2020年1月份以来,随着新型冠状病毒肺炎(“Novel Coronavirus Pneumonia”,以下简称“新冠肺炎”)的爆发和蔓延,一方面各地出现了一些泄漏确诊病例密切接触者姓名、手机号码等个人信息,乃至是户籍地址、身份证号码等个人敏感信息的相关事件;另一方面,有效利用大数据、尤其是在确定、追踪及排查已感染患者或疑似患者及其相关接触人群轨迹等方面所形成的准确、全面的信息,对于疫情防控会起到良好的支撑协助作用。上述问题实质在于个人信息利用和个人信息保护之间的冲突与协调。同时,在疫情及其防控这一突发公共事件的背景下,个人主体利益与社会公共利益两者之间如何权衡的问题更加凸显。对此,中央网络安全和信息化委员会办公室(以下简称“网信办”)于2月9日发布了《关于做好个人信息保护 利用大数据支撑联防联控工作的通知》(以下简称《通知》),以指导疫情联防联控中的个人信息保护和利用大数据支撑联防联控工作合法有效地展开。
针对新冠肺炎下的个人信息保护问题,结合我国当前以《网络安全法》为核心的相关法律、法规及相关国家标准中所构建的个人信息保护体系,贯彻疫情防控形势下《通知》的相关要求和精神,本文认为:一方面,疫情防控的需要以及民众对疫情的恐慌心理无法成为个人信息遭受违规处理的合理理由,恰恰相反,借由大数据有效开展疫情防控工作,理应在注重个人信息保护的基础上进行,这样方能促成大数据支撑疫情防控效用的良好循环;另一方面,疫情防控所涉个人信息或属个人敏感信息,应当得到高标准的保护,在涉及相关个人信息处理时均需严格遵守个人信息保护的有关处理原则和具体规定,这一点应为参与和配合联防联控工作的相关主体、尤其是相关互联网企业所重视。
一、我国法律框架下的个人信息界定
首先,《网络安全法》第75条(五)项规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。其次,作为实操性的指导标准,《信息安全技术 个人信息安全规范》(GB/T35273-2017)(以下简称《个人信息安全规范》)则进一步对个人信息的范围予以补充、细化,规定能够反映特定自然人活动情况的各种信息亦属于个人信息范畴。具体而言,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等均属于个人信息。再次,《个人信息安全规范》还就个人敏感信息进行了规定。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息,具体包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
通过上述概念及其例举,可以看出个人信息和个人敏感信息存在范围上的交差,《个人信息安全规范》就两者区分的关键在于泄露后果的严重性程度,及该类信息一旦泄露、非法提供或滥用,是否会出现危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等严重损害个人信息主体利益的情形。而在当前疫情防控的背景下,疫情防控中相关主体收集的信息包括:姓名、年龄、身份证号码、电话号码、家庭住址、行踪轨迹、生理健康状况、家庭成员信息等,这多属于《个人信息安全规范》所规定的个人敏感信息范畴。反观当前严肃的疫情防控背景以及民众一定程度非理性的恐慌情绪,病毒确诊者、疑似者或是密切接触者,这些弱势群体往往被他人视为高危群体,其上述个人信息若被泄漏,往往会引发一些针对性的骚扰、乃至恐吓行为,进一步可能影响其身心健康、造成歧视性待遇等一系列严重损害其个人主体利益的后果。因此,这些信息理应作为个人敏感信息受到高标准的严格保护。
此外,在分析《个人信息安全规范》就个人信息所做的区分外,我们还需要意识到:相同的信息在具体的使用情境中会有的不同后果,相同的信息在不同人的手里也会产生不同程度的后果。因此,一方面,从长远的个人信息主体利益保护出发,疫情防控背景下有关个人信息的处理及其保护都应当受到足够重视,避免不必要收集、储存不当等情形引发日后有关个人信息主体利益遭受侵犯的风险。另一方面,加快以规则形式明确公共事件等特殊场景下的数据利用规则。可以考虑按照数据的不同识别程度,如匿名性、可关联性、可识别性,结合数据的敏感性、重要性,公共需求的迫切性等维度,分别规定不同的利用规则,认定标准,保护措施,管理体制,主体责任。[1]
二、个人信息保护的原则性规定及其在疫情防控背景下的例外可能
(一)“经被收集者同意”是个人信息收集、使用以及对外提供等环节的合法性要件
首先,在个人信息收集、使用方面,2012年全国人大《关于加强网络信息保护的决定》(以下简称《决定》)开启中国个人信息保护立法。《决定》首次宣布“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,调整“网络服务提供者和其他企业事业单位”收集、使用公民个人电子信息的基本规则。《决定》确立了个人信息收集、使用“应遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”的基本原则。《决定》所确立的上述基本原则此后被《消费者权益保护法》、《网络安全法》等法律所吸收。
其次,在个人信息流通/对外提供方面:当前我国现行的法律、法规多为禁止性规定,比如,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息”(《网络安全法》第44条)。《民法总则》《消费者权益保护法》亦有类似规定。对个人信息流通的正面的唯一规范是《网络安全法》第42条。该条第一款规定:“网络运营者不得泄漏、篡改、损毁其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外。”依该规定,向他人提供个人信息(包括转让、共享等情形)的合法性要件是,要么经过信息主体同意,要么“经过处理无法识别特定个人且不能复原”。之所以要征得个人的同意是因为个人信息可以用于识别特定个人,而在“无法识别”的情形下,也就不再属于个人信息了,而毋需“同意”即可以提供给他人。
因此,在现行法律、法规、部门规章中,“经被收集者同意”这一个人信息主体授权条件是个人信息收集、使用及对外提供的合法性条件,而在向他人提供个人信息时,若个人信息“经过处理无法识别特定个人且不能复原”,须符合《个人信息安全规范》所规定的匿名化[2]处理要求,亦可进行。落实到实际操作层面,《个人信息安全规范》就个人信息控制者开展个人信息处理活动应遵循的基本原则进行了更为具体的规定,在此不一一赘述。网信办的《通知》也或多或少体现了此类原则指引,比如对于联防联控工作中收集信息的范围,网信办明确提出,要依照国家标准《个人信息安全规范》,坚持最小范围原则,等等。
(二)疫情防控背景下同意原则的例外可能
依据《传染病防治法》以及《突发公共卫生事件应急条例》相关条文的规定,出于传染病防治和突发公共卫生事件应对的需要,人民政府、卫生行政部门、疾病预防控制机构以及医疗机构可以未经个人信息主体授权而收集有关个人信息,同时人民政府还可以在“突发公共卫生事件应急预案”中将信息收集、发现的权力再次授权给相关部门、机构、组织,这其中就可能包括公安部门、基层一线工作人员等。[3]但同时也规定了疾病预防控制机构、医疗机构等单位对于涉及个人隐私的有关信息、资料的保密义务。对此,网信办在《通知》第一条也予以了强调,“除国务院卫生健康部门依据《网络安全法》、《传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行”。
由上述内容可知,法律、行政法规明确授权的机构或主体可以不征得信息主体的授权同意而进行个人疫情信息的收集使用,其他任何单位和个人若收集疫情相关的个人信息均需遵从“经被收集者同意”这一原则性要求。
此外,就上述原则性规定和例外情形的分析,鉴于《网络安全法》在个人信息收集使用方面并未规定例外情形,尽管从特殊法优于一般法的角度,我们可以为疫情下收集个人信息无需授权同意这一例外情形寻找到合法性依据。但是我们也应看到自《关于加强网络信息保护的决定》以来,以《网络安全法》等法律法规为核心构造的个人信息保护体系的存在不足之处,比如说在个人信息收集规则方面,就缺乏与其他法律、法规的衔接规定。借此次疫情事件中相关问题的暴露,或希望在今年《个人信息保护法》中能有进一步的完善。
三、针对疫情防控主体处理个人信息的具体合规建议
首先,根据收集、使用个人信息主体的不同,可将疫情防控工作中涉及到的个人信息控制者分为两部分:一是政府部门按照法定职责收集、公布事件相关信息,对疫情开展监测;二是企业、组织和个人承担信息报告义务,并可利用所掌握的数据支持疫情防控。以行踪轨迹收集和应用为例,《传染病疫情防控与个人信息保护初探之二:同意的例外》[4]就归纳了五大值得关注的数据收集主体:地方教育部门、公安部门(掌握铁路、航空等实名信息)、基层工作人员、电信运营商和互联网公司(包括SDK类的企业)。可见当前疫情防控工作中,收集与使用个人信息主体呈现出较为复杂的情况,疫情防控中不同的个人信息收集、使用主体具体适用的规则也有所区别。
其次,对于政府相关部门主体在开展防控工作中对个人信息保护的要求,网信办的《通知》予以了精炼的规定,诸如收集个人信息“应当遵循最小范围原则”、收集或掌握个人信息的机构要“对个人信息的安全保护负责”以及“为疫情防控、疾病防治收集的个人信息,不得用于其他用途”、“任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外”等,在此不做具体介绍。
再次,数据经济时代,互联网公司收集并掌握了大量用户的个人信息,更具备强大的分析技术和处理能力,有能力在联防联控中发挥巨大作用。据观察,目前相关的应用包括面向公众的“同程排查”服务、百度推出的“百度迁徙”(升级版)以及有关“新冠肺炎小区速查”、“疫况”等,应该说都是积极利用大数据、进行分析预测,从而为联防联控工作提供支持的实际应用。《通知》第五条也明确鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。
对于互联网企业,结合前述突发事件管理和传染病防治的有关规定,其在疫情中处理个人信息及相应的数据保护义务可分为多种情形,针对不同的情形,[5]具体建议如下:
一是企业直接发现和疫情相关的信息应当主动向主管部门报告,不受个人信息保护规则的限制。但是在履行《传染病防治法》规定的单位和个人必须向疾病预防控制机构、医疗机构如实提供传染病“有关情况”的义务时,披露对象应当限于医疗机构或疾病预防控制机构。所披露的个人信息则应当限于确诊者、疑似者、密切接触者等重点人群,而不应对其他无关人员的个人信息进行披露。
二是获得授权对用户数据开展分析、利用、研究,辅助疫情防控工作的的互联网企业,其对大数据处理的用途应当限制在防控疫情范围内,并需严格遵守“最少够用”等原则,形成的分析结果应不对自然人个体具有对应性和紧密关联。
三是互联网企业自主对用户数据进行分析、利用,用于开发疫情防控相关产品和服务的,应依据《网络安全法》等法律法规要求,参照《个人信息安全规范》国家标准开展相关活动,在个人信息的收集、储存、使用、共享、披露等多个环节,每个环节都应当注意做好个人信息保护工作,采取严格的管理和技术防护措施,以防出现数据泄露、丢失、滥用等情形。
四是企业应及时更新隐私政策,加入相应条款以获得用户授权。《个人信息安全规范》5.4条就个人信息收集“征得授权同意的例外”进行了规定,其中在与公共安全、公共卫生、重大公共利益直接相关的情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意。新冠肺炎作为公共卫生事件,当属此类情形。
四、结语
本文的目的在于提示相关主体在疫情背景下联防联控工作中不能忽略对个人信息保护的关注,相信若能以一种良好的数据利用生态循环做支撑,必能更好地发挥其对相关疫情防控举措的有力支撑作用,以尽早胜利取得此次战“疫”的胜利。此外,值得注意的是,鉴于疫情背景下大数据的广泛应用,或许加速我国数据经济的进一步发展。在数据经济背景下完善数据治理、尤其是数据合规的重要性不言而喻。而个人信息保护作为数据合规的主要对象,理应获得有志参与到数据经济中的互联网企业的重视。
来源:北大法律信息网,http://article.chinalawinfo.com/ArticleFullText.aspx?ArticleId=111678&listType=1 发表时间:2020年2月25日
