高宇律师疫情之下的个人信息保护问题
截至年4月27日,国内新型冠状病毒-nCoV感染者现有确诊人数已达人,新增确诊人。[1]病毒主要经呼吸道飞沫和密切接触传播,在相对封闭的环境中经气溶胶传播,接触被病毒污染的物品后也可造成感染。传染源主要是新型冠状病毒感染者,在潜伏期即有传染性,发病后5天内传染性较强。[2]
因病毒感染人数多、传播途径广、人群普遍易感、潜伏期长,做好疫情的防控工作便更加重要。响应政府要求,各单位、企业、社区组织也逐步开展对于相关人员的信息收集与排查工作,将有关情况予以公布。但在此过程中,部分人员信息并未得到妥善保护,存在隐私泄露的问题。本文主要探讨在做好疫情工作的前提下,信息搜集的正当性与信息公开的合法性适当性要求。
年1月20日,经国务院批准,中华人民共和国国家卫生健康委员会发布公告,将新型冠状病毒感染的肺炎纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施;将新型冠状病毒感染的肺炎纳入《中华人民共和国国境卫生检疫法》规定的检疫传染病管理。[3]此外,多地陆续启动一级响应,适用《突发公共卫生事件应急条例》的有关要求。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告;《突发公共卫生事件应急条例》第二十一条规定,任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报;由国务院应对新型冠状病毒感染的肺炎疫情联防联控机制印发的《公共场所新型冠状病毒感染的肺炎卫生防护指南》中指出,要对来访人员进行管理,新型冠状病毒感染的肺炎流行期间,办公楼等场所应当加强对来访人员健康监测和登记等工作。这些均说明,从个人到单位,都有责任和义务及时向疾病预防控制机构或者医疗结构等报告疫情有关情况,从单位的角度说,则还有一定的义务对单位员工、来访人员进行相关信息的搜集与排查。
对于这些信息的内容,除了姓名、体温等基础信息外,某些情况下包含身份证号码、电话号码、住址、个人行踪(如航班、车次、酒店信息)等,上述信息如果泄露,对个人生活将造成重大影响。我国《民法典》第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。《网络安全法》第四十二条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。因此,单位在搜集这些信息时,应当明确告知被搜集者信息使用用途、信息保护方式、信息泄露时的处理措施,并且严格限制信息使用途径,避免信息的多次流转。可尽量避免使用Excel表格或书面的方式进行信息搜集,以便限制无关人员对于信息的访问。在确需对单位内部公开公民个人信息时,实行必要信息最小化原则,可采取匿名化、去标识化等方式以避免引发对相关人员的歧视以及隐私的泄露。在疫情结束后,应对有关信息及时进行删除。
虽然上述法条赋予相应主体获取他人个人信息的正当性合法性,但在搜集信息时,相关主体还应遵循一定的“必要原则”。早在年,欧洲理事会(CouncilofEurope)在《关于个人数据自动化处理的个人保护公约》中就规定:个人数据应出于明确、具体及合法的目的而收集,且对其处理目的而言,数据应适当、关联且不过量。在年欧盟《数据保护指令》中“必要原则”被进一步强调,最终成为年《一般数据保护条例》(GDPR)数据处理原则的“目的限定原则”和“最少数据原则”。[4]我国除了在上述《网络安全法》中规定信息搜集应有明确目的且限制信息的使用途径外,在《个人信息安全规范》5.2条中也指出,收集个人信息的最小化要求需要遵循“直接关联”、“最低频率”以及“最少数量”。去年新出台的《个人信息保护法》更是对相关要求予以细化明确,要求收集个人信息限于实现处理目的的最小范围。
而在本次疫情中,有关单位应当做到只搜集与疫情直接相关的信息,如姓名、体温、活动范围等,而对于与疫情无关的信息,如肖像、婚姻状况、征信状况等不予搜集。区分来访人员与单位内部职工,区分确诊患者与疑似患者,根据具体情况划定信息搜集范围与信息搜集程度。因为疫情的蔓延,对于公共卫生知情权的追求易导致对于信息追求的扩大化,过分地保护隐私权也不利于阻止疫情的扩散。此时对于“必要原则”的应用,不仅可以在维护公共利益的背景下实现对公民私权的有效保护,也可以在维护公民私权的前提下实现公共利益的最大化,达到公共利益与私权保护之间的平衡。
信息搜集完毕后,有关单位应当及时将信息递交相关部门,如疾病预防控制机构或医疗机构,不得自行发布。根据《中华人民共和国传染病防治法》第三十八条、《突发公共卫生事件应急条例》第二十五条,国家建立传染病疫情信息公布制度、突发事件的信息发布制度。国务院卫生行政部门定期公布全国传染病疫情信息。省、自治区、直辖市人民政府卫生行政部门定期公布本行政区域的传染病疫情信息。传染病暴发、流行时,国务院卫生行政部门负责向社会公布传染病疫情信息,并可以授权省、自治区、直辖市人民政府卫生行政部门向社会公布本行政区域的传染病疫情信息。公布传染病疫情信息应当及时、准确、全面。因此,仅国务院及省级人民政府的卫生行政部门有权向社会公开披露相关信息,一般单位不得直接公开披露相关信息。
此外,根据《民法典》《网络安全法》《个人信息保护法》的相关要求,搜集公民个人信息本应取得公民的授权同意,但根据《传染病防治法》以及《突发公共卫生事件应急条例》,在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况,个人有义务向有关部门提供疫情信息。并且在《个人信息安全规范》第5.4条中指出了征得授权同意的例外,以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:……b)与公共安全、公共卫生、重大公共利益直接相关的。因此,在疫情的特殊背景下,对于信息的搜集必要情况下可不征得个人的授权同意,但仍然需要遵守“必要原则”并严格限制信息的使用途径。
在此次疫情中,我们可以在
转载请注明:http://www.xibuniuzaiku.com/ylfz/11856.html
