本报简介新冠肺炎防控与个人信息保护如何平衡
编者按:2020年初,湖北武汉暴发新冠肺炎疫情。疫情迅速蔓延至全国,形势严峻,生死攸关,一场没有退路的全民战“疫”吹响了冲锋号。举国上下,全员投入,众志成城,共克时艰。中国法学会第一时间召开党组会议,强调要认真学习贯彻习近平总书记重要指示精神,把人民群众生命安全和身体健康放在第一位,为坚决打赢疫情防控阻击战作出重要贡献。要团结广大法学法律工作者对依法防控疫情有关问题集中攻关,及时提出对策建议,更好发挥法治在防控疫情中的重要作用。
疫情暴发伊始,来自法学法律界的专家们便迅速投入到这场突如其来的战斗中,用自身所长为战胜病毒、防范疫情贡献“法治智慧”。本报开辟“以法之名 战‘役’行动”系列报道专栏,摘编刊发部分法学法律专家针对疫情的精彩文章,以法之名,致敬所有坚守在抗击疫情一线的各行各业工作者。本期为第十一期。
刘学涛 中央财经大学法学院博士研究生
2020新年之初,一场突如其来的疫情肆虐着神州大地,人民健康承受着严峻的考验。新冠肺炎疫情牵动全国人民的心,防控疫情是一场严峻斗争,正处在刻不容缓的紧要关头。由武汉蔓延开来的新冠肺炎涉及的风险,是一种典型的动态风险。只有关口前移,做好了风险分析的工作,才能通过危机管理,及时扼住风险水平的升高,有效降低社会成本。而此风险重要的一环即是关于新冠肺炎防控与个人信息保护如何平衡的问题。
此次新冠肺炎暴发以来,大量武汉人或是有过武汉经历人员的个人信息被曝光,其中包含了姓名、身份证号、电话、家庭住址等全面的信息,在各类社群中疯狂传播,对于患者以及相关公民的个人信息权带来了极大损害,此类行为严重违反了我国《传染病防治法》《民法总则》《网络安全法》《刑法》中对于个人信息保护的相关规定。虽然《传染病防治法》与《突发公共卫生事件应急条例》规定了公民法定的上报疫情数据义务,但并没有赋予收集机关任意公开泄露感染者个人信息的权利。国家卫健委在《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》中也强调,需要“加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件”。
一、个人信息在新型冠状病毒防控中至关重要
《网络安全法》中定义个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。对于认定某类信息是否属于个人信息而言,核心在于是否能够直接或间接地(与其他信息结合)识别个人的身份。
从流行病学史来说,新冠肺炎患者的个人信息,比如地理位置、行踪轨迹、住宿信息、健康生理信息等,是分析疫情传播和防控疫情的基础数据。一方面,以武汉华南海鲜市场商户和消费者相关信息(如交易信息、行动轨迹)的收集和利用能够锁定大部分潜在患者,可以做到初步排查和分析,理论上能够做到第一时间采取措施,限制潜在患者的流动和传播,最大限度从源头上遏制新冠肺炎的扩散。另一方面,新发传染病已成为公共卫生领域的严峻挑战,而利用新的技术来提高疾病发现、追踪、报告和响应技术也随即产生。2009年谷歌比美国疾病控制与预防中心提前1-2周预测到了甲型H1N1流感爆发就是很好的例子,而个人信息特别是个人健康信息就是基础数据来源,不过我国在这方面仍处于起步阶段。
因此,部分省份公布的疫情报告中包括了公众的地理位置、行踪轨迹、住宿信息、健康生理信息等个人信息,社交平台上有不少人根据前述公开信息流传患者的小道信息等等,新冠肺炎患者的个人相关信息,包括婚姻状况、子女情况、亲友、住所等信息的收集和使用,可能成为此次防疫攻坚战的关键点。
二、新冠肺炎防控与个人信息保护如何兼得
2020年1月20日,由国务院批准,国家卫生健康委公布消息,将新冠肺炎纳入《传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《传染病防治法》第12条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”即使是在疫情抗击的特殊时期,任何保护个人信息的法律规定也并未宣告失效,突破法律对于个人信息保护的规定,仍然会被追究法律责任。因此,虽然新冠肺炎患者的个人信息对于分析疫情传播和防控疫情至关重要,但任何人未经信息主体的同意仍不得非法收集、保存、使用、共享、转让、公开披露。
但是,根据《传染病防治法》《突发公共卫生事件与传染病疫情监测信息报告管理办法》《个人信息安全规范》等相关规定,与公共安全、公共卫生、重大公共利益直接相关的,无需个人信息主体同意的即可收集、使用,任何单位和个人发现有传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。由此,基于防控疫情等涉及国家和公共安全的目的,国家卫生行政管理部门、医院、医生等收集个人相关信息,基于以上目的可以合理使用个人信息,包括共享、公开披露或者对外提供。
面对不断蔓延的突发性传染疾病,要成功应对此次疫情,不仅需要依靠科学的预防、控制办法,也需要依靠法律。法治是国家的固有伦理义务和存在合法性之根据。为实现社会治理目的无论何种事项均需由法律作出约束和规制,对于新型突发疫情的处置,为保证公众的生命健康,个体公民必须作出部分权利让渡,但若个体权利被过度侵犯,也会导致社会秩序被破坏,不利于疫情的整体防控。《网络安全法》中明确要求收集、使用个人信息应遵守合法、正当、必要原则。个人信息作为新型突发疫情中重要的一环,必须得到合理规制,以实现社会利益的最大化。
首先,应遵守合法性原则。任何收集、处理个人信息的行为,均应仔细研究其是否具备合法性基础。《传染病防治法》第12条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”《突发公共卫生事件应急条例》第21条规定:“任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。”该条例第36条规定:“国务院卫生行政主管部门或者其他有关部门指定的专业技术机构,有权进入突发事件现场进行调查、采样、技术分析和检验,对地方突发事件的应急处理工作进行技术指导,有关单位和个人应当予以配合;任何单位和个人不得以任何理由予以拒绝。”此外,该条例第40条规定:“传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作,向居民、村民宣传传染病防治的相关知识。”
可见,根据上述法律法规的规定,出于传染病防治和突发公共卫生事件应对的需要,以下单位可收集疫情信息:疾病预防控制机构,医疗机构,被指定的专业技术机构,街道、乡镇以及居民委员会、村民委员会等。对上述单位收集信息,任何单位和个人均应该配合,但同时也规定了疾病预防控制机构、医疗机构等单位对于涉及个人隐私的有关信息、资料的保密义务。
其次,应遵守正当性原则。正当性是检验、衡量程序合法性的重要标志。正当性的论证始终是近代以来政治哲学和法哲学探讨的核心问题之一。在疫情防控中,个人信息的处理也要具备透明性,应当通过公告、新闻等告知目前采取的疫情防控的措施,需要进行的个人信息处理行为,以及使用、保存个人信息的规则。个人信息的处理也应当遵守非歧视、保密、信息安全、防止信息泄露等一般规则。
再次,应遵守必要性原则。必要性原则是公法“帝王原则”比例原则的子原则之一。比例原则源自德国,德国的行政法学家奥托·迈耶在1895年出版的《德国行政法》一书中提出,行政权追求公益应有凌越私益的优越性,但行政权力对人民的侵权必须符合目的性,并采行最小侵害之方法。必要性原则要求实现正当目的的手段具有必要性,对当事人造成的损害最小。在疫情防控中,这一原则同样要求公权机关在搜集和使用个人信息时注意行为手段与目的的关联性,即这种搜集和使用都必须控制在对保护公益有所必要的限度内。同时,仅在处理目的范围内进行个人信息处理:遵守个人信息的最小化原则,不收集、处理与疫情防控无关的个人信息;不将个人信息分享给不具备合法接触权限、没有必要接触信息的人员;个人信息保存到疫情防控已经不需要处理该信息时即应采取删除或匿名化措施。
我们既要确保疫情防控与疫情信息收集的公共利益,又要保护好每个人的信息安全,尊重个人隐私,实现疫情信息收集、使用与个人信息保护之间的利益平衡。同时,相关部门要加大对侵犯数据隐私行为的打击力度,防止政府、医院、科研机构及工作人员非法泄露、恶意传播数据隐私。