【依法战役】何渊:保护武汉返乡人员及新冠患者个人信息的法律框架及例外

[ 作者]: 何渊 [ 发布时间]: 2020-01-27 [ 来源]: 澎湃新闻

字号: [] [] [] [ 阅读]:4012人次      [ 关闭窗口]

面对来势汹汹的新型冠状病毒疫情,本着配合相关调查,团结一致对抗病毒。很多从武汉返乡的工作者、大学生,都自愿填写了一些与个人信息有关的调查表,并且主动在家隔离。这本是非常值得鼓励和赞善的行为。

但是,近几天,疑似包含武汉返乡人员的身份证号码、家庭住址、电话号码等个人信息的EXCEL表格,却堂而皇之地在微博、微信朋友圈、微信群当中泄露及流传。那么问题来了,武汉返乡人员及新冠患者的个人信息到底是否值得保护?应当设置怎样的例外?法律理由又是什么呢?

一、保护武汉返乡人员及新冠患者的个人信息刻不容缓

 

1.    这些个人信息是法律保护的合法权益。

 

“公民的个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。显而易见的是,武汉返乡人员及新冠患者的姓名、身份证件号码、通信通讯联系方式、住址、行踪轨迹等都是“公民的个人信息”,属于《民法总则》、《传染病防治法》及《刑法》保护的合法权益,具体保护的法益是公民的人格尊严。

比如《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

又如《传染病防治法》第68条第5项的规定:故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料的,对负有责任的主管人员和其他直接责任人员,依法给予降级、撤职、开除的处分,并可以依法吊销有关责任人员的执业证书;构成犯罪的,依法追究刑事责任。

再如《刑法修正案(九)》规定的“侵犯公民个人信息罪”:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

2.这些个人信息不仅是容易导致歧视性待遇的敏感信息,而且也可能是影响公共健康、安全及稳定的重要信息。

首先,武汉返乡人员及新冠患者的个人信息属于“敏感信息”。因为一旦泄露、非法提供或滥用,可能危害武汉返乡人员及新冠患者的人身和财产安全,数据极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。具体而言,敏感数据包括“身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等”。

其次,武汉返乡人员及新冠患者的个人信息还属于“重要数据”。因为这些重要数据一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全。

二、武汉返乡人员及新冠患者的个人信息保护的法定例外

武汉返乡人员及新冠患者的个人信息固然值得法律保护,但这并不能绝对化,具体有以下的例外:

 

1.    个人的同意授权。

《网络安全法》第41条提供了“同意授权机制”,即“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。这同样也适用于线下的武汉返乡人员及新冠患者的个人信息的保护。

但以下行为可被认定为“未经同意收集使用个人信息”:(1)征得武汉返乡人员及新冠患者同意前就开始收集个人信息或打开可收集个人信息的权限;(2)武汉返乡人员及新冠患者明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意;(3)实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;(4)以欺诈、诱骗等不正当方式误导武汉返乡人员及新冠患者同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;(5)未向武汉返乡人员及新冠患者提供撤回同意收集个人信息的途径、方式等。

2.匿名化和脱敏机制。《网络安全法》第42条提供了“匿名或脱敏机制”,这同样也适用于线下的武汉返乡人员及新冠患者的个人信息的保护。特别值得注意的是,政府、医院、科研机构等信息控制者对于“经过处理无法识别特定个人且不能复原的”个人信息,即使没有得到未经被收集者“武汉返乡人员及新冠患者”的同意,也可以向第三方提供这些个人信息。

3.其他情形。政府、医院、科研机构等信息控制者在没有获得武汉返乡人员及新冠患者的个人授权时,在以下情况可以使用或披露相应个人信息:(1)向上述人员提供其本人健康医疗信息;(2)治疗、支付或保健护理时;(3)涉及公共利益或法律法规要求时;(4)用于科学研究、公共卫生或医疗保健操作目的的受限制数据集。在上述情况下,信息控制者可依靠法律法规要求、职业道德和专业判断来确定哪些个人信息允许被使用或披露,但不得披露给无权使用个人信息的其他主体。

三、武汉返乡人员及新冠患者的个人信息匿名化或脱敏的程度

《网络安全法》第42条提供了“匿名或脱敏机制”,即“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。特别需要注意的是,“匿名或脱敏机制”需要达到“经过处理无法识别特定个人且不能复原的”程度。

事实上,香港特别行政区政府卫生署提供了很好的范例:一方面,政府充分保障了公民的“知情权”。表格上详细列举了每一位疑似病人的急诊日期、性别、年龄、报告来源、医院名称、化验结果、患者状况;同时,另一方面,政府又充分保护了每位确认患者及疑似患者的个人信息。表格删除了患者的姓名等可识别特定个人的数据。这些经验非常值得我们借鉴。

总之,在我看来,针对武汉返乡人员及新冠患者的个人信息保护问题,法律特别强调的是公共利益和个人权利的平衡。

一方面,保护武汉返乡人员及新冠患者的个人信息等合法权益刻不容缓。尤其在全国人大常委会在2020年即将制定《个人信息保护法》和《数据安全法》的背景下,政府、医院、科研机构及我们社会中的每个自然人在危难之际特别要注重保护他人的个人信息等合法权益。毕竟大家都是受害者,我们绝对不能相互伤害!

但另一方面,基于同意授权机制及公共健康、安全、稳定等公共利益的理由,武汉返乡人员及新冠患者的个人信息又应当允许被相关信息控制者和处理者合法收集、使用。但在没有对个人信息进行匿名化或脱敏的前提下,政府、医院、科研机构及工作人员都不能非法泄露和恶意传播。

字号: [] [] [] [ 阅读]:4012人次      [ 关闭窗口]