本文来自科技导报,作者/董京波。
涉疫个人信息收集、披露时的做法,探讨了适合于中国的涉疫个人信息披露的路径:一方面要在应急法规中增加个人信息披露的规定;另一方面依据《个人信息保护法》,细化涉疫个人信息披露的内容,重点为以最小化原则为基础由国家披露个人信息,同时以公开透明原则保障公民知情权。
新冠肺炎疫情暴发以来,中国作为最早报道新冠疫情的国家同时也是对疫情防控最迅速的国家,大数据技术发挥了至关重要的作用。
各部门通过大数据对公民个人进行定位、监测其健康状况、出行信息以及接触人群,一旦发现确诊为阳性的病例,可以立即在数据库中找出并公开确诊人的经停地点以及密切接触者信息,从而实现精准防控疫情,阻止疫情大肆蔓延。
但这种能够迅速获取大量信息的大数据追踪技术同时引发了人们对于个人信息权利的担忧。实践中经常出现个人隐私披露过度的问题,如何平衡防疫抗疫的公共安全利益与个人信息权利,成为涉疫个人信息保护的核心。
本研究以后疫情时代涉疫个人信息披露为视角,在讨论典型国家与地区相关制度的基础上,比较分析中国现有立法的不足并提出改进建议。
中国疫情应急管理中涉疫个人信息披露法律制度
疫情应急管理法律的相关规定
首先,涉疫个人信息披露缺乏专门法律规定。《传染病防治法》《突发公共卫生事件应急条例》《突发事件应对法》对于涉疫个人信息披露问题未做明确规定。
其次,涉疫个人信息披露主体不明。疫情信息披露涉及相关法律交叉部分,法律本身没有明确规定,学界对此问题的意见也并不统一。实践中多个基层主体都介入了疫情披露的环节,因此出现了涉疫个人信息披露主体混乱的现象。
再次,涉疫个人信息披露的内容仅有原则性规定。这些原则性规定都较为抽象,对疫情信息披露的具体内容并没有规定。究其原因,当前相关法律大多是在2002年严重急性呼吸综合征(SARS)疫情时制定,然而现有相关法律还停留在十几年前,已无法满足当前传染病防控的要求。
个人信息保护法的相关规定
2021年11月正式施行的《个人信息保护法》对个人信息处理的原则、个人权利以及个人信息处理者的义务等方面进行了规定,将个人信息权利纳入法律转化为实在的权益。
总的来说,个人信息处理应当遵循4个原则:(1)诚信原则。(2)目的正当原则。(3)最小化原则。(4)处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。
当前涉疫个人信息披露中的问题
在新冠疫情迅速蔓延的情况下,政府部门出于疫情防控目的未经公民同意收集大量个人信息,对数据进行分析、提取,披露疫情有关信息,其中不乏身份证号、个人行程等个人敏感信息,因此不可避免在防控过程中出现侵害公民个人信息权利的现象,主要表现在以下方面。
基层工作人员非法披露个人信息
在采集主体方面,《传染病防治法》《突发公共卫生事件应急条例》《突发事件应对法》明确了公权力机关但实践中收集个人信息的工作往往会分配到各个部门基层人员,而基层信息收集主体的法律意识相对淡薄,极易发生公民个人信息流出的状况。
超出防疫目的过度披露个人信息
中国目前没有关于紧急状况下信息披露要求的具体规定,而行政机关或其他机构在发布疫情相关信息时虽然受比例原则的限制,但原则性规定为实际状况预留了极大的自由裁量空间,导致个人信息披露范围过广的情况经常出现,损害公民个人信息权利。
这样的披露行为明显违背了《民法典》《个人信息保护法》《刑法》等法律有关保护公民隐私的规定,属于侵犯公民隐私权的违法行为。
典型国家地区涉疫个人信息披露制度比较
新加坡的制度与实践——通过技术保护公民隐私
新加坡于2020年3月发布了一款应用软件(TraceTogether),可在两个用户距离较近时进行跟踪,若一个用户确诊为新冠肺炎病例,软件即允许卫生部门确定与其密切接触过的用户,随后工作人员会通知这些接触者并决定接下来的行动。这个软件可以保护用户隐私不为其他用户所知,但对于政府获取信息没有限制。
中国台湾地区制度——以对公众的透明度为特点
中国台湾当局将健康保险数据库与海关数据库中的旅行历史数据集成在一起以协助识别高风险感染人群以及采取隔离措施,对需要隔离和接触追踪的人员进行手机定位,识别信息只有疫情指挥中心可以得知。
此外,中国台湾当局拒绝采取人脸识别技术,即使采用了利用蓝牙信号进行接触追踪的应用软件也将在疫情得到控制时即停用。
韩国制度——体系化的信息披露制度
韩国同样具有处理疫情的经验,政府对所收集的全部信息做出严格的保密要求,违反规定将支付高额罚金甚至被判处刑期。然而,为了警示在确诊病例附近的人,韩国政府会向他们发送有关确诊者移动数据的大量信息,即使信息已经进行匿名处理,但通过背景调查确定患者及其生活习惯还是相对容易的。
为了回应公众的隐私关切,使信息披露合法化,韩国于2020年3月颁布了《确诊患者移动路径等信息公布指南》,该指南采取“尽可能详细说明和披露时空信息,但不包括个人身份信息”的原则,并高频率地被先后3次更新,以平衡防止传染病扩散与个人信息的过度泄露引发人权侵害之间的关系。
欧盟制度——对用户个人信息高度保护
欧盟采用的PEPP-PT应用软件,完全符合欧盟GDPR的规定,软件上每个用户的ID都是临时的,用户之间通过交换临时ID记录密切接触活动,并且以临时ID的形式分享给服务提供者,而非交换、分享加密的个人可识别信息。这样无论是用户之间,还是数据控制者与用户之间,用户的个人信息都能得到较高层次的保护,同时尽量不影响控制疫情,保护公共健康。
中国疫情应急管理中涉疫个人信息披露制度之完善
后疫情时代应急管理中涉疫个人信息披露制度的价值衡量
此次疫情引起的公共健康危机涉及保护公共利益的问题,满足宪法中对紧急状态的规定,在这种情况下国家权力的适度扩张具有合理性,扩张的目的在于保护全体公民的利益,但扩张也需要控制在适当范围内,不能没有限制地任意侵害公民权利。
在疫情常态化的当前,应把重点放在第二步国家权力的临时扩张上,这种扩张应是适度的、有限的扩张,国家利用公民信息的权力应予以限制。
中国疫情应急管理中涉疫个人信息披露制度之完善
比较研究发现,欧盟、美国在新冠疫情防治中对于个人信息披露做出了特别的规定,以实现公共利益和个人隐私的平衡。中国虽然在2021年11月新颁布了《个人信息保护法》,但是该法并非直接指向疫情应急管理问题,而现有疫情应急管理法规并未对个人信息披露做出规定,因此中国应该加强相关制度体系化建设。
将涉疫个人信息披露与保护问题纳入疫情应急法规
为规制疫情信息披露问题,2020年,韩国对《传染病预防管理法》进行了修订,明确了关于信息披露与保护的问题。中国也应在《传染病防治法》《突发公共卫生事件应急管理条例》《突发事件应对法》中增加个人信息披露的规定,明确疫情个人信息披露的主体、内容和基本原则。
当前正值《传染病防治法》和《突发事件应对法》修订之时,应注重《传染病防治法》与《突发事件应对法》的协调与衔接,在新法中明确涉疫个人信息披露的主体。
增加关于涉疫个人信息披露内容与方式的规则
中国《个人信息保护法》是针对常态下的个人信息披露,而非紧急状态下的个人信息披露。因此《个人信息保护法》并不能完全满足应急状态下的信息披露制度,所以应急法中对紧急状态下的个人信息披露应增加具体规定。
依据《个人信息保护法》完善疫情期间个人信息披露细则
1)坚持信息披露中的最小化原则。对于信息披露的限制主要以下2种。一是限制披露的对象。通过数字技术的应用只通知与患者有密切接触的人,而非全部公众。二是限制披露的内容。中国目前对患者信息披露的对象范围仍是社会公众,但可以在内容上进行限制,如只披露患者经停地点信息等,降低患者信息的可识别性。
若要真正落实最小化原则,首先,应当谨慎选择披露信息的类型。可以参考中国香港与日本的实践,仅需公开其点状位置及处于该位置的确切时间即可。
其次,为实现个人信息最大程度的保护,在信息披露方式上对确诊病例的信息公开中也应尽可能采取加密和脱敏措施。
最后,建立特定相对人信息披露制度,适当限制个人信息公开的范围。对于部分疫情信息可以有选择地向信息相对人发送。
2)坚持信息披露中的公开透明原则。疫情中收集的数据必须符合比例原则,并且充分告知公众,避免对数据访问和使用保密。在涉及公共利益的数据处理时,应当寻求透明的公众沟通机制,例如明确告知公众哪些数据将被披露给第三方,用于何种目的的处理。
结论
新冠肺炎疫情作为世界卫生组织列明的“国际关注的突发卫生事件”,自暴发起感染人数和致死人数不断上升。在如此严峻的情况下,大数据技术作为检测和防控疫情最有效的手段,理应允许政府部门利用其进行信息披露。
但是涉疫个人信息披露必须遵循相关法律制度,中国应在相关应急法规中纳入涉疫情个人信息披露的主体和内容等相关问题。同时,应依据《个人信息保护法》,具体化涉疫信息披露的细则。
这并不意味着一边倒地强调个人信息保护,而是通过具体的原则规定进行平衡,即可以最小化原则为标准允许国家收集和披露个人信息,同时以公开透明原则保障公众的知情权,也便于在疫情结束后清理收集的个人信息。
