疫情防控背景下个人信息数据的合理使用
2003年SARS病毒(俗称非典)、2014年埃博拉病毒疫情肆虐刚淡出了人们的视野,近日新型冠状病毒感染的肺炎疫情来势汹汹,又一次刺痛了广大民众的神经。引起大众关注的是疫情,但疫情背后应是理性的思考。
此次疫情与2003年的SARS病毒疫情非常相似,但随着交通的发达和人流量的增大,2020年的新型冠状病毒肺炎疫情传播更具广泛性,全国大多数地区已经启动疫情一级响应措施,国家亦把此次疫情纳入乙类病毒,采取甲类措施进行防控。
区别于2003年非典,近年来,我国公共医疗卫生领域吸纳了国内外当前先进的信息技术,信息化程度得到很大提高。我国卫生统计建立了覆盖国家、省、市、县、乡、村六级的、从业人员达数十万人的工作网络,建立了动态的医疗卫生机构、卫生人力等信息库,及卫生资源与卫生服务利用、疾病报告与健康监测等大型数据资源库。
自2020年1月20日起,全国开始每天公布新型冠状病毒感染的肺炎疫情信息,各级省、市也陆续公布辖区内肺炎疫情信息,如图(截自国家卫生健康委员会官方网站)。
2020年01月20日,习近平总书记对新型冠状病毒感染的肺炎疫情作出重要指示,强调要把人民群众生命安全和身体健康放在第一位,坚决遏制疫情蔓延势头。面对来势汹汹的新型冠状病毒疫情,全国各省份陆续启动重大突发公共卫生事件一级响应,流动人员信息申报、摸排、登记等各项防控举措旋即展开,但#武汉返乡人员信息被泄露#、#呼吁停止泄露武汉返乡人员信息#等话题也随即成为网民在微博等社交平台热议的焦点。
在这场没有硝烟的新型冠状病毒战役中,在举国攻艰的特殊时期下,政府如何及时、准确地公开政府信息,同时保护个人信息安全、尊重个人隐私,是应对新型冠状病毒感染的肺炎疫情的重要策略。
一、疫情防控背景下个人信息收集和使用合规
《中华人民共和国传染病防治法》第十二条规定,在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。
《突发公共卫生事件应急条例》第四十条规定,传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。
上述条款赋予了有关部门和机构出于疾病防控目的而收集个人信息的权力,且在特殊情况下,该等权力的行使具有强制性和单方意志性。不过,这并不意味着有关部门和机构在收集个人信息时不应受到任何规制。纵观我国现阶段个人信息保护的立法,主要立足于民事领域,以及行政主管部门对平等主体之间信息收集与被收集的监管。对于行政主体收集公民个人信息的行政行为,仍然缺乏完善的法律规制。除了呼吁尽快完善立法外,笔者认为,在疫情防控背景下的特殊时期,有关部门和机构在收集个人信息时,可参考其他有关规范性文件、标准和指南,切实维护被收集者的合法权利,并重点做到以下几点:
1、主体适格
收集个人信息的主体应获得法律的明确授权,或其他有权收集主体的授权。
2、手段合理
收集个人信息的途径和方式必须按照规范性文件的规定执行;没有特殊规定的,应当确保手段的合理性;不得以欺诈、窃取、利诱、侵入计算机信息系统等不正当手段收集个人信息。
3、目的明确
所收集的个人信息仅能用于疫情防控的既定目的,未经本人许可,其信息不得被用于其他目的。
4、事前告知
收集个人信息前,实施收集工作的主体应当向被收集者说明信息收集的相关情况,包括但不限于:信息收集者的身份、信息收集的法律依据和授权来源、信息收集的目的和方式、所收集信息将来的处理方式和使用范围。
除以上四点外,在此特殊时期收集个人信息还应遵循“最少够用原则”。诚然,越详尽的数据越有利于病毒特性的分析,但对于非确诊的武汉返乡者、途径武汉者等人员,可按风险等级进行划分,再合理确定个人信息的收集范围,避免收集与疫情防控无关的个人信息。
同时,用个人隐私换取其他便利本身也是得不偿失的。个人隐私和信息保护工作的疏漏可能会造成群众对信息披露的恐慌、以及对信息披露技术的担忧。为避免在政府收集和使用个人信息出现疏漏,应注意不得损害他人合法权益及社会公共利益,并坚持合法使用、合理披露的原则。
1、建议政府部门在收集和使用个人信息时,应当明确使用目的并经信息来源个人允许的情况下,在合法的范围内使用,即合法性原则。个人信息因其人格价值,需要政府部门在合法的范围内合理使用个人信息。除上述规定外,现行《中华人民共和国消费者权益保护法》及《中华人民共和国网络安全法》均确认,收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;同时,在收集和使用和人信息时,应当坚持安全与信息化发展并重,遵循依法管理、确保安全的方针。
2、政府在收集和使用个人信息时,应当对个人敏感隐私信息和具备较强指向性的个人信息进行合理使用,必要时予以匿名保护。在疫情防控背景下,实名制的个人信息管理办法存在造成泄露个人敏感信息的风险。个人信息实名制的风险可参考我国于开始推行快递实名制之初,要求快递单显示的姓名、手机号、地址等个人基本信息,然仅2015年11月至2015年12月,全国快递企业重大信息泄露案43起,个人信息泄露更是不计其数。当前,国内多个快递物流企业开始试用快递“隐私面单”,“隐私面单”用技术手段将快递单匿名化,快递单上用户的名字和电话号码间4个数字,将被*字符取代,只保留基本地址信息,不仅提高行业的安全系数,减少消费者的顾虑,也进一步推动快递实名制的落实。
二、疫情防控背景下个人信息传输合规
个人信息的传输工作主要分为两大类,即不同系统之间的信息传输和同一系统内部的信息传输。
(一)不同系统之间的信息传输合规
不同系统之间的信息传输,主要存在于卫生健康系统与交通运输、食品药品、教育、公安等系统之间的数据共享。在该等模式下,数据的发送方和接收方往往均为行政机关,其传输行为将遵循一定的内部格式和流程,且受到上级机关的监督和指导,因而较为规范。
但需要注意的是,由于相关数据包含了个人信息,甚至个人敏感信息,因此,该等数据并不宜向各系统全面分发。早前,部分城市已尝试就不同系统间数据共享的问题进行了细化规范,如贵阳市人民政府于2018年发布了《贵阳市政府数据共享开放实施办法》,其中第18条规定,政府数据按共享类型分为无条件共享、有条件共享、不予共享等三类;有条件共享的政府数据,数据提供机关可以提供给相关行政机关共享使用或者仅能部分提供给所有行政机关共享使用;涉及健康保障、社会保障、食品药品安全、安全生产、价格监管、能源安全、信用体系、城乡建设、社区治理、生态环保、应急维稳等主题信息资源,应当在行政机关之间有条件共享。
2020年01月29日,交通运输部发布《关于统筹做好疫情防控和交通运输保障工作的紧急通知》(交运明电〔2020〕33号)。通知强调,要依法严格保护个人隐私和个人信息安全,除因疫情防控需要,向卫生健康等部门提供乘客信息外,不得向其他机构、组织或者个人泄露有关信息、不得擅自在互联网散播。
同时,《互联网群组信息服务管理规定》第九条规定,互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间;第十条规定,互联网群组信息服务提供者和使用者不得利用互联网群组传播法律法规和国家有关规定禁止的信息内容。数据的发送方除按内部规范和上级指示做好传输共享工作外,还应在传输前核实数据接收方的接收资格,即接收方是否获得了法律的明确授权,或其他有权接收数据的机关的授权,确保包含个人信息的数据仅在必要范围内传播,同时准确记录和保存个人信息的传输共享情况,包括日期、规模、目的,以及接收方的基本情况等。
(二)同一系统内部的信息传输合规
同一系统内部的信息传输,主要存在于多人员协同工作、上下级信息呈报,也是本次疫情中个人信息泄漏的“重灾区”。在该等模式下,为方便工作,不少工作人员选择采用微信等个人社交软件传输含有公民个人信息的数据,该等传输方式有其便捷、灵活、高效的一面,但另一方面也将因为其易复制、易传播、不受限的特性而使数据一经发送便不再受控,成为信息泄露的“温床”。
由国家保密局主管的“保密观”微信公众号就曾多次发文提醒微信办公的信息泄露风险并指出,“原则上不提倡使用微信办公,因工作特殊、确有需要的,可以在控制范围内组建工作群,交流内容严格限定为周知性的一般信息,禁止传播一切国家秘密、工作秘密、商业秘密以及个人信息”。
《中华人民共和国保守国家秘密法》第26条规定,禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。针对公民个人信息,虽暂无立法性质的文件对其传输方式加以限制,但考虑到疫情期间所收集数据的特殊性和受关注度,其中个人信息一旦遭到泄漏,将对信息主体的名誉权、隐私权等权利造成极大的损害,且易引起社会性恐慌,各部门有必要对特殊时期个人信息的传输工作予以特殊重视:
1、公私隔离
应提倡使用办公专用软件传输包含个人信息的数据,该等软件应确保与工作人员的社交圈隔离,有条件的行政机关可自建或委托筹建办公专用平台,做到公民个人信息的有限、受控传播。
2、专题教育
前文所述微信办公导致信息泄露的问题,关键并不在于微信本身,而在于相关人员的公民信息保护意识淡薄。因此,各部门有必要开展专题教育,让相关人员认识到微信的开放性质,普及信息网络安全知识,提高工作人员的信息保护风险意识和责任意识。
3、规范流程
各部门应完善内部报告与协作机制,制定特殊时期数据传输工作的方案和预案,将公民个人信息的保护工作作为一项重要工作纳入前述方案和预案中。
(三)个人信息传输中的数据泄漏问题
目前,《中华人民共和国刑法》于第二百五十三条设立“侵犯公民个人信息罪”,其中第一款规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
同时,《中华人民共和国居民身份证法》则以第十九条对国家机关及其他单位对个人信息的合理使用做出规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。
另,《中华人民共和国护照法》也在其第二十条对护照签发过程中的公民个人信息保护作出特别规定:护照签发机关工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;构成犯罪的,依法追究刑事责任:
- ··(五) 泄露因制作、签发护照而知悉的公民个人信息,侵害公民合法权益的;
即,虽然部分条款赋予了有关部门和机构出于疾病防控的目的等特殊情况下收集个人信息的权力,但如国家机关泄露或非法使用个人信息,将面临行政责任或刑事责任。
2020年01月29日,中共益阳市纪律检查委员会、益阳市监察委员会发布《关于赫山区卫生健康局副局长舒庆国等人违反疫情防控工作纪律的情况通报》。通报称,湖南省益阳市赫山区卫生健康局党组成员、副局长舒庆国、赫山区财政局财评股工作人员段君飞、赫山区财政局监督股股长邓伟等人将属于内部工作文件且涉及多人隐私的《关于益阳市第四人民医院报告一例新型冠状病毒感染的肺炎病例的调查报告》转发给无关人员,进而传播至微信群,违反疫情防控工作纪律并侵害他人隐私,造成严重社会影响,经市纪委市监委同意,赫山区纪委监委决定对舒庆国予以党纪立案调查,对段君飞、邓伟给予诫勉谈话。
同时,《中华人民共和国治安管理处罚法》第四十二条亦对侵犯公民隐私作出处罚型规定:有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:···(六)偷窥、偷拍、窃听、散布他人隐私的。
三、疫情防控背景下个人信息储存合规
(一)我国已初步建立个人信息存储合规性管理体系
《中华人民共和国民法总则》第一百一十一条规定,自然人的个人信息受法律保护。《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
上述法律规定表明,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
疫情当前,即使出于维护社会公共利益的需要,也不应全盘牺牲个人利益,政府更应做好特殊时期的个人信息保护工作,确保各有关部门、机构、人员,特别是协助行政机关从事管理工作的基层群众性自治组织及其工作人员,严格依法收集、传输和披露涉及个人信息的数据。
同时,依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
(二)完善个人信息存储是尊重个人信息价值的重要体现
根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息具备两个层面的价值,即人格价值和财产价值,在疫情防控背景下,尤为重要的是个人信息的人格价值。由于个人信息本身具备的可识别性,在疫情防控背景下,个人信息均为对特定人出行轨迹的描绘和生活状态的复述,如未经许可擅自发布患者个人信息或载明个人信息的报告,显然是对人格价值的践踏。另一方面,大量互联网技术的兴起促使商业经营者对个人信息的收集和利用效率得到提升,如不法分子利用该种信息实施相应的违法行为,后果不堪设想。
因此,在合法使用和合理使用的原则下,健全和完善个人信息权利的救济制度则显得尤为重要。目前,我国网络安全法已要求运营者及时受理并处理有关网络信息安全的投诉和举报。鉴于个人信息泄露的多发性,应当参考举证责任倒置原则,要求在此类案件中由信息的使用和发布者举证证明其信息适用的合法性和合理性;如能在个人信息侵权案件中引入精神损害赔偿原则,则彰显对个人信息人格利益和财产利益的尊重,促进个人信息的合理使用。
四、疫情防控背景下政府信息公开中的个人信息披露合规
(一)我国现行对个人信息披露的合规性要求
《中华人民共和国政府信息公开条例》于其第十四条建立了对政府信息公开中保密责任的限制性规定:
行政机关应当建立健全政府信息发布保密审查机制,明确审查的程序和责任。
- ··
行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是,经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息,可以予以公开。
《国务院办公厅关于印发2018年政务公开工作要点的通知》则于第十四条再次强调了政府信息公开的保密性审查义务:
加强政府信息公开审查工作。政府信息公开前要依法依规严格审查,特别要做好对公开内容表述、公开时机、公开方式的研判,避免发生信息发布失信、影响社会稳定等问题。要依法保护好个人隐私,除惩戒公示、强制性信息披露外,对于其他涉及个人隐私的政府信息,公开时要去标识化处理,选择恰当的方式和范围。
据此,我国已要求政府机关在信息公开的过程中,应当遵守对保密信息包括个人隐私的审查工作,非因权利人同意或对公共利益可能造成重大影响的,应当予以保护,不得公开。
同时,在其他行业监管政策中,中国人民银行关于印发《中国金融业信息技术“十三五”发展规划》专栏五第二点提出:“逐步完善敏感信息保护机制,规范互联网环境下使用敏感数据的行为,强化对金融机构向第三方机构提供客户信息的技术监管,加强对内部职工和外部合作单位的管理。”银监会在《信息科技风险现场检查指南》中提出:“测试中如需使用生产数据,应对相应数据进行脱敏、变形处理,当使用生产数据测试时是否得到高级管理层的审批并采取相关限制及进行脱敏处理”。
(二)目前政府信息公开于实践中已发生的漏洞
吉林磐石市政府曾于其政府官网先后发布《磐石市2017年考核整改建档立卡数据信息调整和补录工作新识别贫困户名单公示》、《关于磐石市2019年申请由租赁补贴转实物配租的家庭名单公示的通知》,但未对相应人员的姓名、身份证号码、家庭人口数完整公示出来,对身份证号码未做任何模糊处理;又例如湖南新宁县政府曾于其官网 “通知公告”栏目发布《新宁县城镇住房保障事务配租审核对象名单公示》,未将相应人员的姓名、身份证号码等信息做模糊化处理,且在公示期完结后依然保留。
(三)政府信息公开应坚持的原则
在法有明令禁止的情况下,政府信息公开应当保护个人隐私。在当前疫情防控背景下,即便需及时更新和通报疫情现状,也应当在发布过程中注意对个人隐私的保护。不过,在《中华人民共和国政府信息公开条例》第十四条授权行政机关于其“认为不公开可能对公共利益造成重大影响的情况下可适当发布涵盖个人隐私的政府信息”,及第六条要求行政机关在“发现影响或者可能影响社会稳定、扰乱社会和经济管理秩序的虚假或者不完整信息的,应当发布准确的政府信息予以澄清”的情况下,目前政府已经并应坚定地将“信息公开”作为应对新型冠状病毒感染的肺炎疫情的重要策略之一。在疫情防控背景下,政府信息发布应当坚持如下原则:
1、据实发布,择重公开。由于本次疫情传播快、影响面大,出于公共安全保护的角度,在接收疑似或确诊病例后,政府信息公开应当根据患者入院前实际接触的人群、地点、车辆等可能造成疫情蔓延的信息进行发布。在本次疫情的政府信息公开中,携带患者的列车信息、各地分别发布的辖区内以人流集中区域为单位的患者数量、患者入院前实际前往的区域等,均是在未明确患者身份的同时,公布了可能存在病毒的场所,并对可能接触病毒的人群作出了相应检查提示。
2、对个人信息予以去标识化管理。在“一场同学会6人确诊”这一事件里,合肥市卫健委于其公布的1月29日合肥市报告新型冠状病毒感染的肺炎疫情情况中,对因参加同学聚会而确诊多名男性患者,仅公布了其姓氏、年龄、现居地区、聚会时间、发病时间、入院时间,对首个携带病毒者则仅多公布了其从武汉回肥的时间,同时公布了患者“病情稳定”,在对个人信息去标识化的同时,提示群众回避聚会,并对疫情情况作出了准确描述,避免了群众产生过分的紧张情绪。
3、坚持行政机关与专业力量的联动。由于个人信息保护技术的复杂性,及政府信息公开的严肃性,行政机关可选择与专业第三方力量建立信息发布联动,熟练地运用法律和信息技术知识对相关问题加以分析和解决。值得注意的是,政府也是信息收集处理的一方当事人,出于社会管理职能需要对个人信息进行收集,同时又承担着互联网行业和其他机构(包括自己)的监管职责,在平衡公共利益与个人利益的同时,不妨与社会专业力量联动,实现政府信息公开的合法化与高效化。当然,政府机关在信息披露中借助第三方专业力量时,也应当要求第三方按反洗钱法律、行政法规的要求,采取了客户身份识别和身份资料保存的必要措施。
五、疫情防控背景下个人信息的销毁工作
数据销毁作为数据生命周期中最后一个环节,同样需要按照一定的规范来完成。同样的,在疫情防控背景下的个人信息最终也应当在恰当的时间完成销毁,为整个个人信息生命周期形成完整的闭合。
《人口健康信息管理办法(试行)》第12条规定,责任单位发生变更时,应当将所管理的人口健康信息完整、安全地移交给主管部门或承接延续其职能的机构管理,不得造成人口健康信息的损毁、丢失。因此,本节我们讨论的需要销毁的个人信息并不包含涉及人口健康信息的部分。
《信息安全技术·个人信息安全规范》(GB/T 35273-2017)提出,个人信息保存期限应为实现目的所必需的最短时间,且在超出前述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
如本文开篇所述,为应对本次重大突发公共卫生事件,各地先后开展了流动人员信息申报、摸排、登记工作,该等个人信息的收集均系出于疫情防控的必要,故待本次疫情结束后,若相关信息主体并未感染2019-nCoV,同时相关信息根据法律法规的规定以及行政机关的内部归档要求确无必要继续保存,且无其他与本次疫情有关的科学研究价值的,相关部门、机构、人员应当出于对公民个人信息的安全负责的态度,将其销毁或作匿名化处理。
需要注意,个人信息的销毁工作应符合以下安全要求:
1、个人信息数据从相关存储设备删除之后,应当采取措施防止通过技术手段恢复;
2、对于存储过个人信息的设备,在进行新信息的存储时,应当将之前的内容全部删除;
3、废弃存储设备时,应当在删除个人信息数据后再进行处理。
在移动互联网时代,全民监督成为可能。疫情防控背景下,及时、完整的疫情信息公开必然能够帮助人们增加其对“新型冠状病毒肺炎”风险的了解,但由此造成个人信息泄露则得不偿失。各级政府部门在疫情信息发布过程中,应对涉及个人隐私的信息应当坚持“最少够用原则”,合理、合法的收集和使用个人信息,重视信息传输、存储工作的安全性,在择重公开的同时对个人隐私采取去标识化处理,则于合理时间后对非重要信息开展合理的销毁工作。在政府信息公开工作中做到统筹兼顾、突出重点,在疫情防控背景下坚持建设令人民满意的服务型政府。
作者: 夏海波
