疫情防控与个人信息法律保护平衡问题

疫情防控与个人信息法律保护平衡问题

摘要:肺炎疫情防控过程中,泄露、非法买卖公民个人信息案件频发,维护公共利益和保护个人信息之间的张力被放大。重大疫情防控中,收集、公布和使用相关个人信息既是疫情防控措施的重要组成部分,又是保护公民知情权、监督权的必要手段,个人私权应当进行适当的让渡。从实践来看,公民个人信息的采集、处理有突破知情同意、最小够用原则的现象,当前的立法保护存在碎片化的现状,建议从修改侵犯公民个人信息罪、加快出台《个人信息保护法》、补充完善相关重大突发事件应对法中个人信息保护条款等方面入手,构建完善的个人信息保护法律体系。

关键词:个人信息;信息自决;公共利益;侵犯公民个人信息罪

1特殊时期侵犯个人信息案件频发

依据我国2017年《个人信息司法解释》,个人信息是指以电子或其他方式记录的、能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人信息具有识别性、关联性和可处理性。个人信息涵盖关键敏感的个人信息、重要个人信息和普通个人信息,其中关键敏感的个人信息与隐私信息存在交叉。作为公民人格权的重要组成部分,个人信息兼具人身权利和财产权利双重属性。疫情防控过程中,泄露公民个人信息的案例密集、频繁发生。如2020年1月26日,大量返乡人员的个人姓名、身份证号码、户籍地址、家庭住址、手机号、车牌号、车票航班信息等个人信息遭到泄漏,部分受害者频繁遭受电话辱骂。2月云南文山州人民医院的三名医护人员私自用手机拍摄医院内部存储的肺炎患者信息并公开散布,造成相关小区居民高度恐慌,影响恶劣。山西临汾一男子姚某在微信群中传播“35名密切接触者名单”,郑州郭某鹏事件中其个人照片、单位同事甚至亲友的信息一时间被大范围转发传播,北京境外输入患者黎女士、“跑步女”等人员与疫情无关的其他个人信息被网友扒到底朝天等,其中也不乏“夹带私货”、无中生有之情况。重大突发公共事件面前,大数据的开放共享、公共社会治理决不能突破保护公民个人信息权这个底线,个人信息的法律保护问题再次引起高度关注。2020年2月5日,同志主持召开中央全面依法治国委员会第三次会议时强调,疫情防控越是到最吃劲的时候,越要坚持依法防控。中央网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,针对公民数据资料尤其隐私信息泄露的潜在风险,专门强调必须严格依法收集、使用个人信息,且对外公布须先行脱敏处理。反观《突发公共卫生事件应急条例》《民法总则》《网络安全法》《国家基本公共卫生服务规范》《政府信息公开条例》等相关法律,重大疫情防控中的个人信息保护并无系统的规定。中央网信办的《通知》虽然强调了重大疫情防控中收集使用个人信息保护的原则,但对于具体的保护措施、保护内容依然缺失。尤其是超市、药店等商家登记采集的个人信息,详细至身份证号、通讯电话、家庭住址乃至门牌号码,这些信息如果不能被妥善保存或及时销毁,疫情结束后将有可能引发更多的侵犯个人信息违法案件。

2维护重大公共利益与个人信息保护之间的张力

2.1收集、公开相关个人信息的必要性

以人格权和信息自决理论为基础的个人信息保护,要求必须遵循知情同意原则、最小够用原则(最小范围原则)、公开透明原则、权责一致原则、限制利用原则和特定情况下的公共利益优先原则。在重大突发公共事件面前,为维护公共利益尤其是数以亿计公民的生命健康安全,公民私权必须进行相应的让渡,个人隐私权让渡于公众知情权,兼具人身权和财产权的个人信息权让渡于生命健康这一最基础的人格权。重大传染病防治的基本手段之一就是“确定传染源、切断传染途径”,为追踪疫情传播路线和科学分类收治病患、隔离密切接触者,必然需要采集统计、分析使用大量涉及公民关键敏感的信息,这是科学收治、医治病患的客观需要。政府主管部门、医疗卫生机构也只有掌握足够的疫情信息,才能科学精准地分类施策,信息收集、公开本身就是疫情防控工作的重要组成部分。基于对疫情的恐慌、焦虑和个人生命健康的考虑,公众对公布疫情信息尤其是身边的感染者信息需求尤为迫切,及时对关涉不特定多数人公共利益的信息进行收集、公布,既是政府的法定义务,又是保障公民知情权、监督权的必要手段,也是安抚群众、进行社会心理干预的重要方式。

2.2加强个人信息法律保护的紧迫性

“知情同意”是个人信息保护的基石,政府机关、社区和各企业商家采集个人信息必须确保个人信息持有人事先同意、知悉采集程序、使用目的和可能产生的后果,这是信息自决的根本要义。无论是政府主管机关、社区还是物业公司、药店、超市,为防控疫情的需要在采集个人信息时,必须秉持最小范围原则,即除另有约定外仅能采集、处理与疫情相关的最低信息数量和类型,并且在目的达成之后,必须按协定及时删除。个人信息的采集使用,应以有效、够用为限度,反对过度采集。面对传染速度迅速、潜伏时期更长的肺炎,有相关出行活动轨迹的大量人员成为潜在感染者,传染病排查工作需要在征得这部分公民同意的前提下统计详细的个人信息,同时更多民众的交通出行受到严格管控,无论是被采取医学隔离观察还是居家隔离,多数社区采取了上门登记信息、电话统计或者受雇单位牵头采集信息的手段。在这个采集、使用过程中,为了提高效率知情同意原则出现了局部失灵的现象,最小范围原则被突破。例如到药店购买非发热类药物,同样被强制要求填写详细的身份证号码、家庭门牌号、工作单位等内容,远远超出疫情防控的需要。信息权利主体的知情权、决定权、更正权、删除权、封锁权事实上都受到了限制,“被遗忘权”被架空,个人信息在使用过程中的匿名化和脱敏处理做得尚不够到位。以笔者的亲身经历来看,截至目前尚无收到药店、超市等商家“限期删除已采集顾客敏感信息”的通知,反倒是更多的“促销信息”、垃圾短信等纷至沓来。此外,部分肺炎患者的个人信息被依程序公开后,患者本人及其家属、单位等却因此被“人肉”、被辱骂、被孤立的事件连续发生,甚至在复工复产之后,这部分人员的个人信息仍被广泛传播,严重侵害其名誉权和财产权。疫情防控期间大量人员的身份证号码被采集并在网络上传播,这也为实施非法买卖个人信息、伪造公民身份证件、信用证诈骗等犯罪人员提供了丰富的“素材”,部分地下黑色产业已然蠢蠢欲动,信息保护不力带来的连锁法律问题不容忽视,后疫情时期公民个人信息的安全性必须高度重视。

3构建完善的个人信息保护法律体系

3.1进一步修正侵犯公民个人信息罪

截至目前在我国关于个人信息保护最全面的依然还是刑法典,《刑法修正案(九)》及2017年《个人信息司法解释》明确了侵犯公民个人信息罪的犯罪构成、量刑标准、量刑梯度,操作性比较强。依照2017年《解释》第5、6条的规定,针对疫情防控期间违法大批量转发传播肺炎感染者、疑似感染者等个人关键敏感信息的行为,如果违法所得超过五千元或者依照被侵犯的个人信息的重要程度,分别达到50条、500条或5000条以上的,应当依照罪刑法定原则予以刑事处罚。需要注意的是,网络犯罪具有跨区域性,犯罪对象不应该区分中国公民或外国公民、无国籍人,侵犯公民个人信息罪在罪名的命名上不应当区分国籍,建议建议微调为“侵犯个人信息罪”。行为人侵犯他人个人信息大多是为了进行诈骗、敲诈勒索、妨害信用卡管理等犯罪,定罪量刑时应当依据牵连犯从一重或从一重从重处断。

3.2尽快制定《个人信息保护法》

我国个人信息立法碎片化、专门立法空白的状态存在已久。当前《个人信息保护法》制定过程中,应当多方借鉴德、日、欧盟等成熟经验,首先做好个人信息与隐私信息的边界划分,全面明确个人信息修改权、删除权等实体权利内容,尤其是网络空间中此类权利的行使范围和法律效力,确立完善的程序规则、侵权责任类型,打通专门立法与刑法、行政法、知识产权法等部门法中的联系,期望在2020年两会即将审议的《个人信息保护法》中,能将上述问题圆满解决。

3.3补充完善重大突发公共事件中个人信息保护的相关条款

建议同步修改、增加《突发事件应对法》《传染病防治法》《政府信息公开条例》《网络安全法》等法律中收集、处理个人信息的相关条款,明确与个人信息私法保护方式相呼应的行政保护措施,加强互联网提供商的社会责任和平台监管责任,建立个人信息匿名化处理标准、风险评估机制以及个人信息让渡的合理限度。明确重大突发事件中,个人信息收集的覆盖范围、知情同意原则、最小够用原则、公开安全的处理程序,尤其是事后的信息删除程序。大力推行数据匿名化与脱敏存储,注重信息资料中“人身识别性”的模糊处理,不断升级防泄漏安全技术,降低个人信息被人肉、被黑客攻击的可能性。

参考文献

[1]皮勇,王肃之.智慧社会环境下个人信息的刑法保护[M].北京:人民出版社,2018:95.

[2]陈兵.重大突发公共事件中数据治理的法治面向[J].人民论坛,2020,(6).

[3]时诚.重大疫情防控中个人信息的法律保护[J].中国矿业大学学报(社会科学版),2020,(2).

作者:李晓瑜 单位:中共郑州市委党校