權利保護與公共利益平衡——新冠肺炎疫情期間個人信息合規所面臨的問題與挑戰
作者:史軍 陳文昊 馮欣 2020-02-17庚子年春節前后,新型冠狀病毒(SARS-CoV-2)肆虐全球,而中國又是受其影響最為嚴重的國家。在抗擊這場突如其來的疫情過程中,對已感染的病人、疑似患者及相關接觸人群進行確定與追蹤,成為COVID-19肺炎(以下簡稱“新冠肺炎”)救治與防控工作非常重要的一環。面對中國龐大的人口基數,特別是春運中人口大規模流動的復雜局面,疫情防控過程中必然涉及到海量的個人信息收集與披露工作。
就在春節期間,多份含有疑似湖北返鄉人員敏感個人信息的表格在互聯網上流傳。盡管我們承認各類單位在疫情爆發的特殊環境下,收集與披露相關個人信息的出發點是好的,即希望能夠控制病毒傳播,提醒公眾避免與相關人員密切接觸,但一些不合法合規的個人信息收集與披露行為在客觀上也造成了對相關個人信息主體權利的侵犯。此類侵權行為不但危及相關個人信息主體的人身和財產安全,在疫情爆發的大環境中,還可能對當事人個人名譽造成損害,給當事人帶來巨大心理壓力,甚至引發社會對特定人群的歧視。
2020年2月9日,中央網絡安全和信息化委員會辦公室(以下簡稱“網信辦”)在官網上發布了《關于做好個人信息保護 利用大數據支撐聯防聯控工作的通知》(以下簡稱“《通知》”),以指導新冠肺炎疫情聯防聯控中的個人信息保護和利用大數據支撐聯防聯控工作合法有效地開展。本文將結合《通知》要求以及我國個人信息收集與使用的其他相關規定,探討在新冠肺炎疫情爆發這一特定環境下,如何在利用個人信息大數據防控疫情的過程中平衡個人權利與社會公共利益之間的關系。
一、個人信息定義與分類 中國目前尚未出臺《個人信息保護法》,當前中國對個人信息保護做出集中規定的法律法規中,《網絡安全法》是位階最高的核心法律。2017年《網絡安全法》生效后出臺的有關個人信息保護該領域相關法規、規章與國家標準,都是圍繞這部核心法律展開。需要強調的是,由于當前中國尚處于個人信息保護相關法律法規的密集立法階段,作為這個特殊階段的過渡性安排,諸多處于低位階的規范性文件,甚至理論上并不具備強制性法律效力的推薦性國家標準在實踐中也被執法部門廣泛適用。 《網絡安全法》對個人信息的定義是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。但其并未對個人信息做出具體的分類。在《信息安全技術 個人信息安全規范》(GB/T35273-2017)(以下簡稱“《個人信息安全規范》”)進一步對個人信息的范疇予以補充、細化,規定能夠反映特定自然人活動情況的各種信息都屬于個人信息。《個人信息安全規范》作為個人信息保護領域極為重要的國家標準,在實踐中被各類執法機關廣泛接受并適用。甚至在此次《通知》中,網信辦明確要求“收集聯防聯控所必需的個人信息應參照國家標準《個人信息安全規范》”,實質上已將該推薦性國家標準作為強制適用的法規對待。 《個人信息安全規范》參照歐盟《通用數據保護條例》,將部分個人信息定義為個人敏感信息。個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全、損害個人名譽和身心健康、導致歧視性待遇等的個人信息。個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。 二、疫情中所收集的個人信息 如前所述,收集個人信息對于疫情的防控具有極其重要的意義,但中國法律并未具體規定疫情中所應當收集的個人信息內容。 《傳染病防治法》規定“在中華人民共和國領域內的一切單位和個人,必須接受疾病預防控制機構、醫療機構有關傳染病的調查、檢驗、采集樣本、隔離治療等預防、控制措施,如實提供有關情況。疾病預防控制機構、醫療機構不得泄露涉及個人隱私的有關信息、資料。” 我們理解,在由于各類傳染病疫情不盡相同,在法律層面難以對應當收集的個人信息進行統一規定,而應當根據實際防控與治療需要由醫療機構、疾病預防控制機構決定收集范圍。根據上述法律規定,疾病預防控制機構、醫療機構可能收集的個人信息包括傳染病史、接觸人群、疾病診斷信息等。而根據我們的觀察,在新冠肺炎防控工作中,個人信息主體被收集的信息主要包括:姓名、身份證號碼、手機號、行蹤軌跡(包括口述信息、交通工具乘坐記錄、手機定位與監控視頻等)、健康生理信息、就診信息、家庭地址、家庭成員信息、湖北接觸史等,這些信息幾乎全部屬于《個人信息安全規范》定義的個人敏感信息。 收集個人信息,應當向個人信息主體告知收集、使用個人信息的目的、方式和范圍,并取得個人信息主體的授權同意。此外,2020年1月全國信息安全技術標準化委員會發布的《信息安全技術 個人信息告知同意指南(征求意見稿)》甚至要求優先適用“明示同意”。但在疫情爆發這一特定環境下,收集上述信息是否仍應當遵循該等原則?如有例外,應當如何平衡個人權利與公共利益之間的關系?我們將在下文進行探討。 三、疫情防控中不同的個人信息收集使用主體應當適用不同的規則 當前疫情防控工作中,收集與使用個人信息主體呈現出非常復雜的情況,其中包括但不限于:醫療機構、疾病預防控制機構、各類用人單位、學校、交通運輸與管理單位、各地居/村委會、小區物業管理單位、部分地區的藥店、部分經營場所物業管理單位、電信運營商、提供疫情數據報告的各類網站與應用程序運營商,甚至部分志愿者等單位與個人。 如前所述,“明示目的與范圍”、“授權同意”是在收集個人信息的基本原則,但在疫情爆發的特殊條件下,如果一味遵照“授權同意”,甚至“明示同意”的要求,顯然將嚴重影響相關機構工作,貽誤治療與防控時機;但與此同時,如果以疫情防控為由,一概豁免取得被收集者的授權同意,也必將致廣大群眾個人信息于危險境地,甚至引起廣泛地社會不安。 有鑒于此,《通知》明確要求“除國務院衛生健康部門依據《中華人民共和國網絡安全法》《中華人民共和國傳染病防治法》《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。”對此進行文義解釋,前述個人信息收集使用主體中,在疫情期間,醫療機構、疾病預防控制機構可不經被收集者同意收集使用個人信息。 從法理上看,我們認為該等規定遵循了“特別法優于一般法”的原則,是對《傳染病防治法》等法律項下病情疫情“有關情況”、“有關信息”的收集主體與收集方式的進一步明確,具有上位法依據。因此,醫療機構、疾病預防控制機構在收集使用個人信息時,可以合法豁免取得相關被收集主體的同意。 但除上述兩類個人信息收集使用主體之外,其余主體,包括各類用人單位、小區物業居委會、交通運輸部門等,在收集個人信息時必須向被收集主體明示收集使用目的,并取得其同意。 四、疫情期間取得“授權同意”的困境與解決方案 (1)個人信息主體拒不配合的情況 對于除醫療機構、疾病預防控制機構外的其他單位,如果相關個人拒不配合,不同意相關單位收集使用其個人信息,各單位應當如何處理這一棘手問題? 必須承認在疫情爆發這一大環境下,現實中不可能單純依靠醫療機構、疾病預防控制機構在全社會范圍內直接收集個人信息,廣大基層單位組織仍是收集個人信息的主要渠道。如果相關個人拒不配合,必然減損疫情防控效果,但如果其他單位在缺少法律法規授權的情況下,徑直收集使用個人信息,同樣有損社會公眾利益。 需要強調的是,盡管《傳染病防治法》規定任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告,《上海市新型冠狀病毒感染的肺炎疫情防控工作領導小組辦公室通告》等地方規范性文件也普遍要求企業承擔主體責任,發現異常情況要及時報告,但我們認為企業等單位所負疫情報告義務、承擔主體責任,并不等于免除其在收集使用個人信息時免除相對方授權同意的義務。換言之,一方不應因自身所負法律義務與責任,就將該等義務與責任所帶來的法律負擔轉移給第三方。企業等單位在負有疫情報告義務的同時,也負有取得個人信息權利主體授權同意的義務,該等義務之間是并存而非互斥的關系。 但這是否意味著個人信息權利主體在疫情防控中不負有任何披露個人信息義務呢?答案顯然也是否定的。首先,《傳染病防治法》規定了個人負有向醫療機構、疾病預防控制機構披露相關信息的義務;其次,即便個人信息權利主體面對的不是醫療機構、疾病預防控制機構,其依然負有一定的個人信息披露義務。 以上海市為例,2020年2月7日,上海市人民代表大會常務委員會全票通過了《關于全力做好當前新型冠狀病毒感染肺炎疫情防控工作的決定》,以地方法規的形式規定“在本市行政區域內,任何單位和個人都應當遵守關于疫情防控的規定,服從本地區人民政府的統一指揮和管理,及時報告新型冠狀病毒感染的肺炎患者、與患者密切接觸者以及其他需要開展醫學觀察、隔離治療人員的情況。”2月14日,上海市疫情防控領導小組辦公室發布《本市居民區(村)疫情防控管理操作導則》,要求“居(村)委會要及時告知小區來滬、返滬人員報告健康情況,并配合完成個人信息登記工作,落實相應防控舉措。隱瞞、緩報、謊報有關信息或阻礙疫情防控工作人員履行職務的,依法依規追究責任。” 由此可見,個人信息收集使用主體的明示告知義務,對應的是個人信息權利主體的知情權與個人信息處置權;而個人信息主體的信息披露義務,對應的是法律法規規定的當前疫情下各級政府及防疫部門的管理職權。疫情防控的個人信息收集與使用過程中,各方都應積極履行各自義務,而不應有所偏廢。此外,我們還認為,信息收集主體履行明示告知義務,也是履行防控宣傳教育職能、落實主體責任的重要體現。 如實踐中信息收集主體在遭遇個人不配合提供相關個人信息的情況下,應當積極向防疫部門或公安部門進行舉報,由有權執法機關對相關人員進行調查處置。在此情況下,拒不配合的相關人員不但可能面臨行政處罰的風險,甚至根據最高人民法院、最高人民檢察院在“非典”期間發布的《關于辦理妨害預防、控制突發傳染病疫情等災害的刑事案件具體應用法律若干問題的解釋》以及2020年2月6日最高人民法院、最高人民檢察院、司法部、公安部發布的《關于依法懲治妨害新型冠狀病毒感染肺炎疫情防控違法犯罪的意見》,如果相關主體過失造成傳染病傳播,情節嚴重,危害公共安全的,或以暴力、威脅方法阻礙國家機關工作人員依法履行為防控疫情而采取的防疫、檢疫、強制隔離、隔離治療等措施的,將面臨被按照過失以危險方法危害公共安全罪或妨害公務罪定罪處罰的刑事風險。 (2)未獲授權的個人信息使用 此類情形多見于個人信息收集主體在履行與被收集人的合同過程中,合法地收集了個人信息,但此前明示的信息用途并不包括因疫情防控需要向第三方進行披露。例如,火車或飛機承運人在履行運輸合同時收集了乘客的個人信息,電信運營商掌握用戶的行蹤軌跡,該等個人信息收集主體是否可以向第三方披露其收集到的個人信息? 《個人信息安全規范》規定在與公共安全、公共衛生、重大公共利益直接相關的情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權同意。但我們并不認為在疫情期間任何個人信息披露行為都可以以此為由,繞開個人信息主體的授權同意。我們認為只有同時滿足如下條件,才是合規的“超范圍使用”個人信息: 首先,該等信息收集主體的披露對象應當限于醫療機構或疾病預防控制機構。根據《傳染病防治法》的要求,單位和個人必須向疾病預防控制機構、醫療機構如實提供傳染病“有關情況”,此為這類信息收集主體所負法定義務。我們認為,所謂“有關情況”必然涉及到確診者、疑似者、密切接觸者的個人信息。因此披露對象應當成是合規披露的限制性條件。 其次,所披露的個人信息應當限于確診者、疑似者、密切接觸者等重點人群,而不應對其他人員的個人信息進行披露。《通知》要求收集個人信息應當堅持最小范圍原則,避免造成對特定地域人群的事實上歧視。 再次,披露的個人信息應該限于醫療或防疫所需必要信息,不應披露冗余信息。 盡管如此,我們仍建議相關個人信息收集者,尤其是公共交通運輸單位、電信服務運營商、互聯網平臺等在提供服務收集個人信息時,在其隱私協議中明確加入相應條款以獲得用戶有效授權。例如,我們注意到中國移動上海分公司在其2020年1月15日發布的隱私政策中就將“公共安全”“公共衛生”“重大公共利益”列為個人信息合理使用范疇,無需征得用戶額外同意。 (3)個人信息的脫敏使用 《傳染病防治法》規定“傳染病暴發、流行時,國務院衛生行政部門負責向社會公布傳染病疫情信息,并可以授權省、自治區、直轄市人民政府衛生行政部門向社會公布本行政區域的傳染病疫情信息。”但“傳染病疫情信息”具體包括哪些內容?是否包括確診者、疑似者、密切接觸者的個人信息?中國法律法規并未做出具體規定。同時,《傳染病防治法》還對個人信息的使用做出了禁止性規定,禁止疾病預防控制機構與醫療機構故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料。 我們認為,盡管法律沒有明確授權衛生行政部門可以向社會公布確診患者、疑似患者與密切接觸者的個體信息,但實踐中對這類信息進行一定程度的披露,將明顯有助于疫情的跟蹤,并引起公眾注意進行有效防范,也有助于相關部門對疫情態勢進行科學分析。然而,在使用個人信息的時候,就將面臨如何平衡個人權利與公共利益的問題。 關于個人信息的使用,《通知》要求任何單位和個人未經被收集者同意,不得公開個人敏感信息,因聯防聯控工作需要,且經過脫敏處理的除外。數據脫敏(Data Masking或Data Desensitization),又稱數據漂白、數據去隱私化或數據變形。百度百科對數據脫敏的定義為:指對某些敏感信息通過脫敏規則進行數據的變形,實現敏感隱私數據的可靠保護。《個人信息安全規范》沒有對“數據脫敏”進行定義,但其中規定了“匿名化(anonymization)”與“去標識化(de-identification)”兩個概念。所謂“匿名化”,是指通過對個人信息的技術處理,使得個人信息主體無法被識別或被關聯,且處理后的信息不能被復原的過程。“去標識化”是指通過對個人信息的技術處理,使其在不借助額外信息的情況下,無法識別或者關聯個人信息主體的過程。 匿名化與去標識化的重要區別在于是否能夠對信息進行還原,重新識別到個人信息主體。我們認為醫療機構與疾病預防機構所掌握的信息一定是可以定位到具體個人的,如果進行徹底的匿名化處理,將使得該等數據喪失疫情防控下的可用性,因此我們傾向認為《通知》中的“數據脫敏”更接近于《個人信息安全規范》中的“去標識化”概念。關于“去標識化”的具體方式,各單位可參照國家標準《信息安全技術 個人信息去標識化指南》(GB/T 37964-2019)進行。既然是去標識化地處理個人信息,就可能導致在借助其他信息后重新識別到具體個人,因此我們需要對數據脫敏的原則與目標進行討論。 我們認為對個人信息進行數據脫敏,應當遵循兩個重要原則: 1、隱私保密性(Privacy Protection):需要保證個人敏感信息無法被準確地逆推出,對于一些關鍵信息無法獲取;以及 2、數據可用性(Data Utility):保證被處理后的數據,仍然保持某些統計特性或可分辨性,在某些特定場景(如疫情態勢分析預測)中是可用的。 需要說明的是,隱私保密性與數據可用性在一定程度上是一對矛盾的指標,如果個人信息經過脫敏最終得到顆粒度過粗的數據,很有可能會影響基于該等數據的分析效果,降低數據的可用性;而如果公布的個人信息顆粒度過于精細,雖然有助于數據被進一步分析使用,但也可能造成個人敏感信息的泄露。因此,相關部門在進行個人信息脫敏并公布的過程中,必須平衡個人權利與公共利益。 我們查閱了諸多地方公共數據開放網站以及政府數據開放平臺,注意到多地已經對本次疫情防控數據做了公開,且普遍含有經脫敏的個人信息匯總表格或可視化圖形。同時,我們也觀察到,各地對于相關個人信息的脫敏處理方式與標準大相徑庭。有的地方數據經處理后,形成了粗顆粒度的數據,僅患者性別、發病與就診時間、年齡字段;而有的地方數據又較為精細,例如,保留了患者的詳細行程、較為詳細的癥狀與就診時間、逗留場所坐標、與其他病患之間的關系、家庭住址(小區地址,尚未精確到門牌號)、甚至姓名中僅隱去一個字。 我們認為,評判公開個人信息的顆粒度粗細程度是否適當,不應一概而論,而必須結合數據的使用環境。如果政府部門是為了確保公眾的知情權,提醒公眾避免前往可能受到病毒污染的區域,指令相關小區、街道采取適當的防范與監控措施,則不宜公布顆粒度較為精細的數據。否則這一類簡單去標識化的數據公開后,很有可能被信息接受者結合自身掌握的其他標識,輕易識別出具體的個人信息主體,及即患者、疑似病人或密切接觸者本人。由此造成特定地區范圍內公眾的恐慌情緒或對個人信息主體的歧視,給相關患者、疑似病人或密切接觸者造成巨大心理負擔,甚至危及其人身財產安全。而另一方面,如果面向專業醫療防疫機構,在經實名注冊并驗證的特定數據平臺之上,政府部門可以公布顆粒度較為精細的數據,以提高統計分析的精確性,使得醫療防疫機構能夠采取恰當的治療與防護措施。 五、個人信息的存儲安全與疫情過后的信息處理 盡管當前疫情尚未結束,但我們已經可以預見到,由于海量的個人敏感信息被多渠道密集地收集,如何安全的保存這些個人信息,以及疫情過后如何對這些個人信息進行處理將是各類個人信息收集主體面臨的棘手問題。 我們以廣大用人單位與小區物業管理單位(以下簡稱“企業”)為例提出相關建議,因為這兩類個人信息收集主體在本次防疫工作中承擔了個人信息收集前沿的重要角色,防疫部門相當一部分數據就來源于這兩類個人信息收集主體。 首先,我們建議企業首先應當立即建立起關于如何管理其所收集的個人信息的內控制度,明確信息采集、保存與披露的工作流程,要求接觸相關信息的人員履行保密義務,不得私自對外披露相關個人信息。明確崗位職責,確保個人信息的收集與處理工作全流程置于內部監管之下。 其次,企業應當建立起相應的加密與安全存儲措施,防止所收集的個人信息遭到未經授權的訪問、篡改或盜用。 再次,疫情過后如果企業考慮進一步利用該等個人信息,必須向個人信息主體明示用途,并取得個人信息主體的授權同意,除非企業可以將該等個人信息進行匿名化處理。 最后,企業應當向個人信息主體提供訪問與修改被收集的信息的途徑,并在個人信息主體提出要求時,對相關信息予以刪除。 結語 疫情當前,每一位公民都守土有責,我們希望通過對當前個人信息收集與使用過程中所面臨的問題進行分析,為各類個人信息收集主體在面對挑戰時提供解決問題的思路。同時,我們也深知,疫情才是我們共同的敵人,在“抗疫”的過程中,我們必須兼顧公共利益與個體權益,在保證工作效率與效果的同時也要避免為后疫情時代的社會治理埋下隱患。
