权利保护与公共利益平衡——新冠肺炎疫情期间个人信息合规所面临的问题与挑战
作者:史军 陈文昊 冯欣 2020-02-17庚子年春节前后,新型冠状病毒(SARS-CoV-2)肆虐全球,而中国又是受其影响最为严重的国家。在抗击这场突如其来的疫情过程中,对已感染的病人、疑似患者及相关接触人群进行确定与追踪,成为COVID-19肺炎(以下简称“新冠肺炎”)救治与防控工作非常重要的一环。面对中国庞大的人口基数,特别是春运中人口大规模流动的复杂局面,疫情防控过程中必然涉及到海量的个人信息收集与披露工作。
就在春节期间,多份含有疑似湖北返乡人员敏感个人信息的表格在互联网上流传。尽管我们承认各类单位在疫情爆发的特殊环境下,收集与披露相关个人信息的出发点是好的,即希望能够控制病毒传播,提醒公众避免与相关人员密切接触,但一些不合法合规的个人信息收集与披露行为在客观上也造成了对相关个人信息主体权利的侵犯。此类侵权行为不但危及相关个人信息主体的人身和财产安全,在疫情爆发的大环境中,还可能对当事人个人名誉造成损害,给当事人带来巨大心理压力,甚至引发社会对特定人群的歧视。
2020年2月9日,中央网络安全和信息化委员会办公室(以下简称“网信办”)在官网上发布了《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》(以下简称“《通知》”),以指导新冠肺炎疫情联防联控中的个人信息保护和利用大数据支撑联防联控工作合法有效地开展。本文将结合《通知》要求以及我国个人信息收集与使用的其他相关规定,探讨在新冠肺炎疫情爆发这一特定环境下,如何在利用个人信息大数据防控疫情的过程中平衡个人权利与社会公共利益之间的关系。
一、个人信息定义与分类 中国目前尚未出台《个人信息保护法》,当前中国对个人信息保护做出集中规定的法律法规中,《网络安全法》是位阶最高的核心法律。2017年《网络安全法》生效后出台的有关个人信息保护该领域相关法规、规章与国家标准,都是围绕这部核心法律展开。需要强调的是,由于当前中国尚处于个人信息保护相关法律法规的密集立法阶段,作为这个特殊阶段的过渡性安排,诸多处于低位阶的规范性文件,甚至理论上并不具备强制性法律效力的推荐性国家标准在实践中也被执法部门广泛适用。 《网络安全法》对个人信息的定义是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。但其并未对个人信息做出具体的分类。在《信息安全技术 个人信息安全规范》(GB/T35273-2017)(以下简称“《个人信息安全规范》”)进一步对个人信息的范畴予以补充、细化,规定能够反映特定自然人活动情况的各种信息都属于个人信息。《个人信息安全规范》作为个人信息保护领域极为重要的国家标准,在实践中被各类执法机关广泛接受并适用。甚至在此次《通知》中,网信办明确要求“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》”,实质上已将该推荐性国家标准作为强制适用的法规对待。 《个人信息安全规范》参照欧盟《通用数据保护条例》,将部分个人信息定义为个人敏感信息。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 二、疫情中所收集的个人信息 如前所述,收集个人信息对于疫情的防控具有极其重要的意义,但中国法律并未具体规定疫情中所应当收集的个人信息内容。 《传染病防治法》规定“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。” 我们理解,在由于各类传染病疫情不尽相同,在法律层面难以对应当收集的个人信息进行统一规定,而应当根据实际防控与治疗需要由医疗机构、疾病预防控制机构决定收集范围。根据上述法律规定,疾病预防控制机构、医疗机构可能收集的个人信息包括传染病史、接触人群、疾病诊断信息等。而根据我们的观察,在新冠肺炎防控工作中,个人信息主体被收集的信息主要包括:姓名、身份证号码、手机号、行踪轨迹(包括口述信息、交通工具乘坐记录、手机定位与监控视频等)、健康生理信息、就诊信息、家庭地址、家庭成员信息、湖北接触史等,这些信息几乎全部属于《个人信息安全规范》定义的个人敏感信息。 收集个人信息,应当向个人信息主体告知收集、使用个人信息的目的、方式和范围,并取得个人信息主体的授权同意。此外,2020年1月全国信息安全技术标准化委员会发布的《信息安全技术 个人信息告知同意指南(征求意见稿)》甚至要求优先适用“明示同意”。但在疫情爆发这一特定环境下,收集上述信息是否仍应当遵循该等原则?如有例外,应当如何平衡个人权利与公共利益之间的关系?我们将在下文进行探讨。 三、疫情防控中不同的个人信息收集使用主体应当适用不同的规则 当前疫情防控工作中,收集与使用个人信息主体呈现出非常复杂的情况,其中包括但不限于:医疗机构、疾病预防控制机构、各类用人单位、学校、交通运输与管理单位、各地居/村委会、小区物业管理单位、部分地区的药店、部分经营场所物业管理单位、电信运营商、提供疫情数据报告的各类网站与应用程序运营商,甚至部分志愿者等单位与个人。 如前所述,“明示目的与范围”、“授权同意”是在收集个人信息的基本原则,但在疫情爆发的特殊条件下,如果一味遵照“授权同意”,甚至“明示同意”的要求,显然将严重影响相关机构工作,贻误治疗与防控时机;但与此同时,如果以疫情防控为由,一概豁免取得被收集者的授权同意,也必将致广大群众个人信息于危险境地,甚至引起广泛地社会不安。 有鉴于此,《通知》明确要求“除国务院卫生健康部门依据《中华人民共和国网络安全法》《中华人民共和国传染病防治法》《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。”对此进行文义解释,前述个人信息收集使用主体中,在疫情期间,医疗机构、疾病预防控制机构可不经被收集者同意收集使用个人信息。 从法理上看,我们认为该等规定遵循了“特别法优于一般法”的原则,是对《传染病防治法》等法律项下病情疫情“有关情况”、“有关信息”的收集主体与收集方式的进一步明确,具有上位法依据。因此,医疗机构、疾病预防控制机构在收集使用个人信息时,可以合法豁免取得相关被收集主体的同意。 但除上述两类个人信息收集使用主体之外,其余主体,包括各类用人单位、小区物业居委会、交通运输部门等,在收集个人信息时必须向被收集主体明示收集使用目的,并取得其同意。 四、疫情期间取得“授权同意”的困境与解决方案 (1)个人信息主体拒不配合的情况 对于除医疗机构、疾病预防控制机构外的其他单位,如果相关个人拒不配合,不同意相关单位收集使用其个人信息,各单位应当如何处理这一棘手问题? 必须承认在疫情爆发这一大环境下,现实中不可能单纯依靠医疗机构、疾病预防控制机构在全社会范围内直接收集个人信息,广大基层单位组织仍是收集个人信息的主要渠道。如果相关个人拒不配合,必然减损疫情防控效果,但如果其他单位在缺少法律法规授权的情况下,径直收集使用个人信息,同样有损社会公众利益。 需要强调的是,尽管《传染病防治法》规定任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告,《上海市新型冠状病毒感染的肺炎疫情防控工作领导小组办公室通告》等地方规范性文件也普遍要求企业承担主体责任,发现异常情况要及时报告,但我们认为企业等单位所负疫情报告义务、承担主体责任,并不等于免除其在收集使用个人信息时免除相对方授权同意的义务。换言之,一方不应因自身所负法律义务与责任,就将该等义务与责任所带来的法律负担转移给第三方。企业等单位在负有疫情报告义务的同时,也负有取得个人信息权利主体授权同意的义务,该等义务之间是并存而非互斥的关系。 但这是否意味着个人信息权利主体在疫情防控中不负有任何披露个人信息义务呢?答案显然也是否定的。首先,《传染病防治法》规定了个人负有向医疗机构、疾病预防控制机构披露相关信息的义务;其次,即便个人信息权利主体面对的不是医疗机构、疾病预防控制机构,其依然负有一定的个人信息披露义务。 以上海市为例,2020年2月7日,上海市人民代表大会常务委员会全票通过了《关于全力做好当前新型冠状病毒感染肺炎疫情防控工作的决定》,以地方法规的形式规定“在本市行政区域内,任何单位和个人都应当遵守关于疫情防控的规定,服从本地区人民政府的统一指挥和管理,及时报告新型冠状病毒感染的肺炎患者、与患者密切接触者以及其他需要开展医学观察、隔离治疗人员的情况。”2月14日,上海市疫情防控领导小组办公室发布《本市居民区(村)疫情防控管理操作导则》,要求“居(村)委会要及时告知小区来沪、返沪人员报告健康情况,并配合完成个人信息登记工作,落实相应防控举措。隐瞒、缓报、谎报有关信息或阻碍疫情防控工作人员履行职务的,依法依规追究责任。” 由此可见,个人信息收集使用主体的明示告知义务,对应的是个人信息权利主体的知情权与个人信息处置权;而个人信息主体的信息披露义务,对应的是法律法规规定的当前疫情下各级政府及防疫部门的管理职权。疫情防控的个人信息收集与使用过程中,各方都应积极履行各自义务,而不应有所偏废。此外,我们还认为,信息收集主体履行明示告知义务,也是履行防控宣传教育职能、落实主体责任的重要体现。 如实践中信息收集主体在遭遇个人不配合提供相关个人信息的情况下,应当积极向防疫部门或公安部门进行举报,由有权执法机关对相关人员进行调查处置。在此情况下,拒不配合的相关人员不但可能面临行政处罚的风险,甚至根据最高人民法院、最高人民检察院在“非典”期间发布的《关于办理妨害预防、控制突发传染病疫情等灾害的刑事案件具体应用法律若干问题的解释》以及2020年2月6日最高人民法院、最高人民检察院、司法部、公安部发布的《关于依法惩治妨害新型冠状病毒感染肺炎疫情防控违法犯罪的意见》,如果相关主体过失造成传染病传播,情节严重,危害公共安全的,或以暴力、威胁方法阻碍国家机关工作人员依法履行为防控疫情而采取的防疫、检疫、强制隔离、隔离治疗等措施的,将面临被按照过失以危险方法危害公共安全罪或妨害公务罪定罪处罚的刑事风险。 (2)未获授权的个人信息使用 此类情形多见于个人信息收集主体在履行与被收集人的合同过程中,合法地收集了个人信息,但此前明示的信息用途并不包括因疫情防控需要向第三方进行披露。例如,火车或飞机承运人在履行运输合同时收集了乘客的个人信息,电信运营商掌握用户的行踪轨迹,该等个人信息收集主体是否可以向第三方披露其收集到的个人信息? 《个人信息安全规范》规定在与公共安全、公共卫生、重大公共利益直接相关的情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意。但我们并不认为在疫情期间任何个人信息披露行为都可以以此为由,绕开个人信息主体的授权同意。我们认为只有同时满足如下条件,才是合规的“超范围使用”个人信息: 首先,该等信息收集主体的披露对象应当限于医疗机构或疾病预防控制机构。根据《传染病防治法》的要求,单位和个人必须向疾病预防控制机构、医疗机构如实提供传染病“有关情况”,此为这类信息收集主体所负法定义务。我们认为,所谓“有关情况”必然涉及到确诊者、疑似者、密切接触者的个人信息。因此披露对象应当成是合规披露的限制性条件。 其次,所披露的个人信息应当限于确诊者、疑似者、密切接触者等重点人群,而不应对其他人员的个人信息进行披露。《通知》要求收集个人信息应当坚持最小范围原则,避免造成对特定地域人群的事实上歧视。 再次,披露的个人信息应该限于医疗或防疫所需必要信息,不应披露冗余信息。 尽管如此,我们仍建议相关个人信息收集者,尤其是公共交通运输单位、电信服务运营商、互联网平台等在提供服务收集个人信息时,在其隐私协议中明确加入相应条款以获得用户有效授权。例如,我们注意到中国移动上海分公司在其2020年1月15日发布的隐私政策中就将“公共安全”“公共卫生”“重大公共利益”列为个人信息合理使用范畴,无需征得用户额外同意。 (3)个人信息的脱敏使用 《传染病防治法》规定“传染病暴发、流行时,国务院卫生行政部门负责向社会公布传染病疫情信息,并可以授权省、自治区、直辖市人民政府卫生行政部门向社会公布本行政区域的传染病疫情信息。”但“传染病疫情信息”具体包括哪些内容?是否包括确诊者、疑似者、密切接触者的个人信息?中国法律法规并未做出具体规定。同时,《传染病防治法》还对个人信息的使用做出了禁止性规定,禁止疾病预防控制机构与医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料。 我们认为,尽管法律没有明确授权卫生行政部门可以向社会公布确诊患者、疑似患者与密切接触者的个体信息,但实践中对这类信息进行一定程度的披露,将明显有助于疫情的跟踪,并引起公众注意进行有效防范,也有助于相关部门对疫情态势进行科学分析。然而,在使用个人信息的时候,就将面临如何平衡个人权利与公共利益的问题。 关于个人信息的使用,《通知》要求任何单位和个人未经被收集者同意,不得公开个人敏感信息,因联防联控工作需要,且经过脱敏处理的除外。数据脱敏(Data Masking或Data Desensitization),又称数据漂白、数据去隐私化或数据变形。百度百科对数据脱敏的定义为:指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。《个人信息安全规范》没有对“数据脱敏”进行定义,但其中规定了“匿名化(anonymization)”与“去标识化(de-identification)”两个概念。所谓“匿名化”,是指通过对个人信息的技术处理,使得个人信息主体无法被识别或被关联,且处理后的信息不能被复原的过程。“去标识化”是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。 匿名化与去标识化的重要区别在于是否能够对信息进行还原,重新识别到个人信息主体。我们认为医疗机构与疾病预防机构所掌握的信息一定是可以定位到具体个人的,如果进行彻底的匿名化处理,将使得该等数据丧失疫情防控下的可用性,因此我们倾向认为《通知》中的“数据脱敏”更接近于《个人信息安全规范》中的“去标识化”概念。关于“去标识化”的具体方式,各单位可参照国家标准《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)进行。既然是去标识化地处理个人信息,就可能导致在借助其他信息后重新识别到具体个人,因此我们需要对数据脱敏的原则与目标进行讨论。 我们认为对个人信息进行数据脱敏,应当遵循两个重要原则: 1、隐私保密性(Privacy Protection):需要保证个人敏感信息无法被准确地逆推出,对于一些关键信息无法获取;以及 2、数据可用性(Data Utility):保证被处理后的数据,仍然保持某些统计特性或可分辨性,在某些特定场景(如疫情态势分析预测)中是可用的。 需要说明的是,隐私保密性与数据可用性在一定程度上是一对矛盾的指标,如果个人信息经过脱敏最终得到颗粒度过粗的数据,很有可能会影响基于该等数据的分析效果,降低数据的可用性;而如果公布的个人信息颗粒度过于精细,虽然有助于数据被进一步分析使用,但也可能造成个人敏感信息的泄露。因此,相关部门在进行个人信息脱敏并公布的过程中,必须平衡个人权利与公共利益。 我们查阅了诸多地方公共数据开放网站以及政府数据开放平台,注意到多地已经对本次疫情防控数据做了公开,且普遍含有经脱敏的个人信息汇总表格或可视化图形。同时,我们也观察到,各地对于相关个人信息的脱敏处理方式与标准大相径庭。有的地方数据经处理后,形成了粗颗粒度的数据,仅患者性别、发病与就诊时间、年龄字段;而有的地方数据又较为精细,例如,保留了患者的详细行程、较为详细的症状与就诊时间、逗留场所坐标、与其他病患之间的关系、家庭住址(小区地址,尚未精确到门牌号)、甚至姓名中仅隐去一个字。 我们认为,评判公开个人信息的颗粒度粗细程度是否适当,不应一概而论,而必须结合数据的使用环境。如果政府部门是为了确保公众的知情权,提醒公众避免前往可能受到病毒污染的区域,指令相关小区、街道采取适当的防范与监控措施,则不宜公布颗粒度较为精细的数据。否则这一类简单去标识化的数据公开后,很有可能被信息接受者结合自身掌握的其他标识,轻易识别出具体的个人信息主体,及即患者、疑似病人或密切接触者本人。由此造成特定地区范围内公众的恐慌情绪或对个人信息主体的歧视,给相关患者、疑似病人或密切接触者造成巨大心理负担,甚至危及其人身财产安全。而另一方面,如果面向专业医疗防疫机构,在经实名注册并验证的特定数据平台之上,政府部门可以公布颗粒度较为精细的数据,以提高统计分析的精确性,使得医疗防疫机构能够采取恰当的治疗与防护措施。 五、个人信息的存储安全与疫情过后的信息处理 尽管当前疫情尚未结束,但我们已经可以预见到,由于海量的个人敏感信息被多渠道密集地收集,如何安全的保存这些个人信息,以及疫情过后如何对这些个人信息进行处理将是各类个人信息收集主体面临的棘手问题。 我们以广大用人单位与小区物业管理单位(以下简称“企业”)为例提出相关建议,因为这两类个人信息收集主体在本次防疫工作中承担了个人信息收集前沿的重要角色,防疫部门相当一部分数据就来源于这两类个人信息收集主体。 首先,我们建议企业首先应当立即建立起关于如何管理其所收集的个人信息的内控制度,明确信息采集、保存与披露的工作流程,要求接触相关信息的人员履行保密义务,不得私自对外披露相关个人信息。明确岗位职责,确保个人信息的收集与处理工作全流程置于内部监管之下。 其次,企业应当建立起相应的加密与安全存储措施,防止所收集的个人信息遭到未经授权的访问、篡改或盗用。 再次,疫情过后如果企业考虑进一步利用该等个人信息,必须向个人信息主体明示用途,并取得个人信息主体的授权同意,除非企业可以将该等个人信息进行匿名化处理。 最后,企业应当向个人信息主体提供访问与修改被收集的信息的途径,并在个人信息主体提出要求时,对相关信息予以删除。 结语 疫情当前,每一位公民都守土有责,我们希望通过对当前个人信息收集与使用过程中所面临的问题进行分析,为各类个人信息收集主体在面对挑战时提供解决问题的思路。同时,我们也深知,疫情才是我们共同的敌人,在“抗疫”的过程中,我们必须兼顾公共利益与个体权益,在保证工作效率与效果的同时也要避免为后疫情时代的社会治理埋下隐患。