为必要人员可以访问;
第二,在处理相关信息时,应当避免歧视性对待(避免对湖北籍员工进行事实歧视,如不合理要求湖北籍员工提供非疫情必要信息);
第三,个人信息原则上不得公开披露,经法律授权或具备合理事由确需公开披露时应当向个人信息主体告知公开披露个人信息的目的、类型,并提前取得个人信息主体同意。
第四,应对个人信息进行去标识化处理,做到尽可能的保护确诊患者或其他相关人员的合法权益。
另外,对于企业而言在疫情时期除了要注意以上几点外,在个人信息的收集和使用中为进一步避免不合理收集以及滥用,律师建议企业可以在要求员工登记个人信息的邮件及信息中明确登记目的及使用范围;如企业已经复工,可在访客登记处明确张贴相关通知;如牵扯对员工及访客的信息采取处理行为的,企业应当在相关邮件、信息及通知中明确信息处理的方式,并充分告知员工及访客其信息的处理情况。
结语
疫情危机时刻,我们应该将公共卫生安全摆在首位,其涉及到广大人民群众的安全,当公共卫生要求与个人信息以及隐私保护发生冲突时,我们应该首先考虑公共卫生安全。但是,这并不意味着可以完全不顾及公民个人信息的保护。正如《中央全面依法治国委员会关于依法防控新型冠状病毒感染肺炎疫情、切实保障人民群众生命健康安全的意见》所指出的,要对疫情进行依法、科学、有序防控。这就要求我们在法律规定的合理范围和尺度内进行收集和使用,以求在满足公共卫生防控需要的同时最大限度的保护公民的个人信息安全,防止小区污名化、患者被歧视等问题的出现,同时也避免因不合理的收集和披露所产生的法律责任问题。

技术驱动法律,专业成就未来